情報セキュリティアドミニストレータ(セキュアド) サンプル問題

午後1　問1

最終更新日　2004/01/25
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート

　過去問（午後）

情報セキュリティアドミニストレータ過去問（午後）

情報セキュリティアドミニストレータサンプル問題　午後1　問1

問1

情報セキュリティポリシの策定と導入に関する次の記述を読んで､設問1～4に答
えよ｡

S社は､法人向けのパッケージソフト販売会社である｡役員を含めた全社員に対し
て一人1台のパソコンを配置し､業務に使用している｡社内LAN を整備したとき､
すべてのパソコンを社内LANに接続した｡
その後､社内LAN のインターネット接続を検討した際に､営業員から“ほとんど
の客先に電子メールが普及しているので､提案書や見積りなどのやり取りに電子メー
ルを使用したい”という要望が強くでてきた｡社長も､売上の拡大には顧客とのコミ
ュニケーションが重要であると考え､電子メールをその手段として活用するために､
インターネット接続と同時に全社員に電子メールアカウントを付与することにした｡
社長は､同時に､不正アクセスやデータ漏えいなどが発生しないように情報セキュ
リティに関する基本方針を自ら定め､経営企画室長に情報セキュリティ対策基準を策
定するように指示した｡

S社の組織体制は､図1のとおりである｡

図 S社の組織体制

〔S社の情報セキュリティ基本方針〕
社長は､図2に示す“情報セキュリティ基本方針”を作成した｡

社員各位 2001年×月×日
社長
情報セキュリティ基本方針

昨今、機密情報の漏えい､プライバシ侵害などの問題がクローズアップされているが､当
社において､万が一にもこのような状況が発生してはならない｡そこで､当社が情報セキュ
リティを重視することをここに明確に示すものである｡
(1)会社は､機密度及び重要度に基づく相応の情報セキュリティ対策を講じる｡
(2)社員は､別途定める"情報セキュリティ対策基準"を遵守して行動し､会社の
　【 a 】の保全に努めること。
(3)情報技術の進展に合わせて適宣"情報セキュリティ対策基準"の見直しを図り､最善の
方策を追求する｡この対策基準の具体的な実現手段については､各種規定で定める｡
(4)会社が機密として扱う情報は､外部に漏えいしてはならない｡
(5)社員は､情報セキュリティ意識の向上に努めなければならない｡

当面､情報セキュリティに関する主管部門を経営企画室とし､経営企画室長を情報セキュ
リティ管理者とする｡
以上

図2 S社の情報セキュリティ基本方針

〔S社の情報セキュリティ対策基準の策定にかかわる業務手順〕
経営企画室長は､今回が初めての試みであり､外部ノウハウの活用とともに全社的
な取組みが必要と考え､図3に示す業務手順を定めた｡

図3 情報セキュリティ対策基準の策定にかかわる業務手順

〔S社の情韓セキュリティ対策基準の内容〕
S社の情報セキュリティ対策基準の内容（抜粋）は、図4のとおりである｡

情報セキュリティ対策基準（抜粋）
情報セキュリティ管理者

本対策基準は、当社の【 a 】を適切に保護するために必要な最低限度の取決め及び
責任の所在の明確化によって、【 a 】の損失を未然に防ぐことを目的としている。
本対策基準が有効に機能するように、社員は、これを遵守しなければならない｡

1．適用範囲
　(1)本対策基準は、経営者及び派遣社員を含むすべての社員に適用される｡
　(2)本対策基準は、ハードウェア、ソフトウェア、コンピュータネットワーク、各種デ
　　ータファイルなどの情報システム並びにシステム開発、運用及び保守のための各種資料
　　や顧客情報を含むすべての【 b 】に適用される。

2．対策基準の遵守
　(1)社員は、当社が定期的に開催する【 c 】に必ず参加しなければならない。
　(2)当社は、本対策基準に反する行為を行った者に対して情報システムの利用を制限す
　　るとともに、その内容によっては、就業規則に基づき懲戒を課すことがある｡

3．パスワードの運用
　　（省略）

4．コンピュータウイルス対策
　　（省略）

5．システムのアクセス制御
　(1)機密情報については、アクセス可能なユーザを制限する｡
　(2)営業上重要な情報へのアクセスは、参照に限りすべてのユーザに認める｡

6．インターネットの利用
　(1)業務とは関係のないサイトへのアクセスを禁止する｡ユーザは、禁止されているサイ
　　　トへのアクセスが業務上必要な場合、システム管理者の許可を得なければならない｡
　(2)A社のインターネットフィルタリングソフトを導入し、業務とは関係のないサイトへ
　　　のアクセスを制御する｡

（以下省略）

図4 S社の情報セキュリティ対策基準（抜粋）

設問1

本文中の【 a 】～【 c 】に入れる適切な字句を、それぞれ10字
以内で答えよ｡

設問2

図3中の"プロジェクト体制の確立"では、情報セキュリティ対策基準策定の
準備段階として、どのようなことをすべきか｡その作業項目を二つ挙げ、それぞ
れ30字以内で具体的に述べよ｡

設問3

今回策定したS社の"情報セキュリティ対策基準"には、情報セキュリティ対
策基準の内容としてふさわしくない項目がある｡その番号（例えば、1の(1)）
を二つ挙げ、その理由をそれぞれ40字以内で述べよ｡

設問4

S社経営企画室の情報セキュリティ担当が、情報セキュリティ確保のための対
応状況を評価する場合、次の二つの事項に関する確認が必要である｡それぞれ
40字以内で具体的に述べよ｡

(1)パスワードの運用

(2)コンピュータウイルス対策