情報セキュリティアドミニストレータ(セキュアド)過去出題問題

平成16年　午後1　問4

最終更新日　2004/11/10
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート

　過去問（午後）

情報セキュリティアドミニストレータ過去問（午後）

情報セキュリティアドミニストレータ過去問平成16年　午後1　問4

問4

インターネットデータセンタ選定時の情報セキュリティ要件定義に関する次の記述
を読んで,設問1～3に答えよ。

H社は,社員数200名の中堅の衣料品小売業者である。今までは,郵送カタログに
よる商品紹介と電話やファックスによる注文受付が大半を占めていたが,最近ではイ
ンターネットを活用した,Webでの商品紹介や注文受付の比重が高くなってきている。
その結果,商品紹介や注文受付に必要なサーバ類が新商品の売出し直後など注文の多
い時期に停止すると,売上に大きな影響を及ばすようになってきた。
これまで,H社では,商品紹介や注文受付に必要なサーバ類を社内のサーバルーム
に設置していた。しかし,H社が借りているオフィス用賃貸ビルは,物理的セキュリ
ティ面での不安や法定点検時の全館停電など,サーバ類の24時間365日安定稼働に支
障があった。また,サーバ類の運用を行っているH社情報システム部には,部長を含
めて5名の要員しかいないので,夜間や休日も含めた十分な運用体制を組むことは事
実上無理であった。
そこで,常時稼働が必要なサーバ類を,物理的セキュリティ対策や無停電対策が整
っているインターネットデータセンタ(以下,IDCという)に移設するとともに,各
サーバ類の運用をIDCにアウトソーシングすることにした。
まず,移設先の選定や移設スケジュールなどを検討するために,3名からなる検討
チームを編成した。検討チームのリーダにはH社情報システム部のP部長が就任し,
メンバとして情報システム部のQ主任と,他部門から異動したばかりで経験の浅いR
君が指名された。検討チームは移設後のシステム構成を検討し,図1のように決定し
た。

図1　移設後のシステム構成

次に,Q主任が中心になり,DCについて集められるだけの資料を入手して,書類
選考によって5社を選択した。選択した5社は,使い勝手や価格体系の面でほぼ似通
っていて,簡単には優劣をつけがたい状況であった。
そこで,P部長を含むメンバ全員で各社のIDCを訪問調査して,情報セキュリティ
に関連する事項を中心に,更に比較検討することにした。訪問調査を始めるに際して,
検討チームで調査項目の洗出しを行い,表1に示す調査項目について調査することに
なった。

表1　調査項目(情報セキュリティに関連する事項の抜粋)

調査項目	調査ポイント
サーバ運用サービスの内容	稼働監視,ログ確認,…
敷地,建物への入退管理の実施状況	入館手続,個人識別手段,…
監視設備の状況	監視カメラ,警報装置,…
電源設備の状況	受電設備,非常用電源,…
空調設備の状況	空調容量,空調方式,…
防火対策と消火設備の状況	センサ種別,消火方式,…
そのほかの状況	建材,内装,…

さらに,表1の調査項目を基に, R君がQ主任の指示に従って, IDCに求めるべき
情報セキュリティ要件を検討した。R君がまとめた要件の抜粋を, 図2に示す。

1.サーバ運用
　(1)IDC内に設置したサーバ類(以下,設置サーバという)について,24時間365日に
　　わたって稼働状況を監視すること
　(2)設置サーバに対するインターネット経由の不正アクセス(以下,不正アクセスとい
　　う)の有無を,24時間365日にわたって監視すること
　(3)不正アクセスなどの緊急事態が発生した場合に,迅速な対処が可能であること
2.入退管理
　(1)すべてのIDC社員(派遣契約社員,外注者を含む。以下同様とする)及び外来者を
　　入退管理の対象にし,更に外来者については,事前の届出を必須にすること
　(2)入館時には,IDC社員,外来者を問わず,身分証明書を提示させること
　(3)外来者には所持品検査を行い,入退記録簿への記入を求め,外来者用の【 a 】
　　を貸与すること
　(4)コンピュータ室への出入りの際には,【 a 】を使った個人識別と記録を実施す
　　ること。さらに,共連れ(1人の認証で,複数人が出入りする行為)やすれ違いを抑止
　　するために,アンチパスバック機能(2回連続して入室できず,また2回連続して退室
　　できない機能)を利用していること
3.監視設備
　(1)建物外壁の窓ガラスに,振動や開閉を検知するセンサを設置し,昼夜を問わず侵入
　　者を自動検知すること
　(2)建物のすべての出入口に【 b 】を設置し,警備室から終日監視すること
　(3)コンピュータ室内及び通路の要所にも【 b 】を設置し,警備室から終日監視
　　すること
4.電源設備
　(1)2系統受電,ループ受電などの受電方式を採用し,ビル内の配電経路を二重化して
　　いること
　(2)商用電源の瞬断や停電時には,非常用電源によって電力を供給できること
　(3)非常用電源として,起動から発電開始までの時間が短いガスタービン発電機を設置
　　していること
5.空調設備
　(1)空調機は,現用系N台 + 予備系1台で構成されていること
　(2)大規模な地震時の可用性向上のために,水冷式の空調機を採用していること
6.防火対策と消火設備
　(1)室内の建材や備品などには,不燃材,準不燃材又は難燃材を使用していること
　(2)コンピュータ室には,超高感度煙検知機と運動した泡消火設備を設置していること
7.コンピュータ室の設置に関する要件
　(1)不正侵入防止のために,外壁窓ガラスは網入リガラスを使用していること
　(2)地震発生時に,照明器具が落下,損傷しないような措置を講じていること

