情報処理技術者試験ナビ

当サイトは準備中です。

SG 28春 午後 問2

◀️ 前へ次へ ▶️

問題文

 業務委託におけるアクセス制御に関する次の記述を読んで,設問1,2に答えよ。

 A 社は従業員数200名の通信販売業者である。一般消費者向けに生活雑貨,ギフト商品などの販売を手掛けており,商品の種類ごとに販売課が編成されている。

〔Z 販売課の業務〕
 現在,Z 販売課は,商品Zについて顧客から電子メール又はファックスによる注文及び問合せを受け,その対応を行っている。商品 Z の販売に関わる要員(以下,商品 Z 関連要員という)は,販売責任者である Z 販売課 N 課長,及びその管理下に5名の担当者,並びに業務委託先の管理者である B 社運用課 L 課長,及びその管理下に8名の担当者の,計15名で構成されている。商品 Z 関連要員の業務を図1に示す。

f:id:honmurapeo:20180121213331p:plain

 B 社は,自社内に A 社からの受託業務専用のオペレーションルームをもち,そこからA社の T システムにアクセスしている。B 社は,A 社からの受託業務に必要な設備及び管理体制を整えており,A 社が定める情報セキュリティ要件を満たしている。

〔J システム及びTシステムの操作権限〕

 Z 販売課では,J システム及びTシステムについて,次の利用方針を定めている。

 [方針1] 1人の利用者に,一つの利用者 ID を登録する。

 [方針2] 一つの利用者 ID は,1人の利用者だけが利用する。

 [方針3] ある利用者が入力した情報は,別の利用者が承認する。

 [方針4] 販売責任者は,Z 販売課の全業務の情報を閲覧できる。


 J システム及び T システムでは,業務上必要な操作権限を利用者に与えるためにシステム上の役割(以下,ロールという)を定義する機能が実装されている。ロールには,業務上必要な操作権限の組合せが付与される。利用者 ID にロールを設定することによって,利用者の操作権限が決まる。一つの利用者 ID にはロールを一つだけ設定する。システム利用部署の長は,所属する利用者の利用者 ID に対するロール設定を情報システム部に依頼する。情報システム部が受けた依頼はシステムに登録され,翌営業日の朝5時に自動的にシステムに反映される。
 J システム及び T システムにおいて,商品 Z 関連要員の利用者 ID に設定されているロールの種類とその操作権限を表1に示す。

f:id:honmurapeo:20180121213437p:plain

 例えば,N 課長の利用者 ID には “A 社販売責任者” というロールを設定して,J システムの閲覧及び承認並びに T システムの閲覧の権限をもたせている。

〔受注管理業務の委託〕
 Z 販売課では,受注管理業務を担当する A 社の従業員の作業量が受注増によって増えていることから,この業務の入力作業を B 社に対して追加で委託することにした。追加の業務委託で必要となる J システムの操作権限の見直しを,A 社の販売課全体の情報セキュリテイリーダを務める販売管理課の M 主任が支援することになった。
 M 主任は,受注管理業務における A 社と B 社の役割分担について,Z 販売課の N 課長からヒアリングした内容を次のとおり整理した。

 [要求1] B 社が入力した場合は,A 社が承認する。

 [要求2] A 社の担当者が入力した場合は,現状どおりに A 社の販売責任者が承認する。


 これに基づき M 主任が作成した新しい操作権限案を表2に示す。

f:id:honmurapeo:20180121213454p:plain

 次は,この操作権限案についての M 主任とN 課長との会話である。

M 主任:N 課長の要求に従ってロールとその操作権限を見直してみました。

N 課長:確かに,要求どおりだ。ただ,販売責任者は私だけなので業務が停滞することが心配だ。B 社で入力した情報はA社の担当者が承認すればよいので,“A 社販売担当者”ロールに承認権限を追加できないだろうか。

M 主任:承認権限を追加すると,① J システムで利用方針に違反してしまいます

N 課長:“A 社販売担当者” ロールに承認権限を追加し,その上で,利用方針にも合うようにしたい。例えば  a  ことはできるだろうか。

M 主任:それならば,利用方針は順守できそうです。ただ,システムの改修が必要ですね。また,②[要求2]を満たせません。別の案ですが,  b  ようにシステム改修するのはどうでしよう。

N 課長:確かに,それなら[要求2]も満たせる。早速,その方針で情報システム部にシステム改修の相談をしてくれないか。

M 主任:承知しました。確認ですが,N 課長は,出張などで承認手続ができなくなるようなケースはありませんか。

N 課長:今のところ問題ない。ただ,③来年度から毎年2,3回,2週間ほどの海外出張に出る予定なので,誰かに代行してもらう必要が出てくる。この対応も検討したい。それと,B 社の L 課長からの話だが,一日の中でも問合せ数が少ない時間に,問合せ対応業務の担当者の一部が受注管理業務を応援できる運用を希望していたよ。あらかじめ担当者を任命して教育もしておくそうだ。

