情報セキュリティ アドミニストレータ(セキュアド)過去出題問題

 平成16年 午後2 問1

最終更新日 2006/05/02
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成16年 午後2 問1

問1

個人情報の漏えい対策に関する次の記述を読んで,設問1〜5に答えよ。

V社は,ホテルやスポーツクラブを経営している企業で,従業員数2,000名,年商
は500億円である。V社は,ゴルフ場,テ二スコートなどを運営する企業が合併する
ことによって10年前に設立され,ホテルとスポーツクラブを全国20都市に展開して
きた。ホテルやスポーツクラブの利用者向けに,磁気ストライプを用いた会員制ポイ
ントカードを発行し,それが好評で売上を伸ばしている。本社には,営業企画部,総
務部,情報システム部などがある。

〔情報システムの概要〕
V社は,ホテル業務とスポーツクラブ業務用の情報システム(以下,Vシステムと
いう)を開発し,ポイントカード会員の氏名,住所,生年月日,性別,所属スポーツ
クラブなどのデータベース化された個人情報(以下,個人データという)の管理や, 
インターネットヘのアクセスなどに利用している。図1に,Vシステムの構成を示す。


図1 Vシステムの構成

会員は,インターネットを経由してWebサーバにアクセスし,ポイントカードに
記載されている会員番号でホテルやスポーツクラブを予約する。この予約データは,
本社サーバに保存される。ただし,スポーツクラブの予約データは,本社サーバから
該当するスポーツクラブのローカルサーバに転送される。
ホテルでは,本社サーバにアクセスして予約データを得て,宿泊客リストの印刷な
どの処理を行っている。また,会員がチェックアウトした際に,ポイントの利用状況
を本社サーバに送信している
スポーツクラブでは,インストラクタがパソコンのブラウザからローカルサーバに
アクセスして,会員の予約データと個人データを基に,健康面からの制限事項を考慮
したスポーツメニューを作成する。また,会員がスポーツを終えた後に,インストラ
クタが時間数,会員のポイントの利用状況や特記事項などを入力している。各スポー
ツクラブの事務所では,毎月20日締めで会員の施設利用状況をローカルサーバから
パソコンにダウンロードして,会員への請求書と銀行への日座振替依頼書を作成して
いる。
本社情報システム部は,Vシステムのネットワーク機器やすべてのサーバを運用管
理し,ウイルス,不正侵入,情報漏えいなどの対策を行っている。

〔第1の事件〕
Tスポーツクラブ(以下,Tクラブという)では,会員が急増し,1日当たりの利
用会員が400名を超えることがある。Tクラブには,クラブ長,管理部長,インスト
ラクタ部長,及び従業員(事務員が3名,インストラクタが30名,派遣社員が5名)
がいる。また,インストラクタのうち,20名はアルバイトである。管理部長はTク
ラブの情報セキュリティ責任者であるが,多忙なこともあって,従業員に対する情報
セキュリティ教育がおろそかになりがちで,利用者IDとパスワードの付与について
は事務員任せになっている。事務員及び派遣社員は,利用者IDを共用している。
請求処理で忙しい9月21日の未明に,Tクラブで事件が起こった。Tクラブの事務
所が泥棒に侵入され,現金,預金通帳,及びパソコン1台が盗まれた。21日の朝に,
出勤してきたインストラクタが盗難に気付いた。連絡を受けたクラブ長が,盗まれた
パソコンを操作していた派遣社員に前日の作業内容をヒアリングしたところ,当該月
の会員への請求データと銀行への口座振替データがパソコンに保存されたままである
ことが分かった。クラブ長は警察に盗難届を出したが,個人データ漏えいの可能性に
ついては言及しなかった。
その後,クラブ長が本社に対応の支援を依頼したところ,本社から,防犯対策担当
者である総務部長と情報システム部の情報セキュリティ担当者であるH君が,調査
のためにTクラブに派遣されてきた。H君は,まず関係者にヒアリングし,次にTク
ラブのローカルサーバを調査した。
調査を終えて,本社に戻ったH君は,上司のB部
長と相談して,図2の対応策をまとめた。

