情報処理技術者試験ナビ

当サイトは準備中です。

SG 28春 午後 問3

◀️ 前へ

問題文

情報セキュリテイ自己点検に関する次の記述を読んで,設問1〜4に答えよ。

 R 社は従業員数600名の投資コンサルティング会社である。R 社では顧客の個人情報(以下,顧客情報という)を取り扱っていることから,情報セキュリティの維持に注力している。
 R 社ネットワークでは URL フィルタリングを導入しており,フリーメールサービスを提供する Web サイトやソフトウェアのダウンロードサイトへのアクセスを禁止している。また,従業員にノート PC 又はデスクトップ PC のどちらかを貸与しており,それらの PC(以下,貸与 PC という)では USB メモリを使用できないようにしている。貸与 PC のうち,ノート PC だけが,リモート接続サービスによる社内ネットワークへの接続を許可されている。
 海外営業部の部員は10人で,顧客は500人弱である。各部員は,担当顧客に,電子メールや電話を使って営業を行っている。海外営業部は他の営業部のオフイスとは離れた海外営業部専用のオフィスで業務を行っている。海外営業部で使用している顧客管理システム(以下,C システムという)は,海外営業部だけが使用している。C システムでは,アクセスログを3か月分保存している。海外営業部の部員は,出張がなく,全員がデスクトップ PC だけを使っている。
 海外営業部では,情報システム部が運用管理を行っているファイルサーバを使用しており,各部員は顧客情報を含むファイルを当該ファイルサーバに一時的に保存する場合がある。その場合は,ファイルのアクセス権を各部員が最小権限の原則に基づいて設定することになっている。R 社では,顧客情報を保護するために,次の2点を各担当者が定期的に確認することとなっている。

  • ファイルサーバに不要な顧客情報を保存していないか。
  • ファイルのアクセス権は適切に設定されているか。

 R 社では,情報セキュリティ推進部が実施する情報セキュリティ教育があり,海外営業部では,新たに配属された部員だけが受講することになっている。教育終了後には試験があるが,1回では合格できず,再度教育と試験を受ける部員が時々いる。この教育資料は,世の中で新たなセキュリティ脅威が発見される都度,情報セキュリティ推進部で更新している。

 〔海外営業部の簡易チェック〕
海外営業部の W 氏は2か月前に情報セキュリティリーダに任命された。
 海外営業部では,自部門の情報セキュリティを確保するために,独自の取組みとして,四半期に1回,海外営業部で作成した情報セキュリティ簡易チェックリスト(表1)を全部員に配布し,記入(以下,簡易チェックという)させている。表1のチェックリストは,5年前に作成されたものである。

f:id:honmurapeo:20180121221545p:plain

 W 氏が全部員にこのチェックリストを記入してもらったところ,全部員が全てのチェック項目に OK を記入して報告してきた。W 氏は,念のため,数人に実施状況を確認したが,いずれも確かに報告のとおりであった。チェックリストは作成から5年も経過しており,情報セキュリティ事故のニュースを最近よく目にするようになったことから,W 氏は,表2のチェック項目の追加を部長に提案した。

f:id:honmurapeo:20180121221608p:plain

 表2を見た部長は,① “部員が OK と記入してきたとしても,その結果が正しいか客観的に判断できないチェック項目がある” として,W 氏に再検討するよう指示した。W 氏は,次回の簡易チェックに向けて,チェック項目を見直すことにした。

 〔監査部による情報セキュリティ監査〕
 R 社監査部は,1年に1回,CSA(Control Self Assesment:統制自己評価)方式よる情報セキュリテイ監査を実施している。CSA とは,監査部が被監査部門を直接評価するのではなく,被監査部門が,自部門の活動を評価することを指す。R 社監査部では,被監査部門に CSA の実施を依頼し,その結果を活用して監査を実施している。
 R 社では,5年前,監査の方式を決定するに当たり,②監査部が各部門を直接監査する方式と CSA 方式の利点,欠点を比較評価した。その結果,R 社にとっては CSA 方式の方がメリットが大きいと判断し,CSA 方式を採用した。
 R 社の監査実施の手順を図1に示す。

f:id:honmurapeo:20180121221633p:plain

〔CSA の実施〕
 海外営業部にも監査部から CSA を実施するよう依頼があり,W 氏が海外営業部の評価を行うことになった。W 氏は,監査部から送付されてきた CSA シートに従って,職場の状況を観察したり,部員にヒアリングしたりして評価を行った。評価結果を表3に示す。CSA シートの評価結果は次のルールに従って記入する。

