マンガでわかる情報セキュリティマネジメント試験

情報セキュリティマネジメント試験の午後問題を、マンガにしました。情報セキュリティマネジメント試験の午後問題は、一つの問題だけで、6ページほどに渡ります。読むだけでも疲れますし、内容も簡単ではありません。マンガを見ながら、気楽に、そして具体的なイメージをつかんでいただければと思います。

【中問D】 個人情報の取扱いに関する次の記述を読んで,四つの問いに答えよ。

 A社では,個人情報保護法に従って,個人情報を取り扱っている。
 Bさんが所属する営業部では,個人の顧客がインターネット上のA社のWebページに会員登録することで,商品購入ができるという事業を開始することになった。そこで,Bさんは会員登録をするWebページの仕組みとして,次の事項を考えた。

 〔会員登録をするWebページの仕組み〕
① 個人情報の利用目的を記述したWebページを表示し,顧客が同意ボタンを押すと,個人情報を入力するWebページに移動する。
② 会員登録の項目としては,氏名,住所,電話番号,生年月日,性別,メール アドレス,ID及びパスワードがあり,これらは必ず入力してもらう。メールアドレスとパスワードについては,誤入力を防ぐために,同じ情報を2度入力してもらう。
③ Webページでの個人情報の入力が終了し,送信ボタンを押した後,入力情報を確認するWebページを表示し,顧客に入力の間違いがないかを確認してもらう。このとき,入力されたIDが他の会員によって既に登録されている場合,変更を求める。
④ 顧客が入力情報を確認し,登録ボタンを押した後,登録したメールアドレス宛に,A社の会員として登録された旨を伝える電子メール(以下,メールという)を送信する。
⑤ ②及び③における顧客のPCとA社のWebサーバとのデータのやり取りは,暗号化による通信を行う。


 〔ストラテジ〕
問97 A社のインターネット上のWebページを使った商品購入では,会員の個人情報に関する利用目的を「注文や支払に関する連絡,配達といった商品購入に関する利用」に限定している。このとき,〔会員登録をするWebページの仕組み〕の②の会員登録に関して,利用目的から考えて不適切な点があると指摘された。その指摘として,適切なものはどれか。

ア IDについては,A社の顧客番号を使うべきであり,入力させるべきではない。
イ 生年月日と性別については,入力を必須とすべきではない。
ウ メールアドレスとパスワードについて,同じ情報を2度入力させるべきではない。
エ メールアドレスを入力した場合,住所と電話番号の入力を必須とすべきではない。

【解説】
問題文を読むときに、実際に商品を購入したサイトをイメージすると、理解しやすいことでしょう。
今回、「注文や支払に関する連絡,配達といった商品購入に関する利用」という利用目的ですから、それ以外の個人情報は必要ありません。具体的には、選択肢イにある「生年月日」や「性別」は必要ではないので、入力を必須にすべきではありません。イが正解選択肢です。
参考までに他の選択肢も確認しましょう。
ア:IDについては、利用者が覚えやすいものでよく、A社の顧客番号を使う必要はありません。みなさんも、ご自身で利用者IDを登録されたことが、よくあることでしょう。
ウ:入力ミスを防ぐためには、2度入力させることは間違っていません。
エ:住所が無いと、商品を送り届けることができません。

【正解】 イ

 〔ストラテジ〕
問98 次に示す〔個人情報の適正管理に関する規程〕の各項について,〔会員登録をするWebページの仕組み〕の①~⑤の中で,各項とそれを遵守するために役立つ仕組みの組合せとして,適切なものはどれか。

 〔個人情報の適正管理に関する規程〕
  第1項 利用目的の達成に必要な範囲内において,個人情報を正確かつ最新の内容に保つように管理しなければならない。
  第2項 取り扱う個人情報の漏えい,滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
  第3項 従業者に個人情報を取り扱わせるに当たっては,当該個人情報の安全管理が図られるよう,当該従業者に対する必要かつ適切な監督を行わなければならない。
  第4項 個人情報の取扱いの全部又は一部を委託する場合は,その取扱いを委託された個人情報の安全管理が図られるよう,委託を受けた者に対する必要かつ適切な監督を行わなければならない。
e8bdc9d5.jpg

【解説】
地味ですが、第1項から第5項、①から⑤を順に確認していくしか方法はありません。すると、⑤には以下の記載があります。
「⑤ ②及び③における顧客のPCとA社のWebサーバとのデータのやり取りは,暗号化による通信を行う。」
通信を暗号化することは、第2項にある「個人情報の安全管理」に寄与します。よって、イが正解選択肢です。
それ以外の項目は、どれも該当しません。

