応用情報技術者過去問題 平成27年春期 午後問10
⇄問題文と設問を画面2分割で開く⇱問題PDF問10 サービスマネジメント
情報資産の管理に関する次の記述を読んで,設問1~3に答えよ。
E社は,中小企業に事務用の物品を販売している中堅の販売会社である。E社が所有する情報資産は,顧客情報,受発注情報,取引業務情報などの文書化されていない業務処理用の情報資産と,経営情報,経理情報,社員情報,文書形式で出力された業務情報などの文書化された情報資産(以下,文書資産という)とに大別される。業務処理用の情報資産は,業務用システム内で利用者ごとにaが定められ,管理されている。一方,文書資産は,ペーパーレス化の全社施策の推進によって,最終的に大部分が電子化された状態で社内のファイルサーバに保管されている。これらの資産には,情報資産の機密性の分類として,"関係者限り","社内限り","公開"のいずれかの機密性区分が付与されている。
最近,同業他社で社員の不注意に起因する情報資産に関わる情報セキュリティインシデントが発生した。E社の経営企画部のF部長は,文書資産の資産管理と運用管理に関する現状調査を行い,問題点の抽出及び,対応策の検討を行うようG課長に指示した。
〔文書資産の資産管理に関する現状〕
G課長は,社内調査を行い,文書資産の資産管理の現状を次のとおり整理した。
(1) 文書資産の作成
次に,G課長は,運用管理に関する現状を次のとおり整理した。
(1) システムでの管理
〔問題点の抽出及び解決策の検討〕
G課長は,現状を整理した結果から,次の(1)~(3)の問題点を抽出した。
現在,各部で,行っている文書資産の管理に関する業務には,多くの時間と人手が掛かっている。そこで,G課長は,文書資産の管理に関する業務を省力化するために,文書資産管理システムの導入を検討することにし,文書資産管理システムで実現する必要がある機能を取りまとめた。
E社は,中小企業に事務用の物品を販売している中堅の販売会社である。E社が所有する情報資産は,顧客情報,受発注情報,取引業務情報などの文書化されていない業務処理用の情報資産と,経営情報,経理情報,社員情報,文書形式で出力された業務情報などの文書化された情報資産(以下,文書資産という)とに大別される。業務処理用の情報資産は,業務用システム内で利用者ごとにaが定められ,管理されている。一方,文書資産は,ペーパーレス化の全社施策の推進によって,最終的に大部分が電子化された状態で社内のファイルサーバに保管されている。これらの資産には,情報資産の機密性の分類として,"関係者限り","社内限り","公開"のいずれかの機密性区分が付与されている。
最近,同業他社で社員の不注意に起因する情報資産に関わる情報セキュリティインシデントが発生した。E社の経営企画部のF部長は,文書資産の資産管理と運用管理に関する現状調査を行い,問題点の抽出及び,対応策の検討を行うようG課長に指示した。
〔文書資産の資産管理に関する現状〕
G課長は,社内調査を行い,文書資産の資産管理の現状を次のとおり整理した。
(1) 文書資産の作成
- 社員が,PCを使用して文書化された情報(以下,文書情報という)を作成し,完成すると,文書資産として,社内の機密性区分を定めた情報セキュリティ規程を参照して機密性区分を判断し,文書資産管理者の承認を得ている。
- 文書情報を作成した社員(以下,文書情報作成者という)は,文書情報に機密性区分を記載する。"関係者限り"の場合には,文書資産管理者に許可された社員だけが業務で利用できるよう,文書情報を分類・整理して保管するファイルサーバ上の場所(以下,フォルダという)にaを設定し,そこに文書資産として保管している。なお,フォルダは,各部ごとに作成され,自部の許可された社員だけがアクセスできる。"社内限り"と"公開"の場合には,全社員がアクセスできるフォルダに文書資産として保管している。
- 文書資産は,部ごとに管理する。各部の文書資産管理者は,部長が課長の中から任命する。文書資産管理者が異動した場合には,部長が新たな文書資産管理者を任命し,異動の事実と新たな文書資産管理者名を表形式の一覧表に記録している。
- 文書情報を作成した部の文書資産管理者は,"公開"以外の機密性区分の文書資産について,自部で管理している表形式の文書資産管理台帳に,文書資産の情報(文書資産番号,文書資産名,機密性区分,文書情報作成者の情報,作成日,配付対象者の情報,四半期単位の保存期間の満了日)を登録している。
- 文書情報を作成した部の文書資産管理者は,文書情報作成者から,文書資産が変更又は削除された通知を受けると,文書資産管理台帳に,文書資産が変更又は削除された日を追記している。
