Tomのネットワーク勉強ノート

過去問（午後）

情報セキュリティ アドミニストレータ過去問（午後）

情報セキュリティ アドミニストレータ過去問 平成13年　午後2　問2

問2 

情報セキュリティポリシの策定及び運用に関する次の記述を読んで、設問1〜5に
答えよ｡

A社は、従業員が700人規模のエネルギ関連企業で、エネルギの購入、備蓄、精
製及び卸販売を行っている｡

エネルギの購入及び卸販売の業務は、主に本社部門が行っている｡これらの事務処
理業務のシステム化は、情報システム部が担当している｡情報システム部は、事務処
理の効率化のため、10年ほど前にネットワーク（以下、事務処理系ネットワークと
いう）を敷設し、本社部門のパソコンをネットワークに接続した｡昨年、購入や卸販
売業務でインターネットの利用が必要になったので、事務処理系ネットワークをイン
ターネットに接続した｡これによって、電子メールと社外のホームページ検索（以下
Web検索という）が可能になり、従来からの社員間の情報交換に加え、社外との情
報交換も可能になった｡

インターネットの接続時にファイアウォールを設置し、電子メールとWeb検索だ
けを可能にした｡特にウイルス対策としては、社外及び社内用メールサーバでウイル
ス検査を行い、感染のおそれがある場合には、中継を保留する措置を講じた｡
生産部門では、エネルギを備蓄するためのタンクとエネルギを精製するための装置
（以下、これらを総称してプラントという）を管理している。安定稼働とコストダウ
ンの観点から、プラントの操業の自動化が推進されてきており、20年前にコンピュ
ータが導入された｡プラントの制御及び監視の一元管理、並びに計測情報の分析及び
解析のため、10年ほど前にプラント制御系ネッートワークが敷設された｡また、プラ
ントのメンテナンス業務を効率化するため、リモートアクセスサーバ（以下、RAS
という）を設置している｡これらについては、生産部門が構築し、維持管理を行って
いる｡

A社ではこれまで、本社部門と生産部門の間で方針や施策に関して意見の食い違い
が多く発生し、意思決定に時間を要していた｡本社部門と生産部門の連携を強化する
ため、両部門間の人事ローテーションを活発に行うこと、及び1年後に本社部門を
生産部門の隣に移転することを経営会議で決定した｡また、本社部門の移転時に、ネ
ットワーク全体の見直しを図ることも決定した｡

〔情報セキュリティポリシの策定〕
情報システム部のB課長は、本社部門の移転計画を契機に、情報セキュリティポリ
シを作成し、セキュリティレベルの向上を図ることが必要であると考えた｡そこで、
B課長は、社長を委員長とする情報セキュリティ委員会の設置と情報セキュリティ基
本方針の骨子（図1）を経営会議に提案した｡経営会議では、"本社部門の移転まで
の10か月間で情報セキュリティボリシの導入を完了し、移転後に運用を開始するこ
と"及び"ウィルス対策を強化すること"という指示が出た｡
次は、経営会議での質疑応答である｡

C役員：短期間で完了するためには、同業他社で作成した情報セキュリティポリシを
　　　　流用して一部修正するのが効率的ではないか｡
B課長：効率的に作業を進めるため、外部の専門会社の支援を仰ぐつもりですが、情
　　　　報セキュリティ基本方針の骨子で述べたような情報セキュリティポリシを策
　　　　定するには、自分たちが中心となって作成したいと考えています｡

図1　情報セキュリティ基本方針の骨子

情報セキュリティポリシ策定の支援を依頼された外部コンサルティング会社からは、
失敗しないためのポイントとして、次の三つが提示された｡ 

�@ 各部門の代表者からなる横断的な組織を形成し、全社での協調体制を構築する｡
�A 既存の文書管理規則や電子メールの利用規定との整合性を確保する｡
�B 責任の所在が明確になるように、利用部門及び管理部門の権限範囲を規定する｡

B課長は、会社全体の実情に詳しく、また、他の部門のメンバと調整した経験の
ある情報システム部のW主任を、情報セキュリティ対策の担当者に選任した｡W主任
は、情報セキュリティポリシを策定し、その後、本社部門の移転までに教育を完了す
るというスケジュールを立案した｡それを見たB課長は、経営会議の指示に対して、
作業が完了しない項目がでるおそれがあると考え、情報セキュリティポリシの策定ス
ケジュールを早めるようにW主任へ指示した｡
次は、情報セキュリティ委員会での会話である｡

