情報セキュアド 平成18年度試験 問題(午後1 問2)
問2 PCの持出管理に関する次の記述を読んで,設問1〜4に答えよ。
G社は,主に中小企業向けに融資を行っている,社員数300名の金融機関であり,営業部,融資部,総務部,情報システム部などで構成されている。融資を希望する企業から問合せがあると,営業部員がその企業を訪問して経営診断を行った後,与信確認を経て,融資契約を結ぶ。
G社では,競争の厳しい金融業界での生き残りをかけて,2年前に営業支援情報システム(以下,Jシステムという)を再構築した。図1に,現在のJシステムの構成を示す。営業部員は,融資を希望する企業を訪問した際に,その場で営業支援サーバにその企業の経営情報を直接入力し,分析して,融資条件を提示する。このように,Jシステムの導入によって,訪問先企業で迅速に融資条件を提示できるようになり,その結果,融資残高も順調に増えている。
〔Jシステムの概要〕
営業部員には,NPCが1台ずつ配布されており,利用者認証のために,各自に割り当てられたUSBキーをNPCに挿入し,更にUSBキー内の秘密鍵を活性化するためのパスワードを入力する。営業部員が社外でNPCを利用するときは,G社が契約しているISPのアクセスポイントに携帯電話網を経由してダイヤルアップ接続し,G社内を経由しないインターネットの各種サービスの利用と,JシステムのゲートウェイへのVPN接続を行う。ゲートウェイでは利用者認証が行われ,各種サーバへのアクセス権に応じたアクセスが許可される。営業支援サーバは,NPC上で稼働するJavaアプレットを介して利用できる。Jシステムのメールサーバを用いた電子メールの送受信や,Jシステムのプロキシサーバを用いたWebサイトの閲覧については,各サーバでウイルス対策を実施している。
なお,社員が社外でJシステムを利用する場合は,図2に示す利用規程に従う。
|
〔NPCの置忘れ事故〕
入社5年目のA主任と,所属長のB部長は,製造業者のH社に対する融資案件を担当していた。ある日,業務多忙のB部長に代わって,A主任が1人でH社を訪問して打合せを行うことになった。その際,A主任は,所属長であるB部長の許可を得ずにNPCを持ち出してしまった。A主任は,H社でNPCから営業支援サーバにアクセスし,融資条件を算出して提示した。その結果,融資条件に関するH社の同意が得られ,契約の内諾を得ることに成功した。A主任は,既に終業時刻を過ぎていたので,B部長には翌日報告することにして,会社には戻らず,NPCを所持したまま飲食店で友人と食事をした。その帰りの電車で,NPCとUSBキーを入れたかばんを置き忘れてしまった。
A主任は,帰宅してからNPCを置き忘れたことに気付き,慌てて駅に連絡したところ,遺失物として届けられていることが分かった。直ちに指定された駅に出向いて,NPCとUSBキーが入ったかばんを受け取った。
置忘れ事故から数日後の営業部内会議で,A主任は,NPCの置忘れについてB部長に報告した。報告を受けたB部長は,直ちに情報システム部に連絡した。この事故を重く見た情報システム部のC課長が,H社への訪問,飲食店への立寄り,食事,置忘れなどの一連の行動をA主任から細かくヒアリングした。並行して,情報システム部では,A主任の利用者IDを停止し,営業支援サーバなどのサーバ類の[ b ]や,A主任が持ち出したNPCの[ b ]などの内容を調査した。詳細な調査の結果,情報システム部では,Jシステムへの不正侵入はなかったと判断した。
〔NPCの置忘れ事故の事後対策〕
C課長は,今回の事故を分析して報告書にまとめ,情報セキュリティ委員会で報告するとともに,B部長にもその概要を次のように報告して議論した。
| B部長: | 今回は,大変迷惑を掛けてしまった。今後のこともあるので,問題点を教えてほしい。 |
| C課長: | 社外でのJシステム利用規程に照らし合わせると,A主任の行動には,[ ア ],[ イ ]及び〔1〕事故を速やかに情報システム部に報告しなかったという,三つの問題点があります。また,現在の規程では,口頭での持出許可を認めていることから,規程の運用がルーズになりがちであるという問題点も明らかになりました。 |
| B部長: | 分かった。今後は,持出許可の手続を厳正に行うように指導していきたい。ところで,そのほかに問題点はないだろうか。 |
| C課長: | 持出許可の手続を厳正に行っても,NPCのハードディスクにはデータが残ることによるリスクがあります。 |
