情報セキュアド 平成19年度試験 問題(午後2 問1)
問1 ワークスタイル改革におけるセキュリティに関する次の記述を読んで,設問1〜5に答えよ。
Q社は,社員数2,000名の事務機器を取り扱う商社であり,多様な商品を全国の法人に販売している。本社には,経営企画部,総務部などの本部と,商品分野ごとに編成された10の事業部がある。事業部の社員の大半は営業員で,業務の根幹を支えている。Q社本社の勤務概要を表に示す。
〔業務環境の課題〕
本社のオフィスビルは,開設後20年が経過しており,膨大な畳の文書が執務空間を圧迫している。不要な文書を廃棄したり,利用頻度の低い資料を社外倉庫で保管したりしているが,それだけでは追いつかず,キャビネットに入りきらないままとなっている。数年前から文書の電子化を推進しており,本部が作成した文書については,社内ホームページからダウンロードできるようにしたが,閲覧したい文書がどのホームページからダウンロードできるかの案内がなく,使い勝手が悪い。このような現状なので,必要な資料を印刷して,手元で管理する社員が少なくない。また,会議で紙媒体の資料を配布する習慣も改まらず,社内での紙の使用量は一向に減っていない。
営業員は,社外での商談が多く,執務室の在席率は低い。事務処理の締め日近くは在席率が高くなるが,それでも50%を超えることはほとんどない。更なる業績向上のために,法人に対して様々な商品を組み合わせて提案する営業の強化を図っているが,商品ごとに扱う部門が異なり,執務室が離れていることもあって,情報共有が進まない。その結果,提案内容が不十分であったり,提案に時間がかかったりして,商機を逸してしまうことがあった。
〔情報システムの概要と課題〕
情報システムは,会計管理,受発注,商品管理,人事の各サブシステムからなる基幹系システムと,企画や営業活動を支援する情報系システムとからなり,社内LAN上で稼働している。PCは,全社員に配布されており,ノートPCも多く利用されている。営業員は,ワープロ,表計算ソフトなどがインストールされているノートPCを携帯して外出する。外出中には,喫茶店などでインターネットに接続してWebサイトから情報を収集したり,ワープロを使って見積書や提案書を作成したりしている。
すべてのPCとファイルサーバには,ネットワーク対応のOS(以下,ネット型OSという)が導入され運用されている。Q社が利用しているネット型OSにおけるネットワーク利用の仕組み(概要)を,図1に示す。
1.ネットワーク領域
2.ユーザ属性グループ
3.ネットワーク領域管理サーバ
|
Q社では,部門内で利用するファイルサーバやプリンタの管理は各部門に任されており,ネットワーク領域,ユーザ属性グループ及びユーザの管理は,部門ごとにネットワーク領域管理サーバを導入して行われている。一方,部門間で共用するアプリケーションは,Webアプリケーションとして構築されており,ベーシック認証を用いた個別のユーザ管理が行われている。このように,ユーザ管理が重複して行われているので無駄が多く,ユーザも利用対象ごとにログインし直す必要があり,不便である。
〔セキュリティ対策の状況〕
Q社におけるセキュリティ対策の状況は,次のとおりである。
| (1) |
セキュリティポリシの運用 セキュリティポリシを7年前に整備した。しかし,個人情報保護法の施行時や様々な法令の改正時など,新たなセキュリティ対策が必要とされるたびに変更を重ねてきたことから,社員が最新の内容を理解できていない。セキュリティポリシや関連する規程は社内のホームページに掲載されているが,規程によって所管部門及び掲載ホームページが異なるので,社員が業務を行う上で判断に迷った場合に,どのホームページを確認したらよいのか分からない。 |
| (2) |
ネットワークセキュリティ対策 インターネットと社内LANとの境界にはファイアウォールを導入し,社外からの不正アクセスに対応している。また,DMZにWeb用のプロキシサーバを設置し,社内LANからインターネットへのアクセスはすべてプロキシサーバを経由させるようにしている。このプロキシサーバでは,ブラックリスト方式によるフィルタリングソフトを稼働させており,一部のサイトへの接続を[ b ]している。 |
| (3) |