F課長：今回の適用対象に紙の情報を含めるのか｡ワープロで作成された電子化情報
　　　　だけを対象にすれば十分ではないか｡
W主任：プリンタで出力すれば電子化情報も紙として存在しますので、含めたいと思
　　　　います｡紙の情報の機密レベルは、既に文書管理規則で規定されております｡
　　　　今後、情報の機密レベルについては、情報セキュリティポリシに一本化する
　　　　方向で文書管理規則の担当者と合意しております｡
F課長：生産部門のプラント制御系システムを、今回の情報セキュリティポリシの対
　　　　象から外すべきだ｡利用しているOSなどの技術基盤が異なるからだ｡
W主任：本社部門の移転後、事務処理系とプラント制御系のネットワークを接続する
　　　　予定です｡確かに、プラント制御系システムは、汎用性の低い専用のハード
　　　　ウェアとソフトウェアで構成されていますが、以前よりも汎用化が進んでい
　　　　ます｡やはり対象とすべきではないでしょうか｡
F課長：我々の生産部門は、安定稼働を至上命題にシステムやネットワークを構築し
　　　　た｡事務処理系システムよりも高い可用性レベルを維持している｡そもそも、
　　　　事務処理系のネットワークやシステムとはセキュリティ要件が異なる。無理
　　　　やりすべての情報資産を同じレベルで管理しようとすると、かえって我々の
　　　　システムのレベルが下がってしまう｡
W主任：生産部門のシステムは、確かに高い可用性レベルを維持しています｡しかし、
　　　　基本方針の骨子にも、すべての情報資産を対象にするとあり、一部を外すわ
　　　　けにはいきませんので、対象に含めるべきではないでしょうか｡
F課長：これでは平行線で、話がまとまらん｡
B課長：今回の移転は、本社部門と生産部門の連携強化がねらいだが、すぐに実現す
　　　　ることは難しいので段階的に進めていくのはどうだろう｡W君、何かいい方
　　　　法はないかね｡
W主任：それでしたら、プラント制御系ネットワークを2つに分けるのはどうでしょ
　　　　うか。汎用性の高い方は、情報セキュリティポリシの対象とし、もう一方は
　　　　対象から外します｡
F課長：それぞれが基本方針や対策基準を策定し、運用していくということだな｡そ
　　　　れがいい｡運用状況を見て、1年後に統合するかどうかを検討するのはどう
　　　　だろうか｡
B課長：了解した｡当面、ネットワークの所管については、従来どおりでいこう｡
W主任：話は変わりますが、電子メールによる情報の漏えいを防ぐため、外部に送信
　　　　する場合には、上司に控えを送信するというようにしたいのですが、いかが
　　　　でしょう｡
F課長：私の部下は30人もいて、いちいち見ていられない｡
B課長：電子メールによる機密情報の漏えいを予防するため、協力をお願いしたい｡

〔ネットワークの見直し計画〕
情報セキュリティ委員会の委員及び関係者で協議し、ネットワーク構成を見直した
結果、図2のようになった｡

（1）プラント制御系ネットワークを制御系と制御情報系の二系統に分離する｡
（2）制御系ネットワークは、プラントの制御及び監視を行う｡ネットワークプロトコ
　　ルやOSなどは、専用的な技術基盤を利用する｡
（3）制御情報系ネットワークは、プロセスコンピュータ（以下、プロコンという）を
　　用いて、計測情報や各種構成情報など、重要で最も機密性の高い情報を管理する。
　　ネットワークプロトコルやOSなどは、汎用的な技術基盤を利用する｡
（4）制御情報系ネットワークは、内部ファイアウォールを経由して事務処理系ネット
　　ワーク、ゲートウェイを介して制御系ネットワークと接続する｡制御情報系ネット
　　ワーク上のパソコンから社内共用ネットワークヘの接続、電子メールやWeb検索
　　の利用が可能である。