図2 1DCに求めるべき情報セキュリティ要件(抜粋)

訪問調査の結果,各社が提供するサーバ運用サービスには一長一短があることが分
かった。そこで,この5社から更に候補を絞り込むために,移設予定のシステムのハ
ウジングを想定したサーバ運用サービスの内容について,各社に提案を依頼した。Q
主任は,不正アクセス防止策を比較するために,各社からの提案を基に,FWに関す
るサーバ運用サービスの内容を表2にまとめた。
Q主任がP部長に表2を示して相談したところ,不正アクセス防止策として,①
FWに関する表2のサーバ運用サービスは,図2で規定したサーバ運用に関する要件
を満たしていないと指摘された。そこで,各IDCと相談して,図1に示したH社情報
システムに新たなハードウェアを追加せずに②付加できる,FWに関するサーバ運用
サービスの内容と,新たなハードウェアを追加した場合に③付加できるサーバ運用サ
ービスの内容について,それぞれ代案の提示を求めた。

表2 不正アクセス防止策のためのFWに関するサーバ運用サービス水準の比較

セキュリティ　　　　　　＼社名関連のサービス項目　　＼	V社	W社	X社	Y社	Z社
ハードウェアの稼働監視(1)	1回/5分	1回/5分	1回/10分	1回/10分	1回/5分
プロセスの稼働監視(2)	(なし)	1回/5分	1回/10分	1回/10分	1回/5分
ログの確認(3)	1回/日	1回/週	1回/月	1回/日	1回/日
設定変更の対応(4)	休日,深夜を除く随時	随時	随時	随時	休日,深夜を除く随時
ハードウェアの障害対応(5)	休日,深夜を除く随時	随時	随時	随時	休日,深夜を除く随時

注(1)ハードウェアが稼働しているか否かを,あらかじめ定めた間隔でpingを用いて監視するサービス
　(2)FWプロセスが正常に動作しているか否かを,あらかじめ定めた間隔で監視するサービス
　(3)FWプロセスが出力するログをあらかじめ定めた間隔で確認し,不正アクセスと思われる通信が
　　行われていないか否かを調査するサービス
　(4)サービス上の都合や新たなぜい弱性の発見など,何らかの理由でFWの設定を変更する必要が生
　　じた場合に,設定を変更するサービス
　(5)障害を起こしたハードウェアの切分けやベンダヘの保守コールなどを実施するサービス

設問1

図2中の【 a 】,【 b 】に入れる適切な字句を,それぞれ6字以内
で答えよ。

設問2

図2中の4～7には,コンピュータの設置場所の条件として,経験の浅いR君
の誤解や理解不足に基づく誤った要件記述がそれぞれ一つずつあると不適切と思
われる記述を選び,図2中の(1)～(3)の番号で答えよ。また,それらの記述が不
適切である理由と,本来の望ましい要件を,それぞれ20字以内で述べよ。

設問3

本来中の下線①～③に示したサーバ運用サービスの内容に関する次の問いに答
えよ。

(1)P部長が,下線①で"満たしていない"と指摘した要件を,図2中の番号で
　答えよ。

(2)下線②の"付加できる,FWに関するサーバ運用サービスの内容"を,20字
　以内で述べよ。

(3)下線③の"付加できるサ千バ運用サービスの内容"を,想定される追加ハード
　ウェアを含めて,30字以内で述べよ。