M 主任:承知しました。すぐに B 社に詳細を確認して④必要な操作権限を与える方法を検討します。


 M 主任は,B 社の管理者及び A 社の情報システム部と調整して,N 課長とともに J システムの改修案,運用案を取りまとめた。

〔B 社担当者の追加及び変更〕
 A 社情報システム部では,社内データベースに格納された情報を閲覧するための情報閲覧システム(以下,D システムという)を提供している。D システムで商品 Z 関連要員に付与されている閲覧権限を表3に示す。
 なお,利用者 ID は,J システム及び T システムと共通である。

f:id:honmurapeo:20180121213516p:plain

 A 社では,D システムの閲覧権限の付与について,次の手続を定めている。

(1)各情報のオーナ部署の長が,閲覧権限を付与する対象者を決める。

(2)情報システム部は,情報のオーナ部署の長の決定に従って D システムの閲覧権限を設定する。

(3)利用部署の希望によって閲覧権限を付与する場合は,利用部署の長が,その情報のオーナ部署の長に申請して承認を得る。申請を承認した情報のオーナ部署の長は,情報システム部に対して閲覧権限の付与を依頼する。

(4)利用部署が,業務委託先要員への関覧権限付与を希望する場合は,  c  


 次は,B 社の担当者の追加及び変更に関する,M 主任と N 課長の会話である。

M 主任:新しく追加されるB社Jシステム担当者に付与する閲覧権限について相談があります。  d  のリスクを低減するために,表3に示す D システムの閲覧権限を見直して,必要最小限にした方がよいと思います。

N 課長:J システム担当者の作業は,届いた注文の確認と入力だ。商品カタログ情報とお客様情報の閲覧だけだな。

M 主任:では,N 課長から  e  に対して,閲覧権限の付与を申請していただけますか。

N 課長:新しい B 社担当者の名簿はできているかな。

M 主任:はい。B 社から情報を受領しました。J システム担当者は3名です。

N 課長:T システム担当者に変更はないかな。

M 主任:あります。⑤来月中に1人が退任し1人が新規に着任すると聞きました。
引継ぎを兼ねて,おおよそ1週間は2人とも在籍して T システムと D システムを利用して業務を行う予定です。必要な権限を正しくシステムに登録するために,B 社に担当者変更がある場合,原則2週間前に  e  から情報提供してもらうよう業務委託契約で定めています。後ほど,⑥正式に情報を受領します

N 課長:分かった。今回,業務委託の対象システムも人員も増えるので,改めて情報漏えい対策に力を入れていきたい。頼りにしているよ。

 こうして N 課長とM 主任は必要な準備を進め,新しい体制で業務を開始することができた。

 

設問

設問1

〔受注管理業務の委託〕について,(1)〜(6)に答えよ。

(1)

 本文中の下線①について,どの利用方針に違反するか。違反が考えられる利用方針だけを全て挙げた組合せを,解答群の中から選べ。

 解答群

  1. [方針1]
  2. [方針1],[方針2]
  3. [方針2]
  4. [方針2],[方針3]
  5. [方針3]
  6. [方針3],[方針4]

(2)

 本文中の下線①について,この利用方針違反はどのリスクを高めると考えられるか。解答群のうち,最も適切なものを選べ。

 解答群

  1. 正しく入力された注文が承認されず滞留してしまう。
  2. 正しく入力された注文の情報が窃取されてしまう。
  3. 不正に入力された注文が差し戻されて滞留してしまう。
  4. 不正に入力された注文が承認されてしまう。

(3)

 本文中の  a    b  に入れる適切な字句を,解答群の中から選ベ。

 a,bに関する解答群

  1. “A 社販売責任者” ロールを設定した利用者 ID を二つに増やす
  2. “B 社 J システム担当者” ロール又は “B 社管理者” ロールを使って入力された注文だけを承認できる権限を追加する
  3. 自分が承認したい注文だけを検索できる機能を追加する
  4. 承認できる利用者 ID を,入力者が指定する権限を追加する
  5. 他の利用者 ID によって入力された注文だけを承認できる権限を追加する

(4)

 本文中の下線②について,なぜ  a  では[要求2]を満たせないのか。その理由を,解答群の中から選べ。ここで,  a  には正しい答えが入っているものとする。

 解答群

  1. “A 社販売責任者” ロールの利用者がB社で入力された情報を承認できなくなるから。
  2. “A 社販売責任者” ロールの利用者が,自分宛ての承認依頼に気づくとは限らないから。
  3. “A 社販売担当者” ロールの利用者が複数人いるとき,1人が入力し,別の1人が承認することができるから。
  4. “B 社管理者” ロールの利用者が承認権限をもっているから。

(5)