- 文書資産管理者は,四半期ごとに,文書資産管理台帳に登録された文書資産のうち,保存期間が満了した全ての文書資産について,文書資産名と文書情報作成者の情報を抽出し,文書情報作成者に削除を指示している。これらの作業には,多くの手間が掛かっている。
- 文書情報作成者が,"関係者限り"の文書資産を他部に配付する場合は,その作成元の文書資産管理者に許可を受けた上で,文書資産の編集が可能なファイル形式で自社の電子メールに添付して,配付先の当該社員へ送付している。
- 文書資産を受領した社員は,自部の文書資産管理者に連絡し,許可された社員だけが利用できるよう,当該文書資産を保管するフォルダにaを設定してもらう。
- その後,文書資産を受領した社員は,aが設定された当該フォルダに受領した文書資産を保管し,電子メールの添付ファイルを削除することとしている。
- "関係者限り"の文書資産を他部に配付する場合,作成元の文書資産管理者は,自部の文書資産管理台帳に配付対象者の情報と配付日時を追記している。
- 配付元で配付対象者の情報と配付日時が管理されているので,配付先では,配付先で保管する当該文書資産の情報を文書資産管理台帳へ登録することを不要としている。
- 文書情報作成者は,文書資産の削除が必要となった場合には,配付先の当該社員に削除を依頼している。
- 文書資産に対する権限は,社員の役割に応じて,文書資産の運用についての規程で表1のとおりに定められている。
次に,G課長は,運用管理に関する現状を次のとおり整理した。
(1) システムでの管理
- 文書資産を保管しているファイルサーバは,情報システム部が運用している。
- 文書資産のbを確保するために,それらを保管しているファイルサーバは,二重化されたシステムで構成され,免震装置の上に設置されている。
- 情報システム部のシステム管理者は,bを確保するために,文書資産がいつでも使用できる状態を維持するようファイルサーバを運用している。
- システム管理者がファイルサーバにログインする際には,システム管理者用IDと十分に強固なパスワードを使用している。
- "関係者限り"に該当する文書資産の変更・参照・削除のイベントが発生すると,イベントログとして,社員ID,文書資産名,イベント発生時刻,イベント種別(変更・参照・削除)が,ファイルサーバに蓄積される。
- 多大な人手が掛かるので,システム管理者が全てのイベントログを定期的に解析する作業は行わず,情報セキュリティインシデントが発生して調査が必要となった場合にだけ,情報システム部の課長からの指示によって,イベントログの解析が実行される。
- イベントログの解析は,システム管理者が,解析ツールを使用して,解析ツールのマニュアルに記載されている手順に従って行う。
- マニュアルの記載内容は分かりやすいが,情報セキュリティインシデントの発生頻度は低く,システム管理者が作業に慣れていないので,イベントログの解析には時間を要している。
- システム管理者は,保存期間が満了したイベントログを消去している。イベントログの保存期間は,社内の規程で1年間と定められている。
〔問題点の抽出及び解決策の検討〕
G課長は,現状を整理した結果から,次の(1)~(3)の問題点を抽出した。
- 文書資産の棚卸しが適切に実施できない。
- 情報漏えいが発生した場合に,イベントログの解析に長時間を要する。
- 配付された文書資産を,配付先の当該社員が,うっかりミスによって変更してしまうことで完全性が損なわれる。
- 機密性区分が"関係者限り"の文書資産を他部から配付された場合,配付先の文書資産管理者は,cする。
- 不正アクセスの有無を特定することを目的とした,システム管理者による,全てのイベントログに対する定期的な点検作業は行わない。しかし,①対象期間と対象とする文書資産を限定した上で,システム管理者が,イベントログを解析する訓練を定期的に実施することにする。
- ②文書資産の完全性が保たれるよう,文書情報作成者が,文書資産を配付するときの文書資産の取扱いを見直す。
現在,各部で,行っている文書資産の管理に関する業務には,多くの時間と人手が掛かっている。そこで,G課長は,文書資産の管理に関する業務を省力化するために,文書資産管理システムの導入を検討することにし,文書資産管理システムで実現する必要がある機能を取りまとめた。
- 文書資産管理台帳への文書資産の情報の登録
- 文書資産管理台帳での文書資産の情報の変更
- 文書資産管理台帳からの文書資産の情報の削除
