情報セキュリティ アドミニストレータ(セキュアド)過去出題問題

 平成14年 午後1 問3

最終更新日 2006/05/02
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成14年 午後1 問3

問3

社員向け情報セキュリティ教育に関する次の記述を読んで、設問1〜5に答えよ。

M社は、社員数200人規模の会社である。ほとんどすべての社員が、社内ネットワ
ークに接続された1人1台のパソコンを使って、日々の業務を遂行している。社内ネ
ットワークも情報システム部の管理の下でインターネットに接続されており、一般
社員が利用するパソコンからインターネットを利用することができる。ただし、利用
できるインターネットサービスは、ファイアウオールによって制限されている。
M社は、既に情報セキュリティポリシを定めており、その基本方針の中で、図1の
ように規定していた。

社員は、情報セキュリティポリシを遵守すること。情報セキュリティポリシの規定事項
に著しく反する行為があった社員は、取締役会の審議を経て懲戒を受ける場合がある。

図1 情報セキュリティ基本方針(抜粋)

しかし、新入社員から、"このような抽象的な指示では、具体的に何を守らなけれ
ばならないのかが分かりにくい"という声があがったので、情報システム部を中心に
して、社員が守るべき事項を周知するための教材を作成することになった。
情報システム部のY部長の指示で、Z主任が教材の作成を担当することになった。
まず、教材の構成を検討するために、情報セキュリティ対策基準(以下、対策基準と
いう)を参照することにした。
次は、Y部長とZ主任の会話である。

Y部長:先日頼んでおいた教材の作成の件だが、検討状況を報告してくれないか。
Z主任:はい。まず、教材の構成は、当社の対策基準の項目に沿って整理を進めてい
    ます。まだ、必要な項目すべてを網羅してはおりませんが、今日までの検討
    結果を報告いたします。教材の冒頭では、社員が当社の情報セキュリティポ
    リシを熟読し、すべての内容を理解することが重要であることを明記します。
Y部長:なるほど。情報セキュリティを考える上で、一番大切な文書だからな。とこ
    ろで、当社の対策基準の章立ては、どうなっていたかね。
Z主任:はい。図2のとおりです。

(1)組織及び体制
(2)情報の分類と管理
(3)物理的セキュリテイ
(4)人的セキュリテイ
(5)技術的セキュリテイ
(6)運用
(7)法令遵守
(8)ポリシ【 a 】ヘの対処
(9)評価と見直し