 本文中の下線③について,N 課長が出張中に他の者が代行するための措置のうち,利用方針に合致するものを,解答群の中から選べ。

 解答群

  1. “A 社販売責任者” ロールを設定した利用者 ID を一つ追加発行し,A 社の担当者の1人が,代行者として利用する。
  2. A 社の担当者の1人を代行者に任命し,“A 社販売責任者” ロールの権限を追加で付与した新しいロールを作成して,代行者の利用者 ID に設定する。
  3. N 課長が,出張の期間に限り,自分の利用者 ID,パスワードを別の販売課の課長に貸す。
  4. N 課長の上長に代行を依頼し,代行者の利用者 ID を J システム及び T システムに登録して “A 社販売責任者” ロールを設定する。

(6)

 本文中の下線④について,情報システム部に依頼して必要な操作権限を与える方法はどれか。解答群のうち,最も適切なものを選べ。ここで,応援に回す B 社担当者を B 社応援担当者という。

 解答群

  1. “B 社Jシステム担当者” ロールを設定した貸出し用の利用者 ID を準備し,応援の都度,B 社応援担当者にこの利用者 ID を利用させる。
  2. “B 社Tシステム担当者” ロールの権限と “B 社 J システム担当者” ロールの権限を併せ持つ新しいロールを定義し,B 社応援担当者の利用者 ID に設定しておく。
  3. B 社応援担当者の利用者 ID に対して “B 社管理者” のロールを設定しておく。
  4. 応援の都度,B 社応援担当者の利用者 ID に設定されたロールを “B 社 J システム担当者” に切り替えてもらう。

設問2

〔B社担当者の追加及び変更〕について,(1)〜(4)に答えよ。

(1)

 本文中の  c  に入れる字句はどれか。解答群のうち,最も適切なものを選べ。

 cに関する解答群

  1. 業務委託先の管理者が,利用部署の長に名簿を提出するとともに,情報のオーナ部署の長に申請する
  2. 業務委託先の従業員が,利用部署の長に申請し,利用部署の長が,情報のオーナ部署の長に申請する
  3. 利用部署の長が,業務委託先から提出された申請書を情報のオーナ部署の長に転送する
  4. 利用部署の長が,業務委託先の管理者から提出された利用者の情報に基づき。情報のオーナ部署の長に申請する

(2)

 本文中の  d    f  に入れる適切な字句を,解答群の中から選ベ。

 dに関する解答群

  1. 内部不正
  2. 入力時のタイプミス
  3. 病欠

 e,fに関する解答群

  1. B社の管理者
  2. 情報システム部
  3. 情報のオーナ部署の長

(3)

 本文中の下線⑤について,対応するために必要な利用者ID管理の手続はどれか。解答群のうち,最も適切なものを選べ。

 解答群

  1. 新任者がすぐに業務を開始できるよう,あらかじめ新任者用の利用者 ID の登録を情報システム部に依頼しておく。退任者の利用者 ID は削除しなくても支障はないのでそのままにしておく。
  2. 退任者が本当に業務を離れたことを確認してから,退任者の利用者 ID を新任者用に割り当てるよう,情報システム部に依頼する。
  3. 引継ぎ開始に当たり,新任者の利用者 ID を発行し,引継ぎ期間後,直ちに退任者の利用者IDを無効化するよう,情報システム部に依頼する。
  4. 引継ぎ開始に当たり,直ちに退任予定者の利用者 ID を無効化すると同時に新任者の利用者 ID を発行するよう,情報システム部に依頼する。

(4)

 本文中の下線⑥について,今回の担当者変更のために受領する情報としては不要なものを,解答群の中から選べ。

 解答群

  1. 新任者の閲覧希望情報
  2. 新任者の着任予定日
  3. 退任者の退任予定日
  4. 退任者の利用者 ID

 

解答・解説

設問1

(1)の解答 

 XXX

(2)の解答 

 XXX

(3)の解答 a:オ,b:イ

 XXX

(4)の解答 

 XXX

(5)の解答 

 XXX

(6)の解答 

 XXX

設問2

(1)の解答 

 XXX

(2)の解答 d:ア,e:ウ,f:ア

 XXX

(3)の解答 

 XXX

(4)の解答 

 XXX

 

採点講評

 問2は,業務の一部を外部委託する状況での情報システムにおけるロールベースアクセス制御(RBAC)について出題した。
 設問1は,情報システムの利用方針と業務上の要求事項の両面を踏まえ,ロールに設定する適切な操作権限を検討するという設問であり,(5),(6)の正答率が低かった。承認手続の代行,他業務の応援といった状況においても,情報システムの利用方針及び運用上の制約を満たすことが重要である点を,是非理解しておいてほしい。
 設問2では,社内情報の閲覧権限の付与に関する外部委託先との手続,担当者変更の際の利用者 ID 管理を問うた。(3)の正答率が高かった。業務の引継ぎという状況での適切な権限設定は,よく理解されていた。
 情報システムの利用に関する内部不正を防止し,情報セキュリティを維持するために,情報セキュリティリダには,業務で日常起こり得る変化に対して適切な権限設定を検討する役割を期待したい。