情報セキュアド 平成19年度試験 問題(午後1 問4)
問4 情報セキュリティの継続的改善に関する次の記述を読んで.設問1〜4に答えよ。
W社は,正社員数500名の電子部品メーカである。都心の本社ビルに総務部,システム部,営業部があり,郊外の工場に設計部,製造部がある。本社ビルには150名が勤務しており,そのうちの90名が営業部員である。一方,工場には350名が勤務しており,その半数が製造部員である。営業部,製造部では,正社員以外に派遣社員及びアルバイトが業務に従事しており,各部署の課ごとに課長が管理している。特に製造部では,頻繁に入れ替わる多数のアルバイトが業務に従事している。
図1に,W社本社ビルの情報システムの構成を示す。W社では,外出先からインターネット経由で行う営業支援システムへのリモートアクセスを,派遣社員を含む営業部員に許可している。営業支援システムは,営業支援Webサーバと営業情報DBサーバによって構成されている。外出先から,ノートPCを使って営業支援システムにリモートアクセスする際は,VPNゲートウェイサーバをプロキシサーバとして動作させ,LAN2の営業支援Webサーバにアクセスする。VPNゲートウェイサーバからの接続は,営業支援システムに限定されている。
W社の全サーバは,IDとパスワードによるアクセス制御が行われており,アカウントの登録及び削除の管理は,サーバごとに任命されたサーバ管理者が行っている。アカウントの付与は,各課の課長が作成するアカウント付与依頼書に基づいて行う。正社員にアカウントを付与する場合は,アカウント付与依頼書に各部署の部長の承認が必要であり,正社員以外の場合には総務部長の承認が必要である。アカウントの削除は,総務部が作成するアカウント削除依頼書に基づいて行う。総務部は,退職した正社員・アルバイト及び派遣契約の終了した派遣社員(以下,退職者という)に関する情報を基にアカウント削除依頼書を作成し,全サーバ管理者に配布する。サーバ管理者は,サーバに登録されたアカウントと対象者を対比して,該当アカウントを削除する。
〔セキュリティインシデントの発見と対応〕
VPNゲートウェイサーバの管理者であるシステム部のF君が,ある日,営業部からの問合せによって,現在は業務に従事していない元営業部所属の派遣社員A氏のリモートアクセス用アカウントが利用されていることを発見した。そこで,F君はA氏のアカウントを削除するとともに,営業支援システムを所管している営業部に対して状況を確認したが,営業支援WebサーバにおいてはA氏のアカウントはアカウント削除依頼書に基づいて削除されており,利用できない状態だった。F君はこの結果を受けて,同様の不正利用を防止するために,VPNゲートウェイサーバのアカウントに対して〔1〕応急対応策を実施した。
その後の調査において,VPNゲートウェイサーバからA氏のアカウントが削除されていなかった原因は,アカウント削除依頼書に記載された削除対象者をF君が見過ごしたことによる,単純な作業ミスであることが判明した。また,この調査の際に,A氏のアカウント付与依頼書には承認印がなかったこと,及び正社員以外の未承認アカウントが製造部のサーバに登録されていた事例が多数あることも確認された。この件は,セキュリティインシデントとして,経営会議に報告された。
〔セキュリティ対策の見直し〕
W社では,サーバのアカウント管理のために各種の社内規程を作成し,その遵守についてサーバ管理者に周知徹底を促していた。特に,正社員以外のアカウントの付与については,承認者を総務部長に一元化することによって管理の徹底を図っていた。しかし,総務部を経由するアカウント付与依頼書の事務処理に時間を要し,派遣社員及びアルバイトの増加に伴って,更に時間がかかることへの不満が多くなり,実際には総務部長の承認前に承認を見越してアカウント登録を行っており,承認後にアカウント登録を行うという運用は徹底されていなかった。また,経営会議において,セキュリティインシデントに関する報告が定性的であり,改善の費用対効果を判断できないことも問題となった。これらの問題を踏まえて,サーバのアカウント管理の実態を定星的に分析し,これを基に課題の優先度を明確にして改善策を具体的に検討することが経営会議において決定され,システム部に対して実態分析と改善策立案の指示が出された。
経営会議での決定を受けて,システム部長は,情報セキュリティスペシャリストのG君に,サーバのアカウント管理の現状調査,定貴分析,改善策をまとめるように指示した。部長から指示を受けたG君は,まず定量分析手法を確立する必要があると考え,アカウントの不正利用に関する想定脅威及び分析対象とするサーバのアカウント管理に関する社内規程を明らかにし,これに対応する評価指標を検討して,表1を作成した。
|
評価対象とする社内規程(抜粋) | 評価指標 | ||
| 権限をもたない利用者に よる,情報の不正利用 |