ウイルス対策 すべてのPCとサーバにはウイルス対策ソフトを導入している。ウイルス対策ソフトは,インターネット上のソフトメーカのサイトに接続して,プログラム及び[ c ]を常に最新状態に維持できるようにしている。 |
| (4) |
セキュリティパッチ適用 OSやアプリケーションに対するセキュリティパッチの導入を,随時促している。ウイルス対策ソフトの更新が必要な場合や,OSのセキュリティパッチが発表された場合には,情報システム部が各部門に対応を依頼しているが,依頼が見過ごされてしまうことがあり,問題視されている。 |
| (5) |
ノートPCの社外持出し対策 社員が社外に持ち出すノートPCに,パーソナルファイアウォールを導入している。これによって,ネットワークを介した攻撃によるインターネット接続中のノートPCからの情報漏えいは防止できるようになった。しかし,公共の場所でのぞき見られるリスクやノートPCの置忘れによる情報漏えいのリスクについては,対策が不十分である。社員に対しては,社外におけるノートPCの利用規程を設けて,対策の徹底を促しているが,社員に過失があっても情報漏えいが起こらないように,〔1〕更なる対策を検討している。 |
| (6) |
物理的セキュリティ対策 出入ロに警備員を配置し,顔写真入りの社員証の提示を全社員に義務化している。来訪者には入場許可証を貸与している。来訪者が,商談コーナと間違えて執務室に入ってしまうことがあるが,執務室には常に社員がおり,通常の勤務者以外が入室すればすぐに声をかけて退室させることができるので,セキュリティに関する問題が起きたことはない。パートタイマ,アルバイト,派遣社員及び契約社員には,入場許可証を一定期間貸与する運用としている。 |
〔ワークスタイル改革の検討〕
業務の効率向上や情報共有の推進を目指して,ワークスタイル改革を行うことが経営決定され,これを実現するために,図2に示す活動方針によるオフィス改革プロジェクトが発足した。プロジェクトリーダにはK常務が指名され,検討が進められた。
|
1.目的 業務の効率向上と,情報共有の推進を目指した業務改革の一環として,次のような目的の下にプロジェクトを推進する。
2.プロジェクトの編成
|
ワークスタイル検討グループは,空席を自由に利用できるフリーアドレスオフィスを実現するための検討を進めた。フリーアドレスオフィスでは,机上や引き出しを占有して業務に必要な荷物を格納することを禁止するので,施錠可能なキャビネットを一人1台割り当てることを提案することにした。すなわち,外出時や帰宅時には,すべての荷物をキャビネットに入れ,キャビネットは所定のコーナに保管する。この施策は情報セキュリティ面でも効果があり,[ d ]が実現しやすくなる。
一方,フリーアドレスオフィスでは,周囲の社員が顔見知りとは限らず,迷い込んだ来訪者と区別できないことが危慎されたので,全執務室の出入口に,ICカードと暗証番号による認証が必要な電子錠を設置する施策と,〔2〕社員であるかどうかを社内ですぐに判断できるような施策を提案することにした。
新システム検討グループは,情報システムへの要求事項を踏まえ,フリーアドレスオフィスにおけるコミュニケーションを確保するための携帯電話とノートPCの全社員への配布,ネットワーク対応型イメージスキャナの設置,及び文書管理システムとワークフローシステムの導入について具体化することにした。
〔ワンストップ型情報システムの検討〕
ワークスタイル検討グループは,業務のワンストップ化を検討した。その結果,ファイルサーバやプリンタを利用するためのネットワーク領域へのログインと,全社共用の様々なWebアプリケーションへのログインを一元化するシングルサインオン機能を,情報システムへの要求事項として提示した。
さらに,ユーザに重要事項をプッシュ型で通知する機能,様々な日常業務で利用するシステムの操作方法を分かりやすく示すプル型情報案内の機能,及び全社共用のWebアプリケーションの起動機能をもった社内ポータルシステムを,要求事項に含めた。特に,重要事項をプッシュ型で通知する機能は,毎日,出勤時にシステムにログインすると必ず表示され,内容を確認しないと次画面に進めないようにするよう求めた。
情報システムへの要求事項の提示を受けた新システム検討グループは,図3で示した段階的な整備計画を立案した。
|
|
〔新システムへの移行案の検討〕
検討が進んだところで,新システム検討グループは,図5で示した新システムへの移行案を検討した。