  • 評価項目どおりに実施している場合:“OK”
  • 評価項目どおりには実施していないが,代替コントロールによって,“OK” の場合と同程度にリスクが低減されていると考える場合:“(OK)”(代替コントロールを具体的に評価根拠欄に記入する。)
  • 評価項目どおりには実施しておらず,かつ,代替コントロールによって評価項目に関するリスクが抑えられているわけではないと考える場合:“NG”
  • 評価項目に関するリスクがそもそも存在しない場合:“NA”

f:id:honmurapeo:20180121221705p:plain

 W 氏が,CSA 結果を監査部に提出したところ,監査部から電話があり,評価結果について質問を受けた。
 最初の質問は,表3の No.26 の評価根拠欄についてであった。W 氏は,記載內容が事実であることを説明したところ,それであれば監査部としての評価結果も “(OK)” にすると言われた。
 次の質問は,No.29 の証跡として提出した利用者 ID 棚卸記録に,棚卸の際に不要と判断された利用者 ID が5個あることについてであった。W 氏が部内で事実を確認すると,いずれも棚卸の1か月以上前から,部員の退職又は異動で不要になっていた。これについては W 氏も改善が必要であると考え,③改善計画を策定して監査部に提出したところ,適切であるとの連絡があった。

〔新たな指摘についての改善計画〕
 CSA の評価結果及びその後の事実確認に基づき,監査部から新たな指摘を受けた。それは,“C システムにおいて,利用者は自分の担当外の顧客情報に対してもアクセスが可能であり,最小権限の原則が守られておらず,社外への顧客情報の漏えいを防止できるようになっていない” というものであった。そこで,部長と W 氏は改善計画について検討を行った。次は部長と W 氏の会話である。

部長:新たな指摘に対応するために,  e1  が必要だね。

W 氏:はい,そのために全部員に担当顧客を確認しますので,2週間ほど時間を下さい。

部長:分かった。その間のリスクを低減するために,  e2  を実施しておくというのはどうだろう。

W 氏:はい,分かりました。他にも,万が一顧客情報の漏えいが発生してしまったときのことを考えると,  e3  も有効だと思います。

部長:それも実施しよう。他に,前から気になっていたのだが,部員が顧客情報を不適切に変更しないように,顧客情報の追加・修正・削除の権限についても考える必要があるね。

W 氏:  f1  はどうでしょう。

部長:それでは業務が回らなくなるのではないかな。  f2  が,効率が良いのではないだろうか。

W 氏:そうですね。しかし,ベンダに開発をお願いするので,半年は掛かります。対策が有効になるまで,負担は増えますが,  f3  を行うのはどうでしようか。

部長:そうだな,ちょっと大変だが実施しよう。今までの話をまとめて監査部に報告しておいてくれ。

W 氏:分かりました。


 W 氏が改善計画を監査部に提出したところ,監査部から,“内容に問題がないので,計画に基づいて改善を実施するように” と連絡がきた。
 その後,W 氏が再検討した簡易チェックリストは部長に承認され,使われることになった。また,情報セキュリティ監査結果に基づく改善も計画どおりに完了し,海外営業部の情報セキュリティレベルは大きく改善された。

 

設問

設問1

 本文中の下線①について,部長が再検討を指示したチェック項目はどれか。解答群のうち,最も適切なものを選べ。

 解答群

  1. 10
  2. 11
  3. 12
  4. 13

設問2

 本文中の下線②について,CSA 方式の利点を二つ,解答群の中から選べ。

 解答群

  1. 関連法規への準拠性が担保できる。
  2. 業務内容の十分な理解に基づいて評価できる。
  3. 証跡を提出する必要がない。
  4. 独立的な立場から公正に評価できる。
  5. 評価実施者に対する意識付けや教育として役立つ。

設問3

 〔CSA の実施〕について,(1)〜(5)に答えよ。

(1)

