令和3年秋期試験午後問題 問1
問1 情報セキュリティ
⇱問題PDF
オフィスのセキュリティ対策に関する次の記述を読んで,設問1~3に答えよ。
オフィスのセキュリティ対策に関する次の記述を読んで,設問1~3に答えよ。
広告
A社は,日用雑貨の通信販売会社である。A社では,会員にカタログ冊子を送付し,冊子にとじ込まれた注文書又はインターネットでの注文を受け付けている。
A社では,情報セキュリティ担当役員を委員長とする情報セキュリティ委員会を設置しており,情報セキュリティの適正な管理を目的として,情報セキュリティ管理規程を制定している。
A社の通信販売事業は順調に拡大し,大量の個人情報を管理するようになったことから,情報セキュリティ委員会は,今回,物理的対策を中心にオフィスのセキュリティを見直すことにした。
A社のオフィスレイアウトを図1に示す。
〔オフィスの現状〕
A社のオフィスは,入退室管理システムによって,入室制限が行われている。第1ゾーンは,入退室管理システムでの入室制限を行っていない。第2ゾーンには全社員が,第3,4ゾーンには許可された社員だけが入ることができる。社員は,非接触型ICカードである社員カードを所持している。社員カードを部屋の入り口に設置されたCRにかざすと,社員カード内に記録されたIDによって入室の可否が判断される。入室が許可されるとドアが解錠される。
A社では,ノートPC(以下,NPCという)を全社員に貸与している。オフィスの執務エリアは,間仕切りのない設計になっている。会議室は執務エリアと同じ第2ゾーンに含まれる。執務エリアには,3台の複合機が設置され,複数の課で共有している。執務エリア内で社員が使用する机には鍵付きのサイドキャビネットがあり,個人が管理する書類や外出及び帰宅時のNPCの保管などに使用されている。
資料保管室とサーバ室は執務エリアと間仕切りされ,入室を許可された社員だけが使用できる。受付エリアの右手奥にロッカー室があり,鍵付きの個人用ロッカーが全社員分設置されている。
非接触型ICカードでは,カード内に埋め込まれたaが,CRが発信するbを電気に変換し,その電気を利用してICカード内のプログラムを動作させ,CRとの間で無線通信を行う。複合機は,情報機器や情報システムなどのITセキュリティを評価するための基準を定めた規格であるcに基づく認証を取得している製品である。
物理的対策を中心としたオフィスのセキュリティの見直しを決定した情報セキュリティ委員会は,システム部の情報セキュリティリーダーであるB主任を,担当者に指名した。B主任は,見直し案を作成するために,現状の問題点の洗い出しと改善策の立案支援を,情報セキュリティ会社のC社に依頼した。
〔現状の問題点〕
C社のコンサルタントであるD氏は,オフィスの現状を調査し,四つの項目に関する六つの問題点をB主任に報告した。D氏が指摘した問題点を表1に示す。
〔問題点についての打合せ〕
D氏から指摘された問題点について,B主任がD氏と打合せを行ったときの二人の会話を次に示す。
A社では,情報セキュリティ担当役員を委員長とする情報セキュリティ委員会を設置しており,情報セキュリティの適正な管理を目的として,情報セキュリティ管理規程を制定している。
A社の通信販売事業は順調に拡大し,大量の個人情報を管理するようになったことから,情報セキュリティ委員会は,今回,物理的対策を中心にオフィスのセキュリティを見直すことにした。
A社のオフィスレイアウトを図1に示す。
A社のオフィスは,入退室管理システムによって,入室制限が行われている。第1ゾーンは,入退室管理システムでの入室制限を行っていない。第2ゾーンには全社員が,第3,4ゾーンには許可された社員だけが入ることができる。社員は,非接触型ICカードである社員カードを所持している。社員カードを部屋の入り口に設置されたCRにかざすと,社員カード内に記録されたIDによって入室の可否が判断される。入室が許可されるとドアが解錠される。
A社では,ノートPC(以下,NPCという)を全社員に貸与している。オフィスの執務エリアは,間仕切りのない設計になっている。会議室は執務エリアと同じ第2ゾーンに含まれる。執務エリアには,3台の複合機が設置され,複数の課で共有している。執務エリア内で社員が使用する机には鍵付きのサイドキャビネットがあり,個人が管理する書類や外出及び帰宅時のNPCの保管などに使用されている。
資料保管室とサーバ室は執務エリアと間仕切りされ,入室を許可された社員だけが使用できる。受付エリアの右手奥にロッカー室があり,鍵付きの個人用ロッカーが全社員分設置されている。
非接触型ICカードでは,カード内に埋め込まれたaが,CRが発信するbを電気に変換し,その電気を利用してICカード内のプログラムを動作させ,CRとの間で無線通信を行う。複合機は,情報機器や情報システムなどのITセキュリティを評価するための基準を定めた規格であるcに基づく認証を取得している製品である。
