情報セキュリティアドミニストレータ(セキュアド)過去出題問題

平成17年　午後1　問2

最終更新日　2006/05/02
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート

　過去問（午後）

情報セキュリティアドミニストレータ過去問（午後）

情報セキュリティアドミニストレータ過去問平成17年　午後1　問2

問2

情報セキュリティ監査と改善に関する次の記述を読んで,設問1～ 4に答えよ。

　L社は,10年前に設立された,社員数200名の書籍販売会社である。3年ほど前か
らインターネットを利用した書籍販売を始めたところ,順調に売上げを伸ばし,現在
では10,000人を超える顧客が会員登録をしており,1日に平均して500件程度の注文
がある。L社の書籍販売システム(以下,Eシステムという)の構成は,図1のとお
りである。

　　　　　　　　　　　図1 Eシステムの構成

〔Eシステムの概要〕

(1)EシステムのMAIL-2以外のサーバは,システム開発を委託したM社IDCのハウ
　　ジングサービスによって運用されており,FW以外はL社所有の機器である。

(2)顧客は,インターネットを経由してWEB-1にアクセスする。WEB-1は,検索機
　　能,書籍紹介情報の提示機能,発注機能及び決済機能を提供している。顧客データ,
　　書籍紹介情報や在庫データは,すべてDS上に蓄積されており,WEB-1から随時,
　　参照,更新される。

(3)WEB‐2は,営業部と仕入部の社員向けに販売管理機能を提供している。この販
　　売管理機能は,受注管理機能,顧客管理機能及び在庫管理機能からなる。担当の社
　　員は,社内LANから,R-1,R-2で接続されている専用線を経由してWEB-2にアク
　　セスし,販売管理機能を用いて,DS上に蓄積されたデータの取得や更新を1件ず
　　つ行う。ただし, これらのデータの取得や更新が多い場合には,システム部にデー
　　タの一括取得や一括更新を依頼する。システム部の担当者は,FTPを使ってDSに
　　アクセスし,データの一括取得や一括更新を行う。

(4)販売管理機能を利用する社員は,所属部長の承認を得た上で,販売管理機能の利
　　用権限が設定された個別のID(以下,SIDという)をシステム部に申請し,取得す
　　る。また,取得したSIDが不要となった場合には,同様にシステム部に削除を申請
　　する。WEB-2は,認証機能を備えており,SIDとパスワードを用いてログインでき
　　る。営業部の社員は受注管理機能と顧客管理機能を,仕入部の社員は在庫管理機能
　　をそれぞれ利用できる。
　　　なお,ログイン時に使用するパスワードは,SIDを取得した社員が管理する。

(5)社内LANには,社員用の全PCが接続されており,社内のメールはMAIL-2を経
　　由してやり取りされる。

〔情報セキュリティ監査の実施と対応策の検討〕

　昨今の個人情報保護に対する社会的要請の高まりを受けて,L社ではEシステムの
情報セキュリティ対策について,外部監査を実施することにした。次は,システム部
の担当者であるV主任と上司のF課長が外部監査について検討した際の会話である。

F課長：今回の監査だが,どのようにすればよいか。

V主任：個人情報の保護対策の確認が主眼になりますが,それ以外にも,当社の実情
　　　　に見合った,情報セキュリティに必要な対策を明らかにしてほしいと考えて
　　　　います。そのために,今回は,情報セキュリティ監査制度に即した外部監査
　　　　が望ましいと思います。

F課長：その制度はどういうものか。

V主任：情報セキュリティ監査制度は,情報セキュリティのマネジメント状況を監査
　　　　するもので,監査の目的によって,【　　a　　】と【　　b　　】の監査を定
　　　　めています。【　　b　　】は,主として改善を目的とした監査で,情報セキ
　　　　ュリティマネジメント上の問題点を検出し,改善提言を行う監査です。

F課長：その場合の監査項目はどのように決定されるのか。

V主任：情報セキュリティ監査制度には,JIS X【　　c　　】の管理策から導出された
　　　　約【　　d　　】項目のサブコントロールからなる情報セキュリティ
　　　　【　　e　　】基準があります。この【　　e　　】基準の抜粋,変更,又はE
　　　　システムのセキュリティ運用に関する規程類からの必要な項目の追加によっ
　　　　て,Eシステムの管理項目を定め,それらを基に監査項目を決めることにな
　　　　ります。