図2 本社部門の移転後のA社ネットワーク構成


表は、各ネットワークに対して要求されるセキュリティレベルをそれぞれの所管が
まとめたものである｡

表 各ネットワークのセキュリティ要件

注 適用対象は、情報セキュリティポリシの適用対象に含めるか含めないかを示す｡

本社部門の移転の5か月前に、図3の情報セキュリティポリシが策定された｡

図3 A社の情報セキュリティポリシ（抜粋）

〔情報セキュリティポリシの遵守状況の確認〕
B課長は、情報セキュリティポリシが適切に運用されるように、次の二つの方策を
検討し、本社部門の移転後に実施することにした｡

インターネットからの不正侵入による脅威が増大し続けているので、年1回、外
部の専門家によるペネトレーションテスト（疑似侵入攻撃）を実施し、ファイアウォ
ールによる対策に不備がないかどうかを検証することにした｡

また、電子メールの適正な利用を推進するため、社外に送信する電子メールであて
先に上司が含まれていない（ブラインドカーボンコピーがない）場合、送信を保留し
て本人へ返送する仕組みを導入することにした｡また、これを導入するに当たって、
【　f　】の問題で会社と社員との間にあつれきが生じないように、事前に周知す
ることにした。

〔事故の発生〕
本社部門の移転後、しばらくしてプロコンのデータが一部消失するという事故が発
生した｡調査の結果、次のことが分かった｡
（1）本社部門の移転時にプラントのメンテナンス用機器が盗まれその機器を利用し
　　てRAS経由で不正侵入された｡RASへの接続には構内無線電話が利用されており、
　　安全であるとの認識から、接続時にIDとパスワードの設定はなかった｡しかし、
　　工場の外壁の外側からテストしたところ、RASへの接続が可能であった｡
（2）メンテナンス用機器の利用者は、盗難に気付いていたが報告していなかった｡
（3）プロコンの管理者用のIDとパスワードが容易に推測できるものであった｡また、
　　プロコンのOSのセキュリティに関する設定が初期値のままであった｡
（4）プロコンに保管されている各種構成情報からゲートウェイのアドレスが発覚し、
　　攻撃を仕掛けられたが、侵入までには至らなかった。

〔対策の実施〕
事故発生後、次の対策を講じた｡
（1）メンテナンス用機器の紛失時の連絡体制を整備し、周知徹底した｡
（2）RAS及びプロコンのIDとパスワードの管理方法を見直した｡
（3）プロコンのOSに対する設定を見直した｡
今回の事故を通じて、B課長は、情報セキュリティを確保する上でのポイントは何
であるかを痛感した｡

設問1

本文中の【 a 】 〜 【 f 】に入れる適切な字句を答えよ｡

設問2 

情報セキュリティ対策に関する次の問いに答えよ｡

（1）B課長は、W主任の提示したスケジュールでは、"作業が完了しない項目が
　　でるおそれがある"と考えた｡そのような作業項目を15字以内で述べよ。

（2）W主任は、情報セキュリティポリシの策定に当たって、B課長の期待どおり
　　に活躍しているが、それはどのような点か｡二つ挙げ、それぞれ30字以内で
　　述べよ｡

（3）B課長は、経営会議の質疑応答で、"自分たちが中心となって作成したい"
　　と答えている｡B課長のねらいは何であるか｡50字以内で述べよ｡

設問3 

電子メールの情報セキュリティ対策に関する次の問いに答えよ｡

（1）情報セキュリテンポリシの導入によって、従来からのウイルス対策の効果が
　　一部低下するおそれがある｡それは現在の運用方法から考えてどのような点か｡
　　30字以内で述べよ｡

（2）電子メールの適正な利用を推進するための対策について、運用上の課題を二
　　つ挙げ、それぞれ30字以内で述べよ｡

設問4 

不正侵入に関する次の問いに答えよ｡

（1）W主任は、ほかのネットワークと比較して制御系ネットワークのリスクが小
　　さいと分析した｡その理由を二つ挙げ、それぞれ15字以内で述べよ｡

（2）プロコンに対する対策は、不正侵入防止という点から不十分である｡とるべ
　　き対策を20字以内で述べよ｡

設問5 

B課長は、今回の事故を通じて、A社の情報セキュリティを向上するために改
善すべき内容とその解決策は何であると考えているか｡改善すべき内容を30字
以内で述べよ｡また、その解決策を70字以内で述べよ｡

Tomのネットワーク勉強ノート

過去問（午後）

情報セキュリティ アドミニストレータ過去問（午後）

情報セキュリティ アドミニストレータ過去問 平成13年　午後2　問2