(1)"個人データ漏えいの可能性"について警察に届け出るとともに,マスコミに公表するこ
 と。また,該当する会員に対して,事件の概要とパソコン上の個人データ項目,今後起こる可
 能性のある事故とその場合の注意点について説明したおわびの文書を発送すること。
(2)Tクラブの情報セキュリティ担当者を決めて,個人データヘのアクセス履歴を定期的にチェ
 ックさせること。
(3)Tクラブの従業員などに対して,個人データの取扱方法について教育すること。その場合,
 情報システム部が作成したWebベースシステムを活用して,習得させること。
(4)パソコン上の個人データは,作業終了時には消去させること。
(5)事務員及び派遣社員には,利用者IDを共用させないこと。

図2 対応策

クラブ長は,対応策を受けて警察に届け出て,マスコミにも公表した。同時に,H
君の調査で個人データの漏えいが判明した512名の会員に対して,図3に示すおわび
の文書を郵送した。

平成16年9月25日

会員各位

V社Tスポーツクラブ長△△○○ 

おわび

拝啓 秋冷の候,皆様にはますますご健勝のこととお慶び申し上げます。また,平素よりTスポ
ーツクラブをご利用いただきありがとうございます。
当クラブでは,皆様の個人情報管理には十分配慮してまいりましたが,【 ア 】。お客様に
は十分注意していただき,何か, ご不明な点,お気付きの点などがございましたら,下記までお
問い合わせください。
このたびは,当クラブの不十分な管理によって,皆様に大変ご迷惑をおかけしましたことを心
からおわび申し上げます。今後とも,皆様のご利用をお待ちしております。

敬具

お問合せ先:Tスポーツクラブ管理部長××◇◇, 電話:0#-1###‐5###
受付時間:午前9時〜午後6時(月〜金),午前10時〜午後3時(土,日,祝日)

図3 Tクラブからのおわびの文書

〔第2の事件〕
Sホテルは,部屋数が200室あり,きめ細かいサービスと料理で人気がある。Sホ
テルには,K支配人のほか,従業員が45名(アルバイト25名を含む)いる。繁忙期
には得意客で満室になるので,近隣のホテルに応援者を頼み,フロント業務を手伝っ
てもらっている。Sホテルの従業員や応援者は,必要の都度,Sホテルのフロントと
事務所に設置されているパソコンからVシステムにアクセスする。この際,上司の許
可を得てアクセスし,宿泊客リストを印刷して,部屋割りと食事のメニューを決めて
いる。この宿泊客リストは,従業員や応援者が利用後,自らの判断によって廃棄して
いる。ただし,宿泊者名簿は,旅館業法に従って別に紙で保管している。
ある日G氏が,宿泊とスポーツがセットになった,Sホテルの"ダイエットプラ
ン"に申し込んだ。G氏には,会員の登録情報どおり,禁煙室,Lサイズの浴衣及び
低カロリ食が用意された。ところが,宿泊した日の2週間後から,ダイエット食品に
関する不審なダイレクトメールがG氏に郵送されるようになった。G氏へのあて先が,
ポイントカード登録時の記載誤りのある住所であったことから,G氏はV社に問い合
わせた。V社が調査したところ,G氏が宿泊した日の宿泊客リストが盗まれていたこ
とが分かり,V社は,当日利用した宿泊客に謝罪し,公表した。

〔リスク分析と情報セキュリティポリシの見直し〕
V社のA社長は,二つの事件を受けて,V社としての対策が必要と判断し,個人情
報の管理体制とVシステムの改善をB部長に指示した。B部長は,H君と個人データ
漏えいに関するリスク分析を行った。次は,B部長とH君の会話である。