【正解】 イ

 〔テクノロジ〕
問99 〔会員登録をするWebページの仕組み〕の⑤の暗号化による通信で利用する仕組みとして,適切なものはどれか。

ア HTML
イ SMTP
ウ SSL
エ XML

【解説】
暗号化の仕組みは選択肢ウのSSLです。過去問ではSSLに関して,「Webサーバとブラウザ間でデータを暗号化して転送する場合に使用することができるプロトコルである(平成19年度ソフ開AM問56)」と述べられています。参考までに、アのHTMLは「タグを使ってWebページの論理構造やレイアウトが指定できるマークアップ言語(H24春IP問67)」です。イのSMTPはメールを送信するプロトコルです。選択肢エのXMLは「利用者が独自のタグを定義してデータの意味や構造を記述できるマークアップ言語(H24春IP問67)」です。

【正解】 ウ

 〔テクノロジ〕
問100 A社では,インターネットサービスプロバイダ(以下, ISPという)のハウジングサービスを使って, Webサーバとデータベースサーバ(以下,DBサーバという)を運用している。会員情報は, ISPのDMZ内にあるWebサーバを経由して,外部から保護されたISPのネットワーク内にあるDBサーバに蓄積される。Bさんは,会員
  情報をISPのWebサーバ又はDBサーバからA社内のPCに転送する必要があり,その間で個人情報の漏えいが発生しないような仕組みを考えることになった。
  転送の仕組みとして,適切なものはどれか。

ア DBサーバに蓄えられた会員情報のファイルを定期的にCSV形式のテキストファイルとして出力し,メールの本文にテキストファイルの内容を記録し,ウイルスチェックを行ってから自分宛に送信する。
イ VPNによってISPとA社をつなぎ,DBサーバに蓄えられた会員情報のファイルを定期的にFTPを使って転送する。
ウ Webサーバに会員情報が登録された時点で,自分宛にその情報をメールの本文に記載して自動的に送信するようにし,メールを受け取った時にウイルスチェックを行う。
エ Webサーバに会員情報が登録された時点で,自動的にFTPを使って,その情報を転送するようにする。このとき,A社のネットワークに接続する時点で,IDとパスワードによる認証を行う。

【解説】
こちらは以下の図を確認してください。
インターネットを経由して、サーバの情報を安全に転送するためには、VPNが最適です。VPNであれば、暗号と認証機能があり、第三者が不正に情報を盗聴したり盗むことができません。正解選択肢はイです。
参考までに、アやウは、メール本文に会員情報などを記載することになっています。メール本文は基本的には暗号化されていません。
選択肢エですが、FTPを使うのも問題です。FTPは通信が暗号化されていないからです。また、IDとパスワードでの認証とありますが、FTPはパスワード情報も非暗号です。認証方式にも問題があります。
isp


【正解】 イ

【中間B】 施設の入室管理に関する次の記述を読んで,問93~96に答えよ。

 S社のT営業所では,IDカードによる入室管理システムを導入することになった。
T営業所の施設の種類と管理対象者の区分(以下,対象区分という)を表のように分類し,入室許可の有無の区分(以下,許可区分という)の設定を行う。ここで,表は施設に対して入室を許可する対象区分を“○”,入室を許可しない対象区分を“×”で示す。
ip_22_B(1)
              
 施設と対象区分に対する許可区分の設定は,入室管理システムの管理用PCから,次の設定の形式のとおりに入力する。

be623c0e.jpg


(1)設定は,形式1を1行目に記述し,形式2を2行目以降に必要な行数だけ記述する。
(2)許可区分には,入室を許可する場合ぱACCEPT”,入室を許可しない場合は“DENY”を記述する。
(3)形式1は,ポリシを記述するための形式であり,最初の項目にぱポリシと記述する。ポリシの記述とは,2行目以降に記述する行のいずれにも該当しない施設と対象区分の組合せに対して,適用する許可区分を指定するものである。
(4)形式2には,施設と対象区分の組合せとそれに対する許可区分を記述する。施設に対して許可区分が同じ対象区分については,コンマで区切って複数記述できる。
(5)入室が許可されるかどうかは,2行目以降で記述した行の順に評価される。指定した施設と対象区分の組合せの行が見つかれば,その行の許可区分を適用し,それ以降の行の評価は行わない。