F課長：分かった。これから検討を進めよう。

　その後,V主任とF課長で検討を重ね,社外の監査サービス提供会社に監査を委託
することにした。M社でも監査サービスを提供しているが,Eシステムは,M社が開
発し,運用していることを考えると,【　　f　　】の観点から,M社に監査を依頼す
ることは問題があると判断し,実績も豊富なN社に依頼することにした。

　V主任は,N社の監査人と協議して監査項目を定め, ヒアリング対象として,L社
のシステム部,営業部とM社のハウジングサービス担当部署を選定した。監査を効
率良く実施するために,営業部とM社に対して,①監査依頼書に依頼事項をまとめ
て通知した。

　1か月後,この依頼の効果もあって,M社IDC内での運用状況などをスムーズに監
査できた。図2は,N社による情報セキュリティ監査報告書である。

　　　　　　　　　　　　　　　　　情報セキュリティ監査報告書

1,検出事項
(1)既に別の部署に異動して担当をはずれた元営業部所属の社員のSIDが,利用可能な状態で残っ
　ており,その社員が顧客1青報も閲覧可能な状態になっている。
(2)システム部,営業部,仕入部を含め,社員の異動が頻繁であるが,異動の情報は,人事部と該
　当部門だけがもっており,SIDを管理するシステム部と情報が共有されていない。
(3)社内LANからのEシステム上の各サーバヘのアクセスログは,OSレベルでのログインログ,
　メールサーバでのメール転送ログ,WebサーバヘのHTTPアクセスログ,販売管理機能のログイ
　ンログの取得にとどまっている。また,保管期間は1週間だけなので,情報漏えいなどの事故発
　生時に事実関係を十分に把握できない。
　　(省略)

2.改善提言
(1)現時点で不要なSIDを,早急に削除すべきである。
(2)SIDが不要になった際に,当該SIDの削除をより確実にするための施策を導入すべきである。
　　(省略)

(以下,省略)

図2 N社による情報セキュリティ監査報告書

　図2の情報セキュリティ監査報告書を基に,V主任とF課長は対応策を検討し,シ
ステム部のH部長に説明した。次は,その際の会話である。

V主任：監査での検出事項に対応するための方針をまとめてみました。まず,不要な
　　　　SIDを洗い出し,そのSIDの削除をシステム部へ依頼するよう,営業部に指
　　　　示します。また,アクセスログの保管期間については,今後は半年間にした
　　　　いと思います。

F課長：もっと長期の保管についても考える必要があると思いますが,それはEシス
　　　　テムの次の更新時に考えたいと思います。また,②少なくとも,大量の個人
　　　　情報の流出事故に備えて,事実関係を把握するために,取得するログの種類
　　　　も増やす必要があります。

H部長：そうだな。情報セキュリティ監査報告書の改善提言(1)への対応としては,
　　　　営業部へ不要なSIDを削除するよう指示することでよいだろう。ただし,改
　　　　善提言(2)への対応を考える必要があるな。③具体的な管理策を考えてくれ。

F課長：はい, 分かりました。

設問1

本文中の【　　a　　】～【　　f　　】に入れる適切な字句を答えよ。

（1）【　　a　　】,【　　b　　】ついては,それぞれ3字で答えよ。

（2）【　　c　　】～【　　f　　】については,次の解答群の中から選び,記号で答えよ。

解答群
　　　　ア　130　　　　　　イ　960　　　　　　ウ　5070　　　　　　エ　5080　　　　　　オ　7799
　　　　カ　ISMS　　　　　キ　安全性　　　　ク　運用性　　　　　ケ　監査　　　　　　コ　管理
　　　　サ　実施　　　　　シ　対策　　　　　ス　独立性

設問2

下線①の監査依頼書では,M社に対してどのような事項を依頼したと考えら
れるか。二つ挙げ,それぞれ15宇以内で述べよ。

設問3

下線② にあるように,現状の取得ログだけでは,情報セキュリティ対策とし
ては不十分である。IDCに設置されているL社所有の機器の範囲内では,どの機
器でどのようなログを追加取得すべきか,25字以内で述べよ。

設問4

下線③に関して,SIDの取得と削除の申請を行う営業部などのユーザ部門が実
施すべき対策と,さらにその対策を補完するためにシステム部が実施すべき対策
を,それぞれ40字以内で述べよ。