情報セキュリティアドミニストレータ
平成15年午後I問1
問1~4に答えよ。
D社は、自動車関連の部品や雑貨の販売、取付けや整備を行う中堅小売業者で、消
費者向けに店頭販売と訪問販売を行っている。首都圏を中心に10支店があり、それぞ
れ管轄地域内の数か所の営業所と十数か所の店舗を統括している。営業所では配属さ
れた営業員が顧客リストに基づいて訪問販売を行い、店舗では従業員が店頭での接客、
販売、整備などを行う。
D社では、情報システム部が情報セキュリティポリシ及び具体的な取決めを定めた
実施手順書の策定を終えたばかりであった。図1、2に、D社の情報システム部が策定
した情報セキュリティポリシの目次と実施手順書(利用者IDとパスワードの項目の抜
粋)を示す。
| (1)対象情報システム及び対象情報資産 (2)情報システム装置への対策、ソフトウェアヘの対策及びバックアップ対策 (3)ウイルス対策、不正アクセス対策及びソフトウェアの不正コピー対策 (4)情報システムのアクセス管理、ネットワーク管理及びリモートアクセス管理 (5)物理的及び環境的セキュリティ (6)システム開発及び保守 (7)障害トラブルヘの対応及び法令などの遵守 |
| (1)利用者IDは各人に配付され、初期パスワードを最初のログインと同時に変更する。 (2)パスワードは意味のない文字列にし、必ず1文字以上の特殊記号を入れる。利用者ID は6けた、パスワードは8けた以上にする。 (3)パスワードは1か月ごとに変更するが、一度使用したパスワードは登録できない。 |
〔顧客情報システムの開発及び稼働〕
D社では、新たに営業システムに顧客情報システムを追加して、顧客との関係を強
化することになった。図1、2に基づいて開発された顧客情報システムでは、実施手順
書で指定された利用者IDとパスワードの基準に準拠した機能が実装されていたが、実
際の運用においては、各自の利用者IDとパスワードを書いたメモをパソコンの周りに
残しているユーザが少なくなかった。
〔F営業所での事件〕
ある朝、F営業所の管轄支店の営業推進担当者が、F営業所そばの駅のごみ箱から
F営業所の顧客リストがはみ出しているところを発見し、回収した。顧客リストには、
顧客の氏名、住所のほかに推定年収、高額商品の購入履歴、現在の商談状況などが記
載されていた。回収された顧客リストには細断などの処理が何もされていなかったの
で、顧客リストの出力を行った利用者IDがすぐに特定された。しかし、この利用者
IDを利用する営業員は、この1週間入院しており、顧客リストが出力された日にはパ
ソコンを操作していなかったことが判明した。この営業員がよく利用するパソコンは、
外部の者も頻繁に出入りしている休息ラウンジのそばに置かれ この営業員の利用者
IDとパスワードのメモがパソコンにはり付けてあった。
数日後、F営業所での事件を知った情報システム部のG部長は、情報セキュリティ
担当者のE氏とシステム運用担当者に、事件の調査と再発防止策の検討を指示した。
検討の結果、①利用者IDとパスワードのメモ類への記録及びはり付けの禁止が打ち出
され、実施手順書に追加された。その後、各営業所の朝礼で各支店の営業推進担当者
から営業員に再発防止策が繰り返し伝達されたので、各営業所では改善が見られた。
〔全社的な情報セキュリティ対策の検討〕
事件の数週間後、E氏が、F営業所で情報セキュリティ対策の遵守状況の調査を行
ったところ、新たに、②システムから出力された帳票類が管理されずに営業所内で放
置されていたり、社外に持ち出されていたりしていることが分かった。また、細断処
理を行うと資源が再利用しにくくなるので、③すべての不要な帳票類は細断されずに
そのままリサイクルゴミ箱に廃棄されていることも分かった。
E氏は、問題が発生する前に、情報セキュリティを確保するための総合的な対策を
実施することが必要であると感じ、G部長に相談した。
次は、情報セキュリティ対策に関するG部長とE氏の会話である。
G部長:情報システム部だけの情報セキュリティ対策ではだめだということだが。
E氏:はい。対策を効果的に推進するためには、情報セキュリティに対して、全社
的に取り組む必要があると思います。まず、各部署の情報セキュリティ責任
者を集めた【 a 】を設置し、各部薯や従業員の情報セキュリティに関
する責任と権限を明確にして、全社的な取組として推進することが必要です。