H君:現在,ホテルとスポーツクラブで利用されている個人データの管理は不十分
   で,漏えいリスクは高いと思います。当社は,2005年に全面的に施行される
   個人情報保護法に規定されている【 a 】に該当し,個人データの安全
   管理措置が義務付けられます。ですから,個人デニタ漏えいに対するリスク
   対策は必須です。
B部長:そうか。リスクとリスク対策について詳しく説明してくれないか。
H君:リスク対策には4種類あり, リスクの被害規模と発生頻度によって対策を選
   択するという考え方があります。例えば,被害規模が大きく,発生頻度が高
   いリスクの場合には, リスクを回避します。また,被害規模が大きいリスク
   の場合には,発生頻度が低くても, リスク保険などに【 b 】します。
   一方,被害規模が小さく,発生頻度が高いリスクの場合には, リスク対策の
   費用対効果が最適となるように,発生頻度の低減対策を行います。
B部長:では,TクラブやSホテルの場合には,どうすべきなのか。
H君:どちらの場合も,大量の個人データを扱っています。現状のままでは,個人
   データ漏えいによる被害規模が大きく,発生頻度も高いので, リスクを回避
   すべきです。Tクラブでは,個人データをパソコン内に保存しないようにす
   るか,保存するときにはデータを暗号化して,漏えいしても読まれる可能性
   を減少させるべきです。また,Sホテルでは,宿泊客リストを印刷すべきで
   はありません。個人データ漏えいの発生頻度を減少させるには,アクセスを
   厳しく制限する必要があります。
B部長:分かった。まず,個人データヘのアクセス制限の強化から始めよう。当社の
    情報セキュリティポリシの見直しと遵守させるための方策を検討してもらい
    たい。

〔V社の情報セキュリティポリシ〕
V社の情報セキュリティポリシは,情報システム部が中心となって4年前に作成さ
れていた。しかし,ホテルやスポーツクラブの役員,管理職,従業員などへの周知や
Webベースシステムを活用した教育が十分に実施されておらず,必ずしも遵守されて
いない。そこで,H君はB部長の指示を受けて,ホテルやスポーツクラブの情報セキ
ュリティ責任者で構成される情報セキュリティ委員会において,情報セキュリティポ
リシの問題点と改善策について検討した。その結果を図4に示す。

(i) ホテルやスポーツクラブでは,派遣社員やアルバイトが多く, しかも頻繁に入れ替わるの
  で,利用者IDとパスワードの発行,停止は,本社で迅速に行う。
(ii)従業員などが情報セキュリティポリシに違反した場合に備え,【 c 】規定が必要となる。
(iii)ホテルやスボーツクラブを対象に,情報セキュリティを定期的に評価する。
(iv)情報システム部によるSホテルの事故対策では,個人データ漏えいを防ぐために,事実上,
  宿泊客リストの印刷を禁じている。これでは,ホテルのサービス低下を招くので,上司が宿泊
  客リストの中からサービス提供に必要な最小限の項目を抜き出して印刷した接客カードを,従
  業員や応援者に渡す。

図4 情報セキュリティ委員会で決定した改善項目

情報セキュリティ委員会は,図4の(i)〜(iv)の改善項目を盛り込んだ情報セキュリ
ティポリシの改訂案を作成した。この改訂案は,V社の経営会議で承認された(図5)。

情報セキュリティポリシ

社長

I.基本方針
 V社は,ホテルとスポーツクラブの運営を通じて,お客様に満足していただけるサービスを
 提供する企業である。お客様サービスにとって重要な個人情報に関する情報セキュリティの確
 保を最優先に行動する。
U.対策基準
 1.適用範囲
  (1)本基準は,役員,管理職及び従業員に適用する。
  (2)本基準は,V社で利用するすべての情報資産(ハードウェア,ソフトウェア,ネットワ
   ーク,データベース,記録媒体及び書類)に適用する。
 2.情報セキュリティ委員会
  (省略) 
  (3)情報セキュリティ委員会は,必要に応じて情報アクセス管理者を任命する。
  (省略)
 3.情報の管理
  (1)V社が守るべき情報には,その重要度に応じてA(きわめて重要)〜 D〈重要でない)の
   ランクを付ける。
   なお,個人情報は,Aランクとする。
  (2)Aランクの情報をパソコンで取り扱う場合には,業務終了時に消去する。
  (3)Aランクの情報の印刷,コピー及び破棄は上司の許可を得てから行い,管理記録を残す。
 4.アクセス管理
  (1)Aランクの情報を保存する機器は物理的に【 d 】する。
  (2)情報資産への適切なアクセス権限を設定する。
  (3)従業員が個人データにアクセスする場合には,その都度,情報アクセス管理者の許可を
   得る。
  (4)利用者IDとパスワードの発行,停止は,本社で迅速に行う。
  (5)利用者IDは,共用しない。
  (6)本社サーバと各スポーツクラブのローカルサーバヘのアクセス記録は,すべて
   【 e 】に残し,その内容を定期的にチェックする。
 5.インターネットアクセス
  (省略)
 6.事故対応
  (省略)
 7.Webベースシステムによる教育
  (省略)
 8.情報セキュリティ監査
  (省略)
 9.【 c 】規定
 (以下,省略) 

