初級シスアド 平成16年度秋期試験 問題(午後問4)
問4 ファイルサーバのアクセス制御に関する次の記述を読んで,設問1〜3に答えよ。
P社は,広告代理店である。P社には,全社員が遵守しなければならないセキュリティポリシがある。このたび,P社では,昨今の経営環境の変化を踏まえ,各部門に機密情報の漏えい防止対策の強化を通達した。図1に,P社のセキュリティポリシのうち,機密情報の管理に関する箇所を示す。
第3節 機密情報の管理
|
P社の第一営業本部は,X自動車を顧客にもつX自動車部,Y自動車を顧客にもつY自動車部及び管理部の三つの部から構成されている。第一営業本部では,これまで,機密情報の管理方法が部ごとに異なっていた。そこで,今回の機密情報の漏えい防止対策の強化をきっかけに,機密情報はすべてファイルサーバで一元管理することにし,新たに機密情報専用の本部ファイルサーバ(以下,機密サーバという)を導入することにした。
〔機密サーバのアクセス制御の仕様〕
機密サーバのアクセス制御の仕様は,次のとおりである。
| (1) | 利用者IDとログインパスワードによってユーザ認証を行う。 |
| (2) | 利用者IDの属性として,必ず利用者グループを一つ設定する。 |
| (3) | ファイルはすべてフォルダに格納され フォルダ単位でアクセス権を設定する。 |
| (4) | フォルダに設定するアクセス権は,読取り権と書込み権であり,利用者グループ単位で設定する。各フォルダには,複数の利用者グループのアクセス権を設定することができる。 |
| (5) | フォルダは,階層構造を構成できる。上位フォルダと下位フォルダに設定されたアクセス権が異なる場合には,下位フォルダのアクセス権が優先される。どのグループのアクセス権も下位フォルダに設定がない場合には,上位フォルダのアクセス権が引き継がれる。 |
| (6) | フォルダには,読取り時と書込み時に共通して用いるフォルダパスワードを設定することができる。ただし,フォルダパスワードは,設定しなくてもよい。 |
設問1 D君は,機密サーバの導入及び運用管理の担当者である。機密情報の漏えい防止用のアクセス権設定モデルがあることを知ったD君は,機密サーバのアクセス権の設定方針を次のようにまとめた。次の記述中の[ ]に入れる適切な字句を,解答群の中から選べ。
〔機密サーバのアクセス権の設定方針案〕
図2に,機密サーバのフォルダ構成案を示す。
利用者グループとして,部長職,課長職及び主任職の三つを作成する。利用者IDは,主任職以上の全部員に個別に発行する。利用者IDには,各部員の職位と合致する利用者グループを設定する。
機密フォルダには,すべての利用者グループに対して読取り権だけを付与する。“極秘”,“秘”及び“取扱注意”のフォルダには,次の二つの原則に従ってアクセス権を設定する。
自分が見てもよい情報だけが見られるようにするために,原則1として,[ a ]という原則を設定する。
本来情報を見る権限のない職位の者に対して,上位の職位の者が誤って情報を開示することのないようにするために,原則2として,[ b ]という原則を設定する。
アクセス権の設定状況を示す表を,アクセス権テーブルという。この二つの原則を適用すると,アクセス権テーブルは,表のようになる。アクセス権テーブルでは,読取り権だけが設定されている場合を“r”,書込み権だけが設定されている場合を“w”,読取り権と書込み権が設定されている場合を“rw”,読取り権,書込み権のいずれも設定されていない場合を“−”で表す。
a,bに関する解答群
| ア | 読取りを許可されている最上位の機密区分よりも低位の機密区分のフォルダを読み取ることはできない |
| イ | 読取りを許可されている最上位の機密区分よりも高位の機密区分のフォルダを読み取ることはできない |
| ウ | 読取りを許可されている最上位の機密区分よりも低位の機密区分のフォルダに書き込むことはできない |
| エ | 読取りを許可されている最上位の機密区分よりも高位の機密区分のフォルダに書き込むことはできない |
c,dに関する解答群
ア r イ rw ウ w エ −
設問1の正解へ
設問2 D君の上司であるE主任は,D君が初めに考えた方法では業務上不都合なことも多いと考え,ほかの部員に意見を聞いた上で,よりよい案がないか検討するようD君に指示した。部員に対するヒアリングの結果と機密サーバにおけるアクセス権の設定方針の変更案に関する次の記述中の[ ]に入れる適切な字句を,解答群の中から選べ。ただし,X自動車部とY自動車部で部員の重複はないものとする。
〔部員に対するヒアリングの結果〕
X自動車とY自動車は競合関係にあるので,三つの部が共通にアクセスできるフォルダのほかに,同じ機密区分でも,X自動車部の部員だけがアクセスできるフォルダと,Y自動車部の部員だけがアクセスできるフォルダが必要である。
〔機密サーバにおけるアクセス権の設定方針の変更案〕
セキュリティポリシと部員に対するヒアリングの結果の両方を満足させるために,機密サーバのフォルダ構成を図3のように変更し,次の二つの案を提示する。
| (1) | 案1 利用者IDと利用者グループは,設問1と同じように設定し,フォルダのアクセス権の設定とフォルダパスワードを利用してアクセス制御を行う。この場合,機密サーバ全体では,最低でも[ e ]種類のフォルダパスワードが使用される。ただし,フォルダパスワードは,複数のフォルダに同じものが設定できる。 |
| (2) | 案2 フォルダパスワードは利用せず,フォルダのアクセス権の設定と利用者グループの再編成によってアクセス制御を行う。この場合,機密サーバ全体では,最低でも[ f ]種類の利用者グループが必要である。 |
案1と案2のどちらを選択するかは,運用の容易性,業務内容の変化に対する柔軟性などを総合的に勘案した上で決定する。
解答群
ア 1 イ 2 ウ 3 エ 6 オ 9
設問2の正解へ
設問3 D君は,図1中の第33条に基づいて,機密サーバ及び機密情報の利用ルールの詳細を検討した。機密情報の漏えい防止対策として効果のある利用ルールを,解答群の中から二つ選べ。
解答群
| ア | 各部員は,機密情報のファイルのバックアップを取得しておくこと。 |
| イ | 機密サーバにログインしたまま離席しないこと。 |
| ウ | 機密サーバのログインパスワードは,“利用者ID+利用者グループ名”とすること。 |
| エ | 機密情報の数値データに計算間違いがないか2回見直すこと。 |
| オ | 機密情報をネットワークで送信する必要があると判断されたときには,暗号化してから送信すること。 |
| カ | 作成途中の機密情報のファイルは,自分のパソコンに保管すること。 |
設問3の正解へ
メニューへ戻る