正社員にアカウントを付与する場合には,各部署の部長の承認を得ること | 正社員の未承認アカウントの存在率 | ||
| 正社員以外にアカウントを付与する場合には,総務部長の承認を得ること | 正社員以外の未承認アカウントの存在率 | |||
| 退職者による,アカウン トの不正利用 |
アカウントを利用する必要がなくなった場合には,速やかに削除すること | 退職者のアカウントの存在率 | ||
| [ a ] | アカウントの付与は特定の個人を対象とし,共用を禁止すること | 共用アカウントの存在率 | ||
| [ b ] | パスワードは,定期的に変更することとし,類推が困難な文字列を採用すること | 半年以内にパスワード変更がなかったアカウントの存在率 |
〔アカウント管理の調査・分析〕
次にG君は,各部署の所管サーバを対象とする調査用紙を作成し,サーバ管理者に対してサーバの調査を依頼した。その後,回収した調査用紙に記載された数値を基に評価値を算出した。評価値は,サーバ所管部ごとに集計し,表2にまとめた。
|
総務部 | システム部 | 営業部 | 設計部 | 製造部 | ||
| 正社員の未承認アカウントの存在率 | 0.0 | 0.0 | 0.0 | 1.2 | 0.0 | ||
| 正社員以外の未承認アカウントの存在率 | 2.5 | 1.3 | 0.0 | 2.3 | 31.1 | ||
| 退職者のアカウントの存在率 | 0.0 | 0.0 | 0.0 | 0.0 | 2.5 | ||
| 共用アカウントの存在率 | 0.0 | 0.0 | 0.0 | 0.0 | 2.8 | ||
| 半年以内にパスワード変更がなかった アカウントの存在率 |
0.0 | 0.0 | 0.0 | 0.0 | 2.4 |
G君はこの評価値を見て,営業部は社内規程の遵守が徹底されているが,営業部以外では社内規程の遵守の徹底に問題があると推測した。特に製造部では,アルバイトが業務に多数従事しており,このことが社内規程遵守の不徹底の原因ではないかと推測した。その後,G君は,〔2〕すべての部署に対して,所管サーバのアカウント管理状況について聞取り調査を実施した。その結果,製造部では,アルバイトへのアカウント付与を早く実施してほしいという各課の課長からの要望が強く,アカウント付与依頼書への総務部長の承認を待たずにサーバ管理者にアカウントを登録させていることが判明した。一方,営業部では,サーバ管理者の作業ミスを防止するために,サーバ管理者以外の者がアカウントの定期点検を実施していることが分かった。
〔アカウント管理の調査結果報告と現状の改善〕
G君は,図2の改善案を作成し,サーバのアカウント管理の実態評価方法とともに,システム部長に検討結果を報告した。
社内規程への追加・修正事項などの改善案
|
システム部長は,アカウント管理状況の定量化の目的は,改善結果を客観的に把握することであると考えていた。G君が選定した評価指標は定量化の目的に合致したものであり,改善の度合いも定量的に評価できると判断した。また,G君が作成した改善案は追加投資が不要であり,費用対効果が高いと判断した。しかし,この改善案では,すべての問題を解決するには至らないと判断し,製造部の現状を考慮した上で〔3〕アカウント付与に関する社内規程を遵守しやすい内容にするための修正を改善案に追加するよう,G君に指示した。
その後,システム部長の指示を反映した改善案が経営会議で承認され,社内で実行に移された。この改善策が効を奏し,半年後の調査では,製造部のアカウント管理についても改善が確認された。
設問1 表1中の[ a ],[ b ]に入れる想定脅威を,評価対象とする社内規程を参考に,それぞれ25字以内で述べよ。
設問1の正解と解説へ
設問2 本文中の下線〔1〕について,実施した応急対応策を,25字以内で述べよ。
設問2の正解と解説へ
設問3 本文中の下線〔2〕の聞取り調査について,(1)〜(3)に答えよ。
| (1) | 各部署の所管サーバの評価値の精度を確保するために,聞取り調査時に確認すべきことを,25字以内で述べよ。 |
| (2) | 社内規程が遵守されていないと思われる部署において,聞取り調査をする目的は何か。G君の現状調査の手順を踏まえて,30字以内で述べよ。 |
| (3) | 社内規程が遵守されていると思われる部署において,聞取り調査をする目的は何か。G君の今回の調査における成果を踏まえて,30字以内で述べよ。 |
設問3の正解と解説へ
設問4 本文中の下線〔3〕の修正について,(1),(2)に答えよ。
| (1) | システム部長は,アカウント付与に関する社内規程を修正することによって,原因となっているどのような状況を改善できると考えているか。その原因を30字以内で述べよ。 |
| (2) | システム部長の指示に対して,どのような修正が考えられるか。45字以内で述べよ。 |
設問4の正解と解説へ
メニューへ戻る