- 参照権限者ごとの文書資産管理台帳の参照
- 部間での文書資産の移動
- 各部内でのd
- 部や課の統廃合時の文書資産管理台帳の引継ぎ
設問1
本文中のa,bに入れる適切な字句を7字以内で答えよ。
解答入力欄
- a:
- b:
解答例・解答の要点
- a:アクセス権 (5文字)
- b:アクセス性 (5文字) 又は 可用性 (3文字)
解説
本問では、中堅の事務用品販売会社における文書資産管理を題材に、情報資産管理に関する知識と理解力が問われています。
〔aについて〕
本文中に空欄aは4つあります。空欄に入る用語を考えさせる問題では、空欄の前後にヒントがあることが多いのが午後問題の傾向と言えます。空欄aに入るものは、
∴a=アクセス権
〔bについて〕
空欄bは2つありますが、2つめの直後に、「bを確保するために」が「文書資産がいつでも使用できる状態を維持するよう」で言い換えられています。利用者が必要な時に、必要なだけサービスを受けられる度合いを示す特性は「可用性」です。
ちなみにJIS Q 20000-1では可用性を以下のように定義しています。
「あらかじめ合意された時点又は期間にわたって,要求された機能を実行するサービス又はサービスコンポーネントの能力」
∴b=可用性
〔aについて〕
本文中に空欄aは4つあります。空欄に入る用語を考えさせる問題では、空欄の前後にヒントがあることが多いのが午後問題の傾向と言えます。空欄aに入るものは、
- 1つめのaからは、業務用システム内で利用者ごとに定められるもの
- 2つめのaからは、「文書資産管理者に許可された社員だけが業務で利用できるよう」設定されるもの
- 3つめと4つめのaからは、文書資産を保管するフォルダに設定されるもの
∴a=アクセス権
〔bについて〕
空欄bは2つありますが、2つめの直後に、「bを確保するために」が「文書資産がいつでも使用できる状態を維持するよう」で言い換えられています。利用者が必要な時に、必要なだけサービスを受けられる度合いを示す特性は「可用性」です。
ちなみにJIS Q 20000-1では可用性を以下のように定義しています。
「あらかじめ合意された時点又は期間にわたって,要求された機能を実行するサービス又はサービスコンポーネントの能力」
∴b=可用性
設問2
〔問題点の抽出及び解決策の検討〕について,(1)~(3)に答えよ。
解答入力欄
- c:
解答例・解答の要点
- c:"関係者限り"の文書資産の情報を自部の文書資産管理台帳に登録 (30文字)
- システム管理者が,イベントログの解析を迅速に行えるようにするため (32文字)
- 文書資産の編集ができないファイル形式で配付するように改善する (30文字)
解説
- 〔cについて〕
cを含む解決策(1)は、「(1)文書資産の棚卸しが適切に実施できない」という問題点に対する解決策になっています。現状において、「機密性区分が"関係者限り"の文書資産を他部から配付された場合」に、棚卸しが適切に実施できない原因になりうることを本文中から探します。
〔文書資産の資産管理に関する現状〕の(3)文書資産の配付を読むと、「配付先では,配付先で保管する当該文書資産の情報を文書資産管理台帳へ登録することを不要としている」と記載されています。つまり、配布先には"関係者限り"の文書資産が存在するのに、配布先部署の文書資産台帳上は存在していないといった矛盾が生じます。棚卸しは記録されたものが実際にあるかをチェックする作業ですので、文書資産管理台帳への登録がないことが「(1)文書資産の棚卸しが適切に実施できない」原因と言えます。したがって、配布先で保管する"関係者限り"の文書資産の情報を配布先部署の文書資産管理台帳に登録するように変更すれば、棚卸しを適切に実施できることになります。
∴c="関係者限り"の文書資産の情報を自部の文書資産管理台帳に登録 - 下線①は、「(2)情報漏えいが発生した場合に,イベントログの解析に長時間を要する」という問題点に対する解決策になっています。現状において、イベントログの解析に長時間を要してしまう原因を本文中から探します。
〔文書資産の運用管理に関する現状〕の(2)イベントログに、「情報セキュリティインシデントの発生頻度は低く,システム管理者が作業に慣れていないので,イベントログの解析には時間を要している」と記載されています。下線①の目的はこれを解決することになります。要するに、システム管理者にイベントログ解析作業を慣れさせ、情報セキュリティインシデントが発生した際に、システム管理者がイベントログの解析を早く行えるようにすることが目的となります。