| B部長: | NPCを利用して,営業支援サーバや社内Webサーバにアクセスする場合は,情報を閲覧するだけなので,NPC内に残っているデータは消去すればよいと思っていたのだが,それだけでは不十分なのか。 |
| C課長: | NPCのOSが提供するファイル削除機能は,ファイル名やファイルの格納場所に関する情報などを消去するだけであり,ファイル内のデータ自身はハードディスク内に残っています。また,NPCから営業支援サーバを利用したときに送られてくるJavaアプレット,Webサイトを閲覧したときに送られてくる[ c ],Webブラウザの[ d ]やアクセスログの一部などがファイルとしてハードディスクに記録されることがあります。 |
| B部長: | 最近,専門誌やセミナなどでハードディスクを内蔵しないPC(以下,TC端末という)がよく採り上げられているが,これを持出用のPCとして,情報システム部が一括して貸し出すようにしてはどうだろう。 |
| C課長: | はい。情報システム部では,ご指摘のようなTC端末を持出用に準備した上で,持出しはTC端末だけに制限することを検討しています。つまり,従来のNPCと同様にUSBキーによる利用者認証を経て,アプリケーションは,社内LAN上に設置する専用サーバ(以下,TCサーバという)上で動作させ,キーボードやマウスの操作情報と画面情報だけをTC端末とTCサーバ間で通信し,WebブラウザなどのアプリケーションはTC端末単独では動作しない仕組みのシンクライアントシステムを導入する方向で検討しています。このシンクライアントシステムでは,TCサーバにウイルス対策を実施します。Jシステムのメールサーバを用いた,TCサーバからの電子メールの送受信と,Jシステムのプロキシサーバを用いた,TCサーバからのWebサイトの閲覧については,それぞれのサーバでウイルス対策を実施済です。 |
| B部長: | ところで,営業部員がTC端末の貸出しを受ける場合,利用記録を残す必要があるのではないか。 |
| C課長: | はい。現在,TC端末を持ち出す際に,持出者が記入して,情報システム部に提出する持出申請書(図3)の導入を検討しています。 |
| B部長: | なるほど。良い案だと思う。早急に進めてもらえると有り難い。 |
| 申請日 | 2006年10月13日 | 持出者 | A主任 | 所属部署 | 営業部 |
| 利用場所 | H社 | 利用目的 | 訪問先での作業のため | 同行者 | B部長 |
| 持出期間 | 2006年10月16日13:00から2006年10月16日17:00まで | 機器ID | TC-001 | ||
| 持出確認欄 | 2006年10月16日13:15 持出者 印, 貸出管理者 印 | ||||
| 返却確認欄 | 年 月 日 持出者 印, 貸出管理者 印 | ||||
C課長は,社外でのJシステム利用規程の改訂案を図4のように取りまとめた。
|
図4の改訂案は,経営会議で審議され,〔2〕承認手続に関する持出申請書の様式の不備を修正するという条件付きで承認され,直ちに様式を修正した後,社内に周知徹底することになった。
設問1 本文中の[ a ]〜[ d ]に入れる適切な字句を解答群の中から選び,記号で答えよ。
解答群
| ア キー操作 | イ キャッシュ | ウ クッキー | エ 検索 |
| オ 消去 | カ 不正侵入 | キ メモリ | ク ログ |
設問1の解答例と解説へ
設問2 本文中の下線〔2〕に関して,様式の不備を修正するために持出申請書に追加しなければならない項目を,10字以内で答えよ。
設問2の解答例と解説へ
設問3 置忘れ事故について,(1)〜(3)に答えよ。
| (1) | 本文中の[ ア ],[ イ ]に入れる適切な文章を,それぞれ30字以内で答えよ。 |
| (2) | 本文中の下線〔1〕のように,速やかに情報システム部に報告しなかった場合,NPCとUSBキーを回収できたとしても,Jシステムに対してどのようなリスクが想定されるか。30字以内で述べよ。 |
| (3) | 図4中の[ ウ ]に入れる具体的な管理方法を,20字以内で答えよ。 |
設問3の解答例と解説へ
設問4 持出用のPCをNPCからTC端末に変更することによって,G社内へのウイルス感染の可能性を減らすことができる。それはどのような過程による感染か。NPCの利用場面を含め,本文中の字句を用いて,90字以内で具体的に述べよ。
設問4の解答例と解説へ
メニューへ戻る