図2 対策基準の章立て

Y部長:いろいろな項目があるが、どこから検討を開始したらいいだろうか。
Z主任:はい。この対策基準は、管理する側の視点で構成されていますので、各項目
    の中から利用者が守るべき事項を抜き出して整理し直すつもりです。その中
    でも、新入社員が仕事を進める上で一番身近な問題である情報システムの利
    用に関する部分から始めようと思います。【 b 】やWebといった、最
    も代表的なインターネットサービスの正しい使い方を説明する予定です。ま
    た、当社の対琴基準で、"社員は、【 b 】やWebの利用に当たっての
    脅威を十分に理解すること"と規定されていますので、そうした脅威につい
    ても説明します。もう少し具体的に述べますと、【 b 】を受け取った
    ときに、そこに書いてある送信者の情報が【 c 】されなりすましが
    行われていないかどうかを確認すること、【 d 】していないかどうか
    を専用のソフトウェアを用いて確認すること、【 b 】を社外に送ると
    きには、正しい受取人に届くように必ず【 e 】を確認すること、など
    を推奨するつもりです。さらに、会社にとって重要な情報を扱う場合には、
    配送経路上での【 c 】を検出したり、【 f 】を防止したりするた
    めに、【 g 】技術の利用を検討することも奨励します。
Y部長:普投何気なく使らている【 b 】も様々な脅威が存在するということ
    だな。ところで、話は変わるが、社員がパスワードを管理する上で注意すべ
    き事項を説明する必要はないだろうか。当社の対策基準では、(4)章で適切
    なパスワード管理を社員に義務付け、(5)章でパスワードに関する技術的な
    要求事項を述べるなど、分散していてとても分かりにくい。
Z主任:そうですね。大事なことを忘れていました。利用者の立場に立って項目を整
    理します。まず、簡単に見破られるようなパスワードを使わないこと、利用
    開始時に設定された初期パスワードを直ちに変更すること、パスワードを定
    期的に変更すること、を追加します。本来は、このような固定式のパスワー
    ドではなく、【 h 】パスワードを利用する方が情報セキュリティ対策
    上は望ましいのですが、固定式に比べて費用がかさむので、今後の検討課題
    とします。それと、パスワードといわれて思い出したのですが、@パソコン
    を使用中に会議などで席をはずす場合に注意すべきこととして、ログオフす
    ること
がありました。また、不在時に電源を入れていない自分のパソコンを
    他人に勝手に起動されないように注意すべきこととして、パソコンの電源投
    入時に必要な起動用のパスワードを設定することもありました。これらも追
    加しておきます。さらに、単に利用者に義務を課すだけでは操作が煩雑にな
    り、実効性を欠く可能性があるので、利用者の負担を減らす工夫も盛り込も
    うと思います。
Y部長:ところで、対策基準の運用の章で、緊急時の対応に関する原則が規定されて
    いたはずだな。以前から気になっていたのだが、万が一、情報セキュリティ
    に関連する事故が発生した場合に、社員がどのような行動をとるべきなのか
    を知らせておいた方がよいのではないか。
Z主任:おっしやるとおりです。ただし、一口にセキュリティ事故といっても、いろ
    いろな場面がありますので、何通りかに分けて説明しようと考えています。
Y部長:どのように分けるのかね。
Z主任:はい。まず、情報セキュリティ管理者にどのような現象を報告すべきかとい
    うことと、その報告手段について詳しく述べるつもりです。次に、もしもそ
    の現象が、明らかなセキュリティ事故であった場合にとるべき行動、ソフト
    ウェアの予期しない動作であった場合にとるべき行動、まだ事故は発生して
    いないが事故を起こす原因になるぜい弱性を発見した場合にとるべき行動、
    に分けて説明します。特に注意しなければならないのは、ぜい弱性を発見し
    た場合に、自分でそれを確認しようとしたり、解決しようとしたりしないこ
    とです。もし、発見者がそのような行動をとると、場合によっては、不正な
    使い方をしていると見なされてしまう可能性があるからです。
Y部長:確かにそうだな。社員を守るためには、そのような考え方も重要だろう。
Z主任:はい。もう一つ、ソフトウェアが予知しない動作をした場合にも、自分だけ
    で解決しようとしないことが重要です。それというのも、【 d 】した
    ことが原因で予期しない動作を起こした場合に、A経験のない社員が原因の
    除去を行おうとすると、かえってシステムを破壊したりして被害を拡大する

    可能性があるからです。
Y部長:なるほど。こうして考えてみると、ただ単に規則を守るようにと教育するだ
    けではなく、身の回りにどのような脅威が存在するのかについて、正しい知
    識をもってもらうことも重要なのだな。
Z主任:はい。そうです。
Y部長:では、今日のところはここまでとしよう。この調子で、残りの部分も頑張っ
    てくれたまえ。


設問1

本文中の【 a 】〜【 h 】に入れる適切な字句を、それぞれ9字以
内で答えよ。

設問2

パスワードを管理する上で、社員が注意すべき点は何か。本文中でZ主任が例
示した以外の注意点を二つ挙げ、それぞれ15字以内で述べよ。

設問3

セキュリティ事故を発見した際にも、ぜい弱性を発見したときと同様に、発見
者に自ら対処させず、情報セキュリティ管理者への報告を義務付けるべきである
が、それはなぜか。発見者が自分で対処した場合に怠りがちな事柄と、その結果、
生じる可能性がある問題点について、それぞれ15字以内で述べよ。

設問4

パソコンの不正操作や画面からの情報漏えい防止の対策として、本文中の下線
@に示した規則を定めて単に義務を課すだけでは、十分に対策が徹底されない場
合がある。利用者の負担を減らし、対策の実効性を担保するためには、システム
面でどのような工夫が考えられるか。35字以内で述べよ。

設問5

本文中の下線Aに示したように、被害が拡大する原因として考えられる誤操作
を2つ挙げ、それぞれ45字以内で述べよ。

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成14年 午後1 問3