情報セキュリティスペシャリスト試験情報平成19年度試験メニュー >問題と解説
  

情報セキュアド 平成19年度試験 問題(午後1 問2)

 
 
問2 情報の取扱いに関する次の記述を読んで,設問1〜4に答えよ。
 
 L社は,地方都市を中心に不動産管理業を営む,社員数100名ほどの企業である。都市部にある本社のほか,近郊の市町村にある10か所の営業所を拠点として事業を展開している。本社と営業所間及び営業所相互間では,取り扱う不動産物件に関する情報(以下,物件情報という)や,借主,貸主などの顧客に関する情報(以下,顧客情報という)を日常的にやり取りしている。
 本社と営業所間及び営業所相互間での取扱いに慎重を要する物件情報や顧客情報の移送手段(以下,移送手段という)は,営業所の設備,物件情報や顧客情報のボリューム・形態,及び移送の距離や求められる迅速さに応じて,図1の中から選択することにしている。
 
図1 移送手段
1.  物件情報や顧客情報が記録されている電子ファイルは,社員に割り当てられたPCを用い,電子メール(以下,メールという)に添付して送受信する。
2.  電子化されていない,紙媒体の物件情報や顧客情報は,ファックスで送受信する。
3.  大量の電子ファイルを一括して運搬する場合には,USBメモリに電子ファイルを書き込み,宅配便や書留郵便で送付する。ただし,急ぎの場合には,社員がかばんに入れて直接届ける。
 
〔誤送信事故の発生〕
 ある日,L社の顧客であるM氏から,L社社員によるファックスの誤送信によって,L社に預けていたM氏の個人情報が第三者に送付されてしまったという苦情があった。ファックスを受信した第三者がM氏に連絡したことから,誤送信が発覚した。
 L社の経営陣は,この誤送信事故を契機として,それまで散発的に実施してきた情報セキュリティ対策を問題視し,情報セキュリティ委員会を設置して総合的な対策の検討を開始することになった。
 その第一段階として,情報セキュリティ委員会の事務局を担当する情報システム部のC主任が,本社と各営業所を回ってL社の日常業務における移送手段について調査し,L社の現状を把握した。図2は,その結果をまとめたものである。
 
図2 移送手段の調査結果
1. 外部記憶媒体を用いた情報の取扱い
(1)  外部記憶媒体に関しては,会社保有のUSBメモリだけを日常業務に利用しており,私物を利用している者はいない。
(2)  運搬前後のUSBメモリの管理は,取り扱う社員の責任であり,各自が自分の机の引き出しやキャビネットに入れて施錠保管している。
(3)  USBメモリへの電子ファイルの書込み,USBメモリからの電子ファイルの読出しは,各自のPCを用いて行っている。
(4)  電子ファイルは,ファイル暗号化ソフトで暗号化してからUSBメモリに書き込んでいる。
(5)  USBメモリは,急ぎの場合を除き,宅配便や書留郵便で送付している。
2. ファックスを用いた情報の取扱い
(1)  ファックスで送信する場合は,送信者がファックス送信前に名あて人に対して,ファックス装置から出力された印刷物を直ちに回収するように電話で依頼している。
(2)  ファックスの受信に関しては,最終退出者がファックス装置から出力された印刷物の有無を確認し,印刷物が放置されていた場合には,翌営業日までキャビネットに施錠保管している。
3. メールを用いた情報の取扱い
(1)  メールサーバとメールを読み書きするPCは,ウイルス対策ソフトを導入し,適切に運用している。
(2)  メールを読み書きするPCは,適切なIDとパスワードでアクセス制御している。
(3)  会社あてのメールを自宅など社外へ自動転送することは,禁止している。
(4)  後日の確認に備え,メールサーバでメールの内容を記録し,保管している。
4. その他の取扱い
(1)  情報の取扱いに関する規則を定め,違反者には罰則を科している。
(2)  情報の取扱いを徹底するために,定期的な社員教育を実施している。
(3)  本社と営業所において,PCの持込みと持出しは行われていない。
(4)  本社と営業所のネットワークは,ファイアウォールなどでセキュリティ上の脅威から適切に保護されている。
(5)  無線通信(無線LAN)を設置・利用している者はいない。
 