|
新システムへの移行案が具体化したところで,情報システム部のY部長がセキュリティ検討チームのZ君に新システムのセキュリティ対策などに関して確認した。次は,そのときの会話である。
| Y部長: | セキュリティ対策の問題ではないが,〔5〕この移行案では,全社展開時に問題が起こる可能性が高い。修正が必要だ。 |
| Z君: | 分かりました。修正します。 |
| Y部長: | ところで,紙文書はシステムで管理できないので情報漏えいリスクがあったが,ぺ−パレス化を推進すれば回避できるのかね。 |
| Z君: | 紙文書の管理は残るので,情報漏えいリスクも残ります。また,電子化することで,電子化文書へのアクセス状況をシステムによって監視できるようになりますが,反面,セキュリティ上の欠陥があれば,一度に大量の情報が持ち出される危険が増大します。 |
| Y部長: | 電子化文書が一度に持ち出される危険性は,どのように減少させるつもりなのかね。 |
| Z君: | アクセス制御などの設定を適切に行うことが重要ですが,社内での情報漏えい防止と,社外での情報漏えい防止とでは考え方が異なります。 |
| Y部長: | 社外での情報漏えい防止は既に検討を行ってきたが,社内での情報漏えい防止はどう考えているのかね。 |
| Z君: | 社内での情報漏えい防止策を追加します。社員は,情報システムへのアクセス権をもっていますから,アクセス制御だけでは情報漏えいの防止は困難です。システムの利用状況をログに残すことで,事後に行動を追跡できるようにします。その上で,懲罰規程があることと,ログを残すことを社員に告知すれば[ e ]を働かせることもできます。 |
| Y部長: | 紙文書も残るということだが,紙文書からの情報漏えいについてはどう考えているのかね。 |
| Z君: | 紙文書は量が減りますから,従来どおりの規程で十分にリスクが低減されると考えています。さらに,セキュリティの全体的な向上のためにセキュリティパッチの導入情報やウイルス対策ソフトのアップデート情報とともに,社内ポータルシステムのプル型情報案内の機能で各種規程を分かりやすく提示し,ユーザがいつでもセキュリティ対策を正しく実施できるよう支援するつもりです。 |
| Y部長: | 〔6〕当社のセキュリティ対策の状況を改善するために,導入するワンストップ型情報システムの機能をもっと積極的に活用してほしい。また,会社の内部でも,他部門には知られてはならない情報がある。現在検討中の新システムでは,〔7〕プリンタの扱いで心配な点があるので,技術的なセキュリティ対策を検討してくれ。 |
| Z君: | 分かりました。 |
こうした議論を経て,オフィス改革プロジェクトの施策案は経営会議で承認され,実行に移された。
設問1 次の(1),(2)に答えよ。
| (1) | 図1中の[ a ],及び本文中の[ b ]〜[ e ]に入れる適切な字句を答えよ。 |
| (2) | 本文中の下線〔1〕で示した更なる対策として妥当なものは何か。のぞき見対策及び置忘れ対策の内容について,それぞれ20字以内で述べよ。 |
設問1の正解と解説へ
設問2 〔ワークスタイル改革の検討〕における本文中の下線〔2〕で示した施策としてどのような事項が考えられるか。20字以内で具体的に述べよ。
設問2の正解と解説へ
設問3 新システムについて,(1),(2)に答えよ。
| (1) | 図3中の下線〔3〕で示したネット型OSの機能の適切な活用方法を,40字以内で具体的に述べよ。 |
| (2) | 図5中の下線〔4〕で示した,社内ポータルシステムの動作を採用する場合に懸念される業務への重大な影響とはどのような事態か。60字以内で具体的に述べよ。 |
設問3の正解と解説へ
設問4 〔新システムへの移行案の検討〕について,(1),(2)に答えよ。
| (1) | 本文中の下線〔5〕で示した,起こる可能性が高い移行案の問題を,60字以内で述べよ。 |
| (2) | 本文中の下線〔7〕で示したプリンタの扱いについて,心配な点と,その技術的なセキュリティ対策を,それぞれ40字以内で述べよ。 |
設問4の正解と解説へ
設問5 本文中の下線〔6〕で示した,ワンストップ型情報システムを使ってセキュリティ対策の状況を改善する方法を,60字以内で述べよ。
設問5の正解と解説へ
メニューへ戻る