物理的対策を中心としたオフィスのセキュリティの見直しを決定した情報セキュリティ委員会は,システム部の情報セキュリティリーダーであるB主任を,担当者に指名した。B主任は,見直し案を作成するために,現状の問題点の洗い出しと改善策の立案支援を,情報セキュリティ会社のC社に依頼した。
〔現状の問題点〕
C社のコンサルタントであるD氏は,オフィスの現状を調査し,四つの項目に関する六つの問題点をB主任に報告した。D氏が指摘した問題点を表1に示す。
D氏から指摘された問題点について,B主任がD氏と打合せを行ったときの二人の会話を次に示す。
- B主任:
- 項番1,2については,どのような対策が有効でしょうか。
- D氏:
- 低コストで実現できる項番1の対策としては,CRを入り口側と同様に出口側にも設置して,アンチパスバックを導入することが有効です。アンチパスバックでは,"入室状態になっていない人が退室しようとした場合は解錠しない",という処理が行われます。①そのほかにも,アンチパスバックでは,通行を許可された社員カードをCRにかざしても,利用状況によっては異常と判断して解錠しない場合があります。項番2の対策としては,来訪者を入室させる場合は,入室から退室まで担当者が付き添うようにします。しかし,サーバの保守作業など担当者が付き添えない場合もありますから,サーバコンソールでの操作内容のログ取得などの技術的対策のほかに,②第4ゾーンでは,来訪者の行動を事後に確認できるようにします。
- B主任:
- 分かりました。アンチパスバックと来訪者の行動を事後に確認できる設備の導入を検討します。また,来訪者を入室させる場合の対応方法については,情報セキュリティ管理規程に明記するようにします。項番3については,印刷物の放置を禁止していますが徹底できていません。何か良い方策はないでしょうか。
- D氏:
- 御社の複合機本体には,社員カードが使用できるICカードリーダーを装備できますから,ICカードリーダーを装備して,オンデマンド印刷機能を利用することを推奨します。③オンデマンド印刷機能を利用すると,NPCから印刷指示した文書の用紙への印刷は,社員カードを複合機のICカードリーダーにかざして認証を受けた後に行われることになります。
- B主任:
- 運用方法を検討してみます。項番4については,社員の反対が多く,私物の持込みは禁止できていません。社員に受け入れられる方策はないでしょうか。
- D氏:
- 私物の鞄の持込みは禁止し,代わりにd鞄を貸与して,その中に入れた私物については,持込みを許可するのが良いでしょう。その場合,持込みを禁止する私物の種類や持ち込んだ私物のオフィス内での使用上の禁止事項を,情報セキュリティ管理規程に明記してください。
- B主任:
- なるほど,その方策なら当社でも実施可能ですから,改善策として検討します。項番5,6については,実施すべき内容を情報セキュリティ管理規程に明記して徹底させるようにします。
- D氏:
- それで良いと思います。
広告
設問1
本文中のa~cに入れる適切な字句を解答群の中から選び,記号で答えよ。
a,b,c に関する解答群
- CC(Common Criteria)
- ISMS
- JIS Q 15001
- UHFアンテナ
- Wi-Fi電波
- アンテナコイル
- 赤外線
- 電磁波
- ヘリカルアンテナ
解答例・解答の要点
a:カ
b:ク
c:ア
b:ク
c:ア
解説
〔a、bについて〕空欄aは、CRが発する何かを受信する部品ですから「エ:UHFアンテナ」「カ:アンテナコイル」「ケ:ヘリカルアンテナ」の三択、空欄bは、CRが発するものですから「オ:WI-Fi電波」「キ:赤外線」「ク:電磁波」の三択となります。
非接触ICカードシステムは、ICカードとリーダー/ライターにアンテナを内蔵し、電波を利用して情報のやりとりを行います。ICカードをリーダー/ライターに近づけることで、リーダー/ライターのアンテナから発生している電磁波をカード側のアンテナで受け取り、ICの動作に必要な電圧に変換することで、電源が供給され情報のやりとりができます(日本ICカード協議会HPより引用)。
非接触型ICカードはバッテリを搭載する代わりに薄型のアンテナコイルを搭載しています。カードリーダー/ライターの周りには電流によって常に磁界が発生していて、この磁界にICカードを近づけると電磁誘導によりアンテナコイルに電圧が誘起され、ICチップに電源が供給される仕組みになっています。
∴a=カ:アンテナコイル
b=ク:電磁波
〔cについて〕
規格ですから以下の三択になると思います。
- CC(Common Criteria)
- 情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格。ISO/IEC 15408(JIS X 5070)として標準化されている
- ISMS
- 情報セキュリティマネジメントシステムの認証規格
- JIS Q 15001
- 個人情報保護マネジメントシステムの要求事項