図5 V社の情報セキュリティポリシ(改訂後)

〔情報セキュリティの支援と情報セキュリティ監査〕
H君は,承認された情報セキュリティポリシを浸透させるために,表に示すような
情報システム部による情報セキュリティの支援を提案し,B部長の承認を得た。

表 情報システム部による情報セキュリティの支援

項目 支援内容
システムの運用支援 ・利用者IDとパスワードの迅速な発行,停止
・Vシステムのログの定期的な監視
ヘルプデスクの設置
緊急対策の支援 ・個人データ漏えい対策やウイルス対策など,緊急を要する情報
 セキュリティ対策に関する対応とアドバイス
教育の支援 ・Webベースシステムの教育コンテンツに【 イ 】を追加
情報セキュリティ評価などの
支援
・情報セキュリティ対策の実施状況の定期的な評価
・第三者による情報セキュリティ監査への対応
・自己点検の支援

V社のスポーツクラブやホテルでは,情報セキュリティの支援体制が整ったことから, 
情報セキュリティポリシが浸透するようになり,情報セキュリティの改善が進んできた。
しかし,情報セキュリティポリシに対する理解がまだ不十分なところもある。
そこで,A社長は,個人情報保護を実現するための情報セキュリティポリシを更に
徹底させるために,社外の情報セキュリティ監査テームに監査を依頼した。図6に,
その報告書を示す。

情報セキュリティ監査報告書

1.全般事項
 V社の本社では,個人情報に関するリスクマネジメントが実施され,個人情報保護法に準拠
 するための情報セキュリティ支援体制が整ったことは評価できる。
 ただし,バランスのとれたリスクマネジメント実現に向けた改善と,経営陣によるリーダシ
 ップが必要である。
2.指摘事項
 (1)Sホテルの現在の運用では,個人データヘのアクセス権限をもっているのはK支配人だけ
 であり,K支配人の不在時に業務に支障を来している。情報セキュリティポリシのU.4.(3)を
 踏まえ,アクセス権限の付与を含めてコントロールを見直す必要がある。
(以下,省略) 

図6 情報セキュリティ監査報告書

情報セキュリティ監査報告書を受け取ったA社長は,B部長に,早急に指摘事項を
実施するよう指示した。また,A社長は,個人情報に関する情報セキュリティ管理を
徹底させるために,自ら,ホテルやスポーツクラブを訪れて, リスク分析の必要性と
それに基づいた個人情報に関する情報セキュリティのマネジメントについて説明する
ことにした。


設問1

本文中の【 a 】〜【 e 】に入れる適切な字句を答えよ。

(1)【 a 】については,10字以内で答えよ。

(2)【 b 】〜【 e 】については,解答群の中から選び,記号で答えよ。
 解答群
  ア 移転 イ 移動 ウ 隔離 エ 採用 オ 出力
  力 対応 キ 入退室 ク 罰則 ケ 分離 コ ログ

設問2

第1の事件に関する次の問いに答えよ。

(1)本文中の下線で示した,H君の調査の目的を,30字以内で述べよ。

(2)図2中の(5)で指摘している利用者IDの共用による問題点を二つ挙げ,それ
 ぞれ20字以内で述べよ。

(3)図3中の【 ア 】に入れる適切な字句を,100字以内で述べよ。

設問3

第2の事件に関する解決策として,図4中の(iv)に示す改善項目が決定された。
しかし, このままでは,第2の事件の抜本的な解決には至らない。上司が更に実
施すべきことを,25字以内で述べよ。

設問4

Webベースシステムで提供する教育に関する次の問いに答えよ。

(1)第1,2の事件への対応策として,表中の【 イ 】に該当する教育項目を
 二つ挙げ,それぞれ15字以内で述べよ。

(2)Webベースシステムを使って,ホテルやスポーツクラブの従業員などを教育
 するとき,教育効果を上げるためにH君が留意すべき点を二つ挙げ,それぞ
 れ30字以内で述べよ。

設問5

情報セキュリティアドミニストレータであるあなたは,図6中の2.(1)の指摘事
項に基づいた運用改善策を求められている。図5中のU.4.(3)に対応した改善策
を,60字以内で述べよ。

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成16年 午後2 問1