G部長:これまで、情報システム部としてとれる対策はとってきたのだからよいので
はないか。効果が出なければ、人事部が【 b 】の罰則を強化して、営
業所の朝礼でその徹底を図ればよい。
E氏:いいえ。それだけでは十分とは思えません。【 b 】の罰則を強化しても、
外部の者が自由に出入りしている現状の営業所内で、顧客リストなどが放置
されていたのでは、対策としては不十分です。
G部長:【 b 】の改定は人事部が行うことだし、文書管理規則は総務部が制定し
ているし、帳票自体の管理は各部署が行うことなので、それぞれに任せれば
よいのでは。
E氏:情報セキュリティは、単に【 c 】化された情報や情報システム上のセ
キュリティを扱うだけでなく、全社で取り扱う情報資産すべてが対象です。
G部長:すべての情報資産に対する管理方針は、JIS X 5080(ISO//IEC 17799)を参考に、
情報セキュリティポリシ(図1)の中で定めたはずだ。また、自分の担当も
ままならないのに、ほかの担当領域に口をだすのには抵抗がある。ところで、
君からのメモに“物理的及び環境的セキュリティにも対策が必要”とあるが、
何のことかね。
E氏:営業所の現状に対応した対策として、営業所での入退室管理の実行など、物
理的及び環境的セキュリティの対策を実施しなければ、今後、別の事件が起
きる可能性があると思いメモに書きました。
G部長:建物などは総務部の担当であるから、検討する場合には、総務部を交える必
要がある。しかし、それだけでは、君が指摘する十分な対策にはならないの
ではないか。④従業員の管理やモラルも問題だと思うのだが。前回のトラブ
ルのときも私の耳に入るまでに、随分時間がかかったようだが。
E氏:そのとおりです。“人的セキュリティ”として、従業員の管理やモラルを向上
させるための対策が必要です。しかし、現在の情報セキュリティポリシや規
則には、何も明記されておりません。
G部長:確かに明記はされていない。しかし、明記されていなくても、これまでに情
報システム部として関連した対策をとってきたはずだ。
E氏:はい。まず、情報システムとシステム上の情報に関する取扱ルールを作り、
情報システム部が、画一的にすべての従業員に集合【 d 】を行ってき
ました。しかし、情報システム部員の説明では専門用語が多く、業務との関
連がない説明のために分かりづらいとの声が多かったので、今後は、各部署
の責任者にお願いして、業務の状況に応じた【 d 】を継続的に行って、
情報セキュリティ意識を高める必要があると考えております。
G部長:情報の取扱いといえば、情報の中には契約や法律が関係していて、取扱いに
配慮を必要とするものもあるのではないか。
E氏:そうですね。【 e 】契約に基づいて取引先から得た新事情報や部品情報
などは、一般に、製品が発表されるまで【 e 】契約を遵守する必要が
あります。また、顧客情報はプライバシ保護にも関係するので、むやみに情
報を取得したり、その情報を公表したりすることには問題があります。法務
部や人事部と協力して、このことを従業員に意識させ、守らせる工夫が必要
です。
G部長:確かにそう言われると、全社的に取り組まないとうまく対策が取れないよう
だ。今後は、各部署にどう働きかけるべきか、検討してみよう。
設問1
本文中の【 a 】~【 e 】に入れる適切な字句を答えよ。【 a 】
については、15字以内で答えよ。【 b 】~【 e 】については、それ
ぞれ6字以内で答えよ。
設問2
情報セキュリティポリシの目次(図1)の(1)~(7)の中で、本文中の下線①の再
発防止策が関係しないと思われるものを二つ選び、番号で答えよ。
設問3
本文中の下線④のG部長の指摘に対する人的セキュリティの強化策として、本
文中の問題点に基づき、【 d 】及び【 e 】以外の項目で、どのような
対策を行うべきか。JIS X 5080(ISO/IEC 17799)の人的セキュリティに関する管
理策に基づいて、25字以内で述べよ。
設問4
本文中の下線②、③に関する次の問いに答えよ。
(1) F営業所の帳票類の取扱いに関して、下線②を防止するためには、出力され
た帳票類をどのように管理すべきか。20字以内で述べよ。
(2) すべての情報資産に対する管理方針を踏まえて、資源の再利用を考慮した本
文中の下線③の処置の代わりに採用すべき帳票類の処置方法を、50字以内で述
べよ。
sponsored link
このページ
のTOPへ