∴c=ア:CC(Common Criteria)
広告
設問2
表1中の項番5の問題点への対策はクリアデスクと呼ばれるが,項番6の問題点への対策は何と呼ばれているか。10字以内で答えよ。
解答例・解答の要点
クリアスクリーン (8文字)
解説
コンピュータを操作可能な状態のまま離席すると、別の人に情報を盗み見されたり不正操作されたりするセキュリティリスクがあります。離席時にログオフまたはパスワード付のスクリーン及びキーボードのロック機能によってコンピュータを保護し、情報をコンピュータのスクリーンに残したまま離席しないことを「クリアスクリーン」といいます。クリアスクリーンは、クリアデスク(机上に書類を放置しないこと)とともに情報セキュリティ管理基準(JIS Q 27002)において物理的及び環境的セキュリティの管理策として規定されています。∴クリアスクリーン
広告
設問3
〔問題点についての打合せ〕について,(1)~(4)に答えよ。
解答例・解答の要点
- 入室状態となっている人が再度入室しようとした場合 (24文字)
- 監視カメラを設置して来訪者の行動を記録する (21文字)
- 複合機の側に行かないと用紙への印刷ができないから (24文字)
- d:中が透けて見える (8文字)
行為:秘密書類の持出し (8文字)
解説
- アンチパスバックは、セキュリティ区画の出入口で利用者IDごとに入退室の時刻を記録することで、以下の例のような矛盾のある入退室行動を制限する仕組みです。
- 直近の記録が入室である利用者の入室行動
- 直近の記録が退室である、または、その日の入室記録がない利用者の退室行動
下線①の直前では"入室状態になっていない人が退室しようとした場合は解錠しない"という退室制限の内容が記述されていますから、下線①はもう一方の入室制限に関する説明であると判断できます。したがって、「直前の記録が入室である人が入室しようとした場合」「入室状態となっている人が再度入室しようとした場合」などと解答することになります。
∴入室状態となっている人が再度入室しようとした場合 - セキュリティを保つべき区画に外部のサービスサポート要員が入室する場合には、不正行為や不測事態の発生を防ぐため、その作業を監視しなければなりません。監視は、操作ログの収集、監督者による目視、監視カメラなどによって行います。
問題文を読むと、解答に当たり以下の条件があることがわかります。- 担当者が付き添えない場合に必要となる
- 来訪者の行動を事後に確認できる
- ログ取得などの技術的対策とは別に行う対策である
- 何らかの設備である
∴監視カメラを設置して来訪者の行動を記録する - オンデマンド印刷機能は、利用者からの印刷要求を受け取った際にすぐに印刷開始するのではなく、利用者からの印刷データをいったん複合機に蓄積し、複合機での利用者認証の後、利用者が複合機の操作パネルで印刷データを選択して印刷する機能です。
本問でも「NPCから印刷指示した文書の用紙への印刷は,社員カードを複合機のICカードリーダーにかざして認証を受けた後に行われる」とあるように、印刷要求した本人が複合機の場所まで行って認証を受けないと、印刷物が出力されない仕組みとなっています。この機能を利用すると、印刷を実行した人だけが、プリンターの横にいるときにだけ印刷物を得ることができるので、印刷物の紛失や取り間違い、印刷したまま放置された文書を第三者に見られたり持ち去られたりするセキュリティリスクへの対策となります。
オンデマンド印刷機能の利用により印刷物の放置を低減させることができるのは、用紙への印刷をするためには利用者が複合機の場所に行く必要があるからです。したがって、「複合機の側に行かないと用紙への印刷ができないから」「複合機の側にいるときだけ印刷物を得ることができるから」などの解答が適切となります。
∴複合機の側に行かないと用紙への印刷ができないから - 重要情報を取り扱う執務エリア等の領域に個人の情報機器及び記録媒体を持ち込まれると、個人の情報機器や記録媒体に重要情報を格納して持ち出されるおそれがあります。それがカメラ付きの情報機器であれば、重要情報を写真に撮って持ち出されるおそれもあります。通信可能な情報機器であれば、重要情報を外部に送信されるおそれもあります。また危険物を持ち込まれれば普通に危険です。このような私物の持込みリスクに対応して、私物の鞄の代わりに貸与するべき鞄が問われています。
問題文から導出できない知識問題ですので想像力を働かせる必要がありますが、デパートやコールセンタなどでよく採用されているように、従業員に透明な鞄を利用してもらう方法が考えられます。透明な鞄を導入することにより外から中身を確認することが容易になるので、情報セキュリティ管理規程で禁止されている私物の持込みを抑止することができます。また同時に、執務エリア内の情報資産(秘密情報、機密情報)をその外に持ち出す不正への抑止効果も期待することができます。
∴d=中が透けて見える
行為=秘密書類の持出し
広告
広告