 C主任は,上司である情報セキュリティスペシャリストのD課長に,調査結果を報告した。D課長は,L社の現状を踏まえた上で,情報の取扱方法ごとに,想定されるリスクと,そのリスクを低減するための情報セキュリティ対策の検討をC主任に指示した。次は,検討の進め方に関するC主任とD課長の会話である。
C主任: 情報セキュリティ対策を検討するには,どのような観点で整理するのがよいでしょうか。
D課長: そうだな。例えば,リスクを低減するための情報セキュリティ対策を,抑止,予防,検知,回復の四つの観点から検討するという考え方がある。
C主任: すみませんが,抑止,予防,検知,回復について,もう少し詳しく教えていただけないでしょうか。
D課長: 抑止とは,リスクを[  a  ]に発現させようとする者に対して,そうした行為を[  b  ]し,思いとどまらせるために実施する対策をいう。予防とは,[  a  ]であるか,[  b  ]であるかにかかわらず,リスクが発現する原因を取り除くために実施する対策をいう。さらに,検知とは,発現したリスクを早期に発見するために実施する対策であり,回復は,損害を局所化し,原状への復帰を図るために実施する対策をいう。
C主任: リスクの要素には,[  d  ]と[  e  ]が含まれているという話を聞いたことがあるのですが,それらとの関係はどう考えればよいのでしょうか。
D課長: 抑止は人的な[  d  ]の発生を減少させるためのもの,予防は[  d  ]に付け込まれる[  e  ]を減少させるためのものと考えれば分かりやすい。
C主任: 分かりました。早速,検討を始めます。
 
 C主任は,D課長の説明を踏まえて対策を検討し,その結果をD課長に報告した。表は,報告のためにC主任が整理した,情報の取扱方法ごとの情報セキュリティ対策である。
 
表 情報の取扱方法ごとの情報セキュリティ対策
 
 D課長は,表の内容についてC主任と協議し,必要な修正を加えた上で,情報セキュリティ委員会に対策の実施を上申した。その結果,情報セキュリティ委員会での審議を経て表の情報セキュリティ対策は承認され,規程の整備と,未実施の対策の実施が直ちに進められた。
 
  
設問1 本文中の[  a  ]〜[  e  ]に入れる適切な字句を解答群の中から選び,記号で答えよ。
 
解答群
ア 意図的 イ 可用性 ウ 看過 エ 完全性 オ 機密性
カ 脅威 キ 偶発的 ク 継続的 ケ けん制 コ 資産価値
サ 脆(ぜい)弱性        
 
設問1の正解と解説へ
 
設問2 図2に示した調査結果を踏まえ,表中の[  ア  ]〜[  オ  ]に入れる適切な追加の対策を,それぞれ35字以内で述べよ。
 
設問2の正解と解説へ
 
設問3 L社における情報の取扱いについて,(1),(2)に答えよ。
 
(1)  表に示した〔1〕〜〔12〕の対策のうち,相互に矛盾を生じて支障を来す可能性のある対策はどれとどれか。〔1〕〜〔12〕の中から二つ選び,記号で答えよ。
(2)  (1)で挙げた矛盾する対策によって,どのような支障を来すか。30字以内で述べよ。
  
設問3の正解と解説へ
 
設問4 リスクへの対応に際しては,リスクの低減だけでなく,リスクの回避を検討する場合がある。本社と営業所間及び営業所相互間でのファックスを用いた情報の送受信におけるリスクを回避するため,あなたが情報セキュリティスペシャリストであったら,どのような対策を提言するか。L社における情報の取扱方法を踏まえ,USBメモリとファックスを用いない代替策を,50字以内で具体的に述べよ。
 
設問4の正解例と解説へ
 
メニューへ戻る