マンガでわかる情報セキュリティマネジメント試験

情報セキュリティマネジメント試験の午後問題を、マンガにしました。情報セキュリティマネジメント試験の午後問題は、一つの問題だけで、6ページほどに渡ります。読むだけでも疲れますし、内容も簡単ではありません。マンガを見ながら、気楽に、そして具体的なイメージをつかんでいただければと思います。

カテゴリ: 3.H29春問2

問題文を解説していきます。
問2 クラウドサービスを利用した情報システムの導入と運用に関する次の記述を読んで,設問1,2に答えよ。

 X社は,従業員数8,000名の生命保険会社である。本社には,営業本部販売企画課,情報システム部などがあり,また,全国に営業所が設置されている。各営業所には,所長,主任,社内事務を担当する従業員(以下,スタッフという)及び営業を担当する従業員(以下,販売員という)がいる。X社の組織の主な担当業務及び体制を表1に示す。
情報セキュリティマネジメント試験semane2
 
 X社は,従来,各営業所の担当地域にある企業(以下,訪問先という)から許可を得て,訪問先の昼休みや就業時間後に,販売員が職場を訪問して,保険の募集活動を行っていた。しかし,近年は,訪問先の情報セキュリティ対策が強化され,許可がなかなか得られず,得られても昼休みに商品案内資料を配布するなど限定的な活動しかできない状況であった。そのため,訪問先の従業員とどのようにコンタクトして保険販売につなげていくのかがX社にとって課題であった。
問題文を読むときに、文字だけの情報だとあまり分からないものです。たとえば、以下のように「本社があって、営業所が全国にあるなー」と、具体的なイメージを思い浮かべながら問題文を読んでいくといいでしょう。
情報セキュリティマネジメント試験semane
「販売員が職場を訪問して」とありますが、保険の販売員の方が、職場に訪問されたことはあるでしょうか。あるのであれば、そんな様子を思い浮かべながら読み進めましょう。
情報セキュリティマネジメント試験 

表1からは何を読み取ればいいですか?




営業所には、所長、主任、スタッフがいること、販売企画課には課長と主任がいること、まずはこの点を押さえてください。このあとの表3にて、これらの役職単位で与えられる権限が変わってきます。

問題文の続きです。
X社では,クラウドサービスを利用する場合の情報システム部と利用部門の役割分担を表2のとおり定めている。
情報セキュリティマネジメント試験の図semane3
 情報システム部は,クラウドサービスプロバイダY社が提供するSaaS (以下,Y社SaaSという)の顧客管理サービスを販売企画課に推薦した。このサービスは,顧客管理のための標準機能が追加開発なしに利用可能であり,さらに,カスタマイズ機能として,画面表示項目や情報セキュリティ機能などを利用側で設定可能である。また,Y社SaaSが別途提供しているメールサービスと連携させて利用できるなど,利用側での柔軟なカスタマイズが可能である。
 Hプロジェクトでは,Y社SaaSの顧客管理サービスについて,χ社の情報セキュリティ対策基準に沿って情報セキュリティ機能を設定し,Y社SaaSのメールサービスと連携させて利用することにした。これをX社内では販売支援システム(以下,Pシステムという)と名付けて,9月末までに準備する案とした。Pシステムの概要を図1に示す。
aaa
・SaaS(Software as a Service)とは、Software(ソフトウェア)をサービスとして利用するという意味です。クラウドサービスと同じと考えていいでしょう。皆さんが使っているGmailもSaaSの一つです。
SaaSに関しては、以下にも補足解説があります。
http://nw.seeeko.com/archives/50897478.html
・このY社SaaSでは、Hプロジェクトで実施したい顧客管理およびメールサービスの連携機能があります。
情報セキュリティマネジメント試験の図 

これらが、「利用者側で設定可能」となっているところがポイントですね。
そうです。つまり、追加開発をすることなく、設定をするだけで利用できるのです。
これなら、情報システムを改修するに比べて短期間でメールのよるコンタクトが行えそうです。

