情報セキュアド 平成19年度試験 問題(午後1 問3)
問3 電子文書の安全な管理に関する次の記述を読んで,設問1〜5に答えよ。
P社は,従業員数800名の医薬品会社であり,医薬品の研究開発から製造,販売まで行っている。経営組織としては,事業部制を採用しており,大阪本社のほか,近県に研究センタをはじめ工場や事務所がある。
社内には,新薬研究データや医薬品情報などが電子文書として多数存在する。各事業部では情報の有効活用を図るために,検索対象となる電子文書をあらかじめ走査して索引を作っておく索引型の全文検索によって,高速な検索を可能にしている。
P社では,情報セキュリティ対策に早くから取り組んでおり,5年前にはセキュリティポリシを策定し,電子文書取扱規程を定めた。各事業部には,機密文書の指定権者を置いて,電子文書が機密扱いに該当するか否かの判定を行っている。また,ほかの研究機関との共同研究プロジェクトには特に留意し,共同研究過程で利用される機密文書に対しては,期間を限定したアクセスだけ許可することを規定している。
機密文書として指定された電子文書は,閲覧用のPDFファイルに変換される。閲覧用のPDFファイルは,印刷,変更,及びクリップボードへのコピーが一切できないように設定されて,ファイルサーバ上の閲覧用フォルダに格納される。一方,元のワープロ文書は,ファイルサーバ上で,特定の従業員だけがアクセスできるフォルダに格納される。従業員の認証情報は一元化されており,閲覧用フォルダ及び特定の従業員だけがアクセスできるフォルダに対しては,認証情報に基づいたアクセス制御を行っている。
〔セキュリティ対策の見直し〕
先月,ある医療機関のPCが盗難に遭って,大量の個人情報が漏えいし,新聞に大きく取り上げられた。これまでP社では,幸いにして大きな情報漏えい事故は起きていないが,この新聞報道もあって,情報システム部のB部長は,P社における機密文書の取扱いについて実態調査を行った。その結果,次の問題が浮上した。
| (1) | システム的な情報漏えい防止策が,フォルダのアクセス制御に依存しているので,フォルダから取り出したファイルを制御する手立てがなく,情報が第三者に流出するおそれがある。 |
| (2) | 設定誤りを検知する仕組みがないので,文書を作成した従業員が電子文書取扱規程に従わずに,変更可能なPDFファイルを閲覧用フォルダに格納していることが見過ごされ,機密情報の信憑(ぴょう)性の低下が懸念される。 |
| (3) | 共同研究過程で利用された機密文書がPCに保存され,許可された期間を過ぎても操作可能になっている状況が見られた。 |
B部長は,これらの問題を重く受け止め,情報セキュリティスペシャリストのN主任に,機密文書のセキュリティ対策を見直すよう命じた。
N主任は,直ちに検討を行い,PDFファイルに変換する必要がなく,しかも運用が容易な,表に示す電子文書管理システムの導入を提案した。B部長は,この提案を具体的に進めるよう指示した。
| 項目 | 説明 |
| 方式 | 操作権限管理方式 |
| 操作制限の方法 | アクセスが許可された者の操作権限を,電子文書ごとにサーバで管理し,操作権限に応じて電子文書の操作を可能にする。電子文書は暗号化され,アクセスが許可されていない者は一切操作できない。 |
| 電子文書作成時の作業 | [ a ]の原則にのっとって,アクセスが許可された者,操作権限,アクセス許可期間などを,電子文書ごとに登録する。 |
| 印刷やコピー | 操作権限の範囲で,各自のPCで行う。 |
〔電子文書管理システムの導入検討〕
図は,電子文書管理システムの概要である。電子文書管理システムは,アクセスが許可された者のリスト(以下,ALという)や操作権限などを管理するRMサーバ,RMサーバと連携して電子文書に対する操作を行うRMクライアント,及びファイルサーバから構成される。RMクライアントは,ワープロ機能をもち,全従業員に配布される。電子文書管理システムに登録された電子文書は,RMクライアントを使用しない限り中身が読めないように制限されている。RMサーバとRMクライアントの間は,データを公開鍵暗号方式で暗号化して送受信する。このとき用いる公開鍵証明書は,人事データベースなどと連動して,従業員,派遣社員,共同研究プロジェクトの研究者などに,一人1枚ずつ発行され,従業員の出向や退職,派遣契約の終了,共同研究プロジェクトの終了などによって[ b ]する。
RMサーバは,電子文書の管理単位に配置することとし,当面は事業部ごとに1台ずつ配置する。各事業部の機密文書の指定権者は,電子文書管理システムに登録される電子文書の文書管理者となる。文書作成者は,適切なALや操作権限を電子文書の属性として設定するとともに,電子文書取扱規程に従ったアクセス許可期間を設定する。
|
次は,電子文書管理システムの運用に関するB部長とN主任の会話である。
| B部長: | 電子文書を利用できない期間があるという事態は許されないので,将来,事業部の統合が起きた場合でも,迅速に対応しなければならないが,運用面で問題はないか。 |
| N主任: | 事業部の統合に当たって,統合が行われる前に準備が可能な作業や,統合が行われた後の作業はあらかじめ洗い出してあります。これらの作業を確実に行うことで,遅滞なく対応可能です。 |
この計画は,情報セキュリティ委員会に諮られ,操作権限の設定が適切に行われていないことによって機密情報の流出や信憑性の低下が見過ごされる問題を,〔1〕電子文書管理システムを活用した運用方法によって解決できることが評価され,承認された。
電子文書管理システムは,その後,無事に試行段階に入った。また,〔2〕共同研究過程で利用された機密文書に対する許可期間限定アクセスも,電子文書管理システムで徹底できるようになった。
設問1 表中の[ a ],及び本文中の[ b ]に入れる適切な字句を解答群の中から選び,記号で答えよ。
解答群
ア 失効 イ 信頼 ウ 必要 エ 変更
設問1の正解と解説へ
設問2 本文中の下線〔2〕に関して,電子文書管理システムを用いると,共同研究過程で利用される機密文書に対する許可期間限定アクセスをなぜ徹底することができるのか。30字以内で具体的に述べよ。
設問2の正解と解説へ
設問3 事業部が統合される場合に,電子文書管理システムを統合後の事業部に対応させるための作業を二つ挙げ,それぞれ30字以内で述べよ。
設問3の正解と解説へ
設問4 本文中の下線〔1〕で示した運用方法を,40字以内で具体的に述べよ。
設問4の正解と解説へ
設問5 操作権限管理方式による電子文書管理システムを実現するために必要な,図中4.処理概要の(A)の処理内容と(B)の通知内容を,それぞれ二つずつ挙げ,10字以内で答えよ。
設問5の正解と解説へ
メニューへ戻る