 表3中の  a  に入れる字句はどれか。解答群のうち,最も適切なものを選べ。

f:id:honmurapeo:20180121221846p:plain

(2)

 表3中の  b  に入れる字句はどれか。解答群のうち,最も適切なものを選べ。

f:id:honmurapeo:20180121221917p:plain

(3)

 表3中の  c  に入れる字句はどれか。解答群のうち,最も適切なものを選ベ。

f:id:honmurapeo:20180121222105p:plain

  1. XXX
  2. XXX
  3. XXX
  4. XXX
  5. XXX

(4)

 表3中の  d  に入れる字句はどれか。解答群のうち,最も適切なものを選べ。

 d に関する解答群

  1. PC を社外に持ち出す場合はあらかじめ許可を得ている。
  2. 入退室管理システムが導入され,関係者だけ入室可能になっている。
  3. 必要な場所に監視カメラを設置して毎日24時間撮影し,映像を記録している。記録した映像の保存期間を1か月以上にしている。
  4. 部内で情報セキュリティ啓発活動をしている。

(5)

 本文中の下線③について,策定する改善計画の概要を,解答群の中から選べ。

 解答群

  1. C システムから出力された利用者 ID の一覧を使って,3か月ごとに利用者 ID の棚卸を実施する。
  2. 部員の退職又は異動の際は,利用者 ID の削除申請と C システムからの削除を速やかに行うよう,管理職一人一人に周知する。
  3. 利用者 ID 棚卸の実施者を上位の役職者に変更する。
  4. 利用者 ID 登録時,申請されたアクセス権限が業務上必要か確認する。

設問4

 〔新たな指摘についての改善計画〕について,(1),(2)に答えよ。

(1)

 本文中の  e1    e3  に入れる,次の[対策1]〜[対策3]の組合せはどれか。e に関する解答群のうち,最も適切なものを選べ。

[対策1] アクセスログの保管期間を3年間に変更するという対策

[対策2] 営業部員に対し,担当顧客以外の顧客情報を閲覧しないように周知し,牽制するという対策

[対策3] 担当する顧客の顧客情報だけにアクセスできるようにアクセス権を設定するという対策

f:id:honmurapeo:20180121222133p:plain

(2)

 本文中の  f1    f3  に入れる,次の[対策4]〜[対策6]の組合せはどれか。f に関する解答群のうち,最も適切なものを選べ。

[対策4] 顧客情報の追加・修正・削除の権限は管理職だけに付与するという対策

[対策5] 部員による顧客情報の追加・修正・削除は,システムのワークフロー機能を使って上長が承認することによって,データベースに反映されるようにするという対策

[対策6] 顧客情報の追加・修正・削除のログを上長が定期的に確認するという対策

f:id:honmurapeo:20180121222153p:plain

 

解答・解説

設問1

解答 

 XXX

設問2

解答 イ,オ

 XXX

設問3

(1)の解答 

 XXX

(2)の解答 

 XXX

(3)の解答 

 XXX

(4)の解答 

 XXX

(5)の解答 

 XXX

設問4

(1)の解答 

 XXX

(2)の解答 

 XXX

 

採点講評

 問3では,監査部による監査とは別に,情報システムの利用部門が主体となって行う情報セキュリティ自己点検(本問では,簡易チェック及びCSA)によってコントロールを評価する取組みについて出題した。
 設問1は,正答率が低かった。チェック項目として,客観的に判断できる基準を明確に設定することが重要であることを理解しておいてほしい。
 設問2では監査におけるCSA方式の利点を問うたが,正答率は平均的で,おおむね理解されていた。
 設問3は,(3)の正答率が低かった。ルールどおりに運用されていることを確認したかどうかという点が,評価する際のポイントであることを理解しておいてほしい。
 設問4は,正答率が高かった。改善計画の策定において複数の対策を比較し検討する際には,根本的対策,暫定的対策,注意喚起などの選択肢から適切に選択することが重要だが,よく理解されていた。情報セキュリティ自己点検は,情報システムの利用部門の情報セキュリティを効率的に維持する上で有効である。情報セキュリティリーダには,このような活動を推進する役割を期待したい。