∴システム管理者が,イベントログの解析を迅速に行えるようにするため - 下線②は、「(3)配付された文書資産を,配付先の当該社員が,うっかりミスによって変更してしまうことで完全性が損なわれる」という問題点に対する解決策になっています。下線②の具体策が問われていますので、まず、文書資産の配布が現状ではどのように行われているかを本文中から探します。
〔文書資産の資産管理に関する現状〕の(3)文書資産の配付に、「文書資産の編集が可能なファイル形式で自社の電子メールに添付して,配付先の当該社員へ送付している」と記載されています。つまり、うっかりミスが起きるのは、編集が可能なファイル形式で配布されているからであり、抜本的な改善策は、編集ができないファイル形式で文書資産を配布することとなります。
なお、同じ〔文書資産の資産管理に関する現状〕の(3)文書資産の配付に、「文書資産を受領した社員は,自部の文書資産管理者に連絡し,許可された社員だけが利用できるよう,当該文書資産を保管するフォルダにa(アクセス権)を設定してもらう」に着目して、フォルダにアクセス権を設定するという解答も考えられますが、本問で解決が求められているのは「完全性」です。アクセス権を設定しても更新できるユーザーは存在し、「完全性」を担保することはできませんので、アクセス権の設定は正解とはなりません。また、表1を見ると、配布先部署のフォルダには他部署から配布された文書資産の変更を禁止するアクセス権限が設定されるので、ファイルサーバ上では変更ができないはずです。このことから、電子メールで当該ファイルを受領してからファイルサーバ上のフォルダに移す前に、誤って変更してしまう可能性が問題になっていると思われます。
∴文書資産の編集ができないファイル形式で配付するように改善する
設問3
〔文書資産管理システムの検討〕について,(1),(2)に答えよ。
- 本文中のdに入れる適切な字句を解答群の中から選び,記号で答えよ。
- 本文中のeに入れる適切な字句を15字以内で答えよ。
d に関する解答群
- イベントログの解析
- イベントログの収集
- システム管理者用IDの変更
- 社内のPCの入替え
- 文書資産管理者の変更
解答入力欄
- d:
- e:
解答例・解答の要点
- d:オ
- e:保存期間が満了した (9文字)
解説
- 〔dについて〕
文脈よりdには部内で行う何らかの業務が入ることがわかります。そこで、部内で行う業務のうち、〔文書資産管理システムの検討〕で列挙されたシステム機能ではカバーされていない、かつ、システム化対象になりうる、かつ、解答群の5つに含まれる業務を本文中から探します。
〔文書資産の資産管理に関する現状〕の(2)文書資産の登録・変更・削除に、「文書資産管理者が異動した場合には,部長が新たな文書資産管理者を任命し,異動の事実と新たな文書資産管理者名を表形式の一覧表に記録している」に着目します。この記述からdを含む機能は、文書資産管理者の異動に関する機能であることがわかります。- イベントログの解析は、システム管理者が担当します。部内の業務ではありません。
- イベントログの収集は、ファイルサーバを管理する情報システム部の管理対象ですので不適切です。
- システム管理者は各部に配置されるわけではありませんので誤りです。
- 社内PCは業務処理用の情報資産ですので、業務システム内で管理されています。文書管理システムの管理対象ではありません。
- 正しい。文書管理資産管理者は各部に配置され、現行でも表形式の一覧表で管理しているため、新しい文書管理システムにもこの業務を代替する機能が必要です。
- 〔eについて〕
「文書資産管理システムを導入すると,e文書資産の一覧を容易に出力できるので,四半期ごとに,不要となった文書資産を確実に削除できるようになる」より、「e文書資産」は、不要になった文書資産を確実に削除するためのものであり、不要になった文書資産の一覧であることがわかります。
〔文書資産の資産管理に関する現状〕の(2)に、「文書資産の情報(…,四半期単位の保存期間の満了日)を登録している」と記載されています。また、「文書資産管理者は、四半期ごとに,…保存期間が満了した全ての文書資産について,文書資産名と文書情報作成者の情報を抽出し,文書情報作成者に削除を指示している。これらの作業には,多くの手間が掛かっている」という問題が提起されています。
文書管理システムを導入すると、保存期間が満了した文書資産の一覧が容易に出力可能となり、削除指示作業のコスト低減が期待できます。
∴e=保存期間が満了した