情報セキュアド 平成15年度試験 問題(午後1 問4)
問4 営業支援システムの機能追加に関する次の記述を読んで,設問1〜4に答えよ。
W社は,社員300名の中堅の電子部品メーカであり,機器メーカに部品を供給している。都心の本社ビルに総務部,情報システム部,営業部などがあり,郊外の工場に設計部,製造部などがある。W社のシステムは,全社統一的な視点で情報セキュリティポリシを遵守することが重要なので,情報システム部が企画段階から所管して,各部と共同のプロジェクトで検討を進めることにしている。
図1に,W社の電子化情報に関する情報セキュリティポリシを示す。
|
〔電子化情報の区分〕 電子化情報の区分は,文書区分に準じて,次のとおりとする。
〔送信及び持ち出し〕 電子化情報のインターネット経由での送信及び記録媒体による社外への持ち出しを行う際の要領は,電子化情報の区分によって,次のとおりとする。
記録媒体を廃棄する場合には,電子化情報の漏えいを完全に防ぐ措置を講じる。 (以下省略) |
営業部では,データベース(以下;DBという)閲覧システム及び電子メールシステムからなる営業支援システムを運用してきた。DB閲覧システムは,商品情報DB,クレーム情報DB及び顧客情報DBにアクセスするクライアントサーバ方式のシステムである。商品情報DBは商品仕様情報など,クレーム情報DBはクレームや対応策など,顧客情報DBは顧客情報や購買履歴などからなる。これらは,営業部が管理するサーバで運用され,営業部員が随時,登録,更新及び閲覧を行うことができる。商品情報は,印刷して持参したり,電子メールに添付し送付したりすることによって顧客に提示していたが,社内に戻らないと利用できないので不便であった。そのため,社外から営業支援システムを利用できるようにしてほしいとの要望が寄せられていた。
このたび,営業部では,営業部員が外出先から営業支援システムへのアクセスをインターネット経由で行うリモートアクセス機能と,Webサーバを通じて商品情報を一般ユーザに提供することができる商品情報Web機能を実現させることを企画し,情報システム部と営業部で構成される改善プロジェクトを発足させた。改善プロジェクトでは,情報システム部長を責任者として,情報システム部のSEであるR君と営業部のT主任が要件定義を行い,情報セキュリティスペシャリストのS君が情報セキュリティの確保を担当することになった。
〔改善案の検討〕
R君とT主任は,図2に示す機器構成による改善案を提案した。
| (1) |
ノートPCを新規に導入し,あらかじめVPNソフトウェアを組み込んで,所定のインターネットサービスプロバイダへのログインアカウントを設定した上で営業部員に配付する。外出先からノートPCを使って社内にアクセスする際は,VPNソフトウェアを起動した後,LAN1に新規に導入したVPNゲートウェイに接続し,利用者IDとパスワードで認証を受けた後,暗号化通信を行う。VPNゲートウェイは,プロキシサーバとして動作させ,LAN3の各DBサーバ及びメールサーバ2に代理アクセスする。 これによって営業部員は,社内と同様に外出先からも営業支援システムを利用でき,いつでも顧客情報などをノートPCにダウンロードして,営業活動に利用することができる。 |
| (2) | 外出時以外はLAN3にノートPCを接続して使用することにし,下取り業者に従来から使用していたデスクトップPCを売却する。 |
| (3) | WebサーバにCGIプロセスを使ったソフトウェアを組み込み,営業部に設置されている商品情報DBサーバから商品情報を検索できるようにして,インターネットに接続している一般ユーザに対して,W社の商品情報を公開する。従来どおり,営業部員が商品情報の登録及び更新を随時行う。 |
| (4) |
メールサーバ1にウイルスチェックソフトウェアを導入する。これまでも,外部からの電子メールは,いったんメールサーバ1で受信された後,ファイアウォール2を通ってメールサーバ2に転送されている。また,社外へ送信される電子メールは,メールサーバ2からメールサーバ1に転送された後,社外に送信されている。 社員は,メールサーバ2にアクセスして電子メールを送受信している。ウイルスチェックソフトウェアを導入した後は,メールサーバ1において,社外と送受信するすべての電子メールのウイルスチェックを行う。さらに,ノートPCにもウイルスチェックソフトウェアを導入する。メールサーバ1とノートPCに導入したウイルスチェックソフトウェアのウイルス定義ファイルは,毎週定期的に更新する。 |
〔セキュリティ確保のための検討〕
S君は,改善案の提示を受け,デスクトップPCの下取り業者への売却に関して,〔1〕情報セキュリテイボリシに基づく指示を行った。また,R君とともに検討を進め,運用面に関して次のような対策を提案した。
| (1) |
ファイアウォールにおける通信制御 S君は,ファイアウォール2に図3に示すような通信許可を追加した。 |
|
| (2) |
VPNゲートウェイの利用者認証 VPNゲートウェイの認証機能を用いて,正規のアカウント以外のユーザが社内に侵入することは阻止できる。しかし,[ a ]が[ b ]された場合には[ c ]を許すことになるので,同じ[ a ]を長期間使い続けないようにするなど,ノートPCの運用に関する実施手順を策定し,営業部員に徹底させることにした。 |
| (3) |
ウイルス対策 ウイルス定義ファイルを〔2〕定期的に更新する運用には問題があったので,見直しを行った。 |
これらの対策の実施を条件に,改善案は,改善プロジェクトに承認された。
設問1 本文中の[ a ]〜[ c ]に入れる適切な字句を解答群の中から選び,記号で答えよ。
解答群
| ア DoS攻撃 | イ 利用者ID | ウ ウイルス感染 | エ 改ざん |
| オ 侵入 | カ 認証 | キ 盗み出 | ク パスワード |
設問1の正解例へ
設問2 本文中の下線〔1〕に示したデスクトップPCの売却に関して,S君が指示した具体的な内容を,35字以内で述べよ。
設問2の正解例へ
設問3 運用面の改善に関する次の問いに答えよ。
| (1) |
図3中の[ ア ]〜[ ウ ]に入れる適切な字句を答えよ。 [ ア ],[ イ ]については,それぞれ10字以内で答えよ。 [ ウ ]については,35字以内で答えよ。 |
| (2) | 本文中の下線〔2〕の問題を,35字以内で具体的に述べよ。 |
設問3の正解例へ
設問4 社外でのノートPCの利用に関する次の問いに答えよ。
| (1) | 〔改善案の検討〕の(1)に従って営業部員が運用を行う上で,遵守すべきことは何か。情報セキュリティポリシを踏まえて,50字以内で述べよ。 |
| (2) | 上記(1)を遵守しても社外でのノートPCの利用には,ノートPCの盗難以外に幾つかのリスクが残る。特に留意すべきリスクを,30字以内で述べよ。また,その技術的対策を,30字以内で述べよ。 |
設問4の正解例へ
メニューへ戻る