〔テクノロジ〕
 問93 表の許可区分の設定について,ポリシの許可区分をACCEPTにしたときの設定の記述は次の図になる。表の設定について,ポリシの許可区分をDENYにしたときの設定の記述はどれか。

aa58c12a.jpg

【解説】
まず、例として書かれているポリシがACCEPTの場合を確認しましょう。
2行目では、来客者の執務室への入室がDENYになっていて、これは表にある設定どおりです。
では、応接室の入室はどうなのでしょうか。問題文(3)に、「ポリシの記述とは,2行目以降に記述する行のいずれにも該当しない施設と対象区分の組合せに対して,適用する許可区分を指定する」とあります。
よって、ここでは記載がないため、応接室の入室は1行目のACCEPTが適用されることになります。

では、この設問の問いである、ポリシの許可区分をDENYにした場合はどうなるでしょう。
ポリシがDENYですから、基本ルールは禁止されています。よって、2行目以降には許可するルールを書けばいいのです。許可するルールは、表に従い、①執務室への営業課員の入室、②応接室への来客者と営業課員の入室です。
よって、正解はエです。

【正解】 エ

〔テクノロジ〕
問94 次の表に示す許可区分の設定について,ポリシの許可区分をDENYにしたときの設定の記述は,形式1を記述する行を含めて,最低何行必要か。

ip_22_B(4)
ア 4
イ 5
ウ 6
エ 7

【解説】
この表を基に、ルールを実際に記載してみましょう。すると、以下のようになります。
1 ポリシ  DENY
2 会議室  ACCEPT 営業課員、技術課員
3 執務室1 ACCEPT 営業課員
4 執務室2 ACCEPT 技術課員
5 応接室 ACCEPT 来客者、営業課員、技術課員

よって、正解はイの5行です。

【正解】 イ

〔テクノロジ〕
問95 次の表に示す許可区分の設定について,ポリシの許可区分をACCEPTにしたときの設定の記述は図1である。新たに,課長に対して特別会議室の入室を許可することになり,“課長”という対象区分を設け,図2の設定の記述を追加することにした。図1に,図2の設定を追加する位置として,適切な位置は①~④のどれか。
 なお,“課長”の対象区分には営業課長と技術課長が属しており,それぞれの課長はそれぞれの所属課員の対象区分にも属している。管理対象者が二つの対象区分に属する場合,設定の記述の評価において,施設と一方の対象区分との組合せと合致する行が見つかれば,その行の許可区分が適用される。

2508f019.jpg

64b63b17.jpg

ア ①
イ ②
ウ ③
エ ④

【解説】
今回、特別会議室への課長のACCEPT行を追加します。これを追加することで、特別会議室の行が2つできることになります。その2つの行は以下です。
(1)特別会議室 DENY 来客者、営業課員、技術課員
(2)特別会議室 ACCEPT 課長

設問には「それぞれの課長はそれぞれの所属課員の対象区分にも属している。管理対象者が二つの対象区分に属する場合,設定の記述の評価において,施設と一方の対象区分との組合せと合致する行が見つかれば,その行の許可区分が適用される。」とあります。よって、課長は(1)の行も適用され、入室が拒否(DENY)されます。当然、(2)の行も適用され、こちらは入室が許可(ACCEPT)されます。では、どういう順番にすれば、課長は要件にあるように入室が許可されるのでしょうか。
そこで、ルール(5)を思い出してください。
「(5)入室が許可されるかどうかは,2行目以降で記述した行の順に評価される。指定した施設と対象区分の組合せの行が見つかれば,その行の許可区分を適用し,それ以降の行の評価は行わない。」
ということは、上にある行が優先されるということです。なので、図1の①の場所にこのルールを入れることがわかります。

【正解】 ア

〔テクノロジ〕
問96 新たに施設や対象区分を追加する際に,形式2による設定に漏れがあった場合,防犯の観点に立ったときの形式1によるポリシの許可区分の設定方法として,適切なものはどれか。

ア 設定に漏れがあった場合,入室できないようにACCEPTに設定する。
イ 設定に漏れがあった場合,入室できないようにDENYに設定する。
ウ 設定に漏れがあった場合でも入室できるようにACCEPTに設定する。
エ 設定に漏れがあった場合でも入室できるようにDENYに設定する。

【解説】
これは簡単だったと思います。設問文にあるように「防犯の観点」ですから、ルールは原則禁止にするべきです。なので、「入室っできない」「DENY」の記載があるイが正解です。
ファイアウォールにおいても、サーバのアクセス権でも、基本はこのような設定をします。基本ルールとしては、すべて禁止し、必要なもののみを許可するという考え方です。最小権限(need-to-know)にも通じる考え方です。

【正解】 イ

↑このページのトップヘ