〔Pシステムの利用に関する検討〕
 次は,Pシステムの利用に関して検討した際の,E主任とC主任の会話である。
E主任:Pシステムをオンプレミスで準備する場合と比べてみましよう。クラウドサ-ビスを利用するメリットには,[ a ]こと,及び導入期間が短いことがあります。前者のメリットは,来年4月以降の計画にも適しています。
 ただ,見込客データを外部に預けることに,機密性の点で不安があります。
C主任:機密性の点は,①情報システム部と一緒にY社SaaSにおける情報セキュリティ対策を確認し,問題ないと判断しました。
E主任:クラウドサービスを用いると,販売員が自宅のPCなどから直接アクセスするといったことも起きかねません。そのようなアクセスを禁止できるとよいのですが,できますか。
C主任:はい。Pシステムの情報セキュリティ機能において,[ a ]からのアクセスだけを受け付ける設定にすることによって,禁止できます。
E主任:なるほど。ところで,Y社SaaSで障害が発生した場合でも,Pシステムは利用できますか。
C主任:Y社SaaSは,例えば,一部のサーバが故障しても,サービスは継続されます。しかし,障害の内容によってはサービスの利用に影響が生じるので,障害時の連絡,対応体制は当社でも整備しておく必要があります。また,Y社の倒産など,突然サービスが終了するといった事態を想定し,さらにコストパフォーマンスも考慮すると,最低限,当社側での[ c ]について検討が必要です。それについて,情報システム部と一緒にY社に相談することにしています。
 その後,E主任とC主任は,Pシステムの利用に関する案を作成し,U課長に報告して承認を得た。
この部分は、設問1(1)~(3)にて解説します。

〔アカウント及び操作権限の管理〕
 E主任は,図2に示すX社の情報セキュリティ対策基準などを参照しながら,Pシステムのアカウントの種類と各機能の操作権限の案を表3にまとめた。権限設定に当たって,試行なので営業所の負担が軽くなるようにするとともに,見込客データを参照しながら,メールの送受信履歴の分析ができるように考慮した。
    
アカウントの設定と付与
1.アカウントは,業務上,必要最小限の従業員に限定して付与し,従業員の役職,職務などに応じて,アクセス可能なデータの範囲及び機能の操作権限を適切に設定すること
2.アカウントの登録,無効化,権限変更などを行う管理者を定めること
3.従業員の異動などが生じた際には,当該従業員のアカウントに速やかに反映すること
4.7カウント管理においては,相互牽制が働く手順を定めること
      図2 X社の情報セキュリティ対策基準(抜粋)
情報セキュリティマネジメント試験の図
情報セキュリティマネジメント試験の女性 
こういう表を見るのが一番苦手です。
そうですね。それは皆さん同じです。
問題文を読むときは、表を細かく確認する必要はありません。アカウントの種類によって、与えられる権限が違うことだけを理解して読み進めてください。
この表のどこに問題があるかは、問題文の次の部分で解説がなされます。

次は,E主任が作成した表3について,C主任に意見を求めた際の会話である。
C主任:気になることが3点あります。
    1点目は,営業所管理者用アカウントに,アカウント管理機能の操作権限が設定されないことです。
E主任:Hプロジェクトでは,事務手続に関する作業は主に販売企画課で担当することにしたので,販売企画課管理者用アカウントに権限を設定する案にしました。
C主任:販売企画課がアカウント管理を行う場合でも,人退社が不定期な販売員に付与するアカウントを,速やかに登録,無効化,権限変更する必要があります。
E主任:その点については,10月1日から実施でき,かつ,X社の情報セキュリティ対策基準を満たす方法として,[ d ]という対応を行います。
C主任:分かりました。2点目は,販売企画課管理者用アカウントに,アカウント管理機能の操作権限が全て設定されていることです。この点については,[ e ]のがよいと思います。
E主任:分かりました。
C主任:3点目は,メール送信を開始した後で,見込客がメールの送信を停止してほしいと考えたときの手続です。見込客はどうすればよいですか。
E主任:見込客が,担当の販売員に申し出れば,販売員が停止操作を行います。
C主任:それだけでは不十分だと思います。まずは,②販売員用アカウント以外のアカウントにも送信停止の権限を設定する必要があると思います。それに加えて,停止処理用URLをメールに付して,見込客が自ら停止できるように,[ f ]が容易に行える仕組みを提供すべきです。
E主任:分かりました。

 C主任とE主任は,検討の結果をU課長に説明し了解を得た。
 その後,C主任が指摘した事項も実施され,U課長に完了報告をして,準備が全て整った。そして,社内の手続に従った本番移行判定も問題なく終了し,予定どおり,10月から,Pシステムの利用が開始された。

↑このページのトップヘ