マンガでわかる情報セキュリティマネジメント試験

情報セキュリティマネジメント試験の午後問題を、マンガにしました。情報セキュリティマネジメント試験の午後問題は、一つの問題だけで、6ページほどに渡ります。読むだけでも疲れますし、内容も簡単ではありません。マンガを見ながら、気楽に、そして具体的なイメージをつかんでいただければと思います。

カテゴリ: 4.H28春問3

問3 オフィスの物理的セキュリティに関する次の記述を読んで,設問1~3に答えよ。
情報セキュリティマネジメント試験の図sename
【解説】
個人情報を扱う通販事業部が、別の卸事業部との物理的なセキュリティを保つ方法がテーマです。
最初に行ったのが、ICカード認証でドアを解錠するICカードドアです。

D事業所の新たなオフィスレイアウトを図1に示す。
情報セキュリティマネジメント試験の図sg3-1
この図で注目すべき点を解説します。
まず、通販事業部エリアの場所を確認しましょう。右上にあります。その入り口に、ICカードドアを付けました。
次に、複合機の場所はどこでしょうか。
情報セキュリティマネジメント試験の図 

通販事業部の外にありますね。
はい。個人情報が入ったデータが、共用エリアの複合機に印刷されます。
この点は、あとで改善されることになります。
また、正門近くにある「防犯設備操作盤」があります。この点に関しては、以降で説明があります。

 D事業所には防犯設備が設置されており,防犯設備操作盤でD事業所の自動ドアの施錠と解錠,及び防犯状態の設定と解除を行うことができる。防犯状態ではD事業所内の侵入検知センサが有効になり,侵入者を検知すると警備会社へ自動通報するように設定されている。防犯設備操作盤は普段は施錠されており,管理職全員に貸与されている鍵で解錠して操作し,操作後は施錠することになっている。D事業所の就業時間は午前9時から午後6時までであリ,朝早く出勤する従業員も,残業をする従業員もいるが,残業が午後10時を超えることはない。
情報セキュリティマネジメント試験の図 

「管理者全員に貸与されている鍵で解錠」とあります。
少し危険な気がします。



はい。全員が同じ鍵なので、悪意を持った人がいると、不正を働くことができてしまいます。
今回は、退職する管理者が合い鍵を作っていないか?という点から議論が深まります。
詳しくは後半に記載があり、設問2で詳しく問われます。

〔新たなオフィスレイアウトでの業務観察〕
 レイアウト変更の工事が終了し,新たなオフィスレイアウトでの業務が開始された。
 N部長は,D事業所の情報セキュリティリーダである通販事業部のW氏に,新たなオフィスレイアウトにおける業務運用に情報セキュリティ上の問題がないかどうかを改めて確認し,問題がある場合は改善の提案をするように指示した。W氏が新たなレイアウトでの業務を観察したところ,表1に示す三つの問題点が発見された。
a
 そこでW氏は,各問題点に対する改善案を自ら検討し,あわせて,業務に日々従事しているD事業所の従業員からも意見を広く募り,それらを取りまとめることにした。表2に,各問題点に対する改善案及びW氏の判断を示す。
さて、この3つの問題点に対するいくつかの改善案が次に提示されます。

情報セキュリティマネジメント試験の図semane2

改善策の原文(問題文)は以下です。 
(案1)現在の複合機に備わっている,“文書の印刷指示をした従業員が複合機のところに行って従業員証を使って認証されると印刷が開始される”という機能を有効にする。
(案2)情報セキュリティを高めるために,個人情報を含む文書の印刷を禁止する。
(案3)複合機を,印刷後に複合機内の印刷データが完全に消去される, ISO/IEC 15408認証を取得した安全性が高い複合機に交換する。
(案4)複合機を通販事業部エリア内にも設置し,通販事業部の従業員は当該複合機でしか印刷できないようにする。
(案5)個人情報が記録された紙媒体は,業務上の必要の有無にかかわらず,1週間以内に細断し,廃棄する。細断するまでは,キャビネットに施錠保管する。
(案6)新たに文書管理システムを導入し,個人情報が記録された紙媒体は,スキャナで電子化して適切に管理する。不要となった紙媒体は細断し,廃棄する。
(案7)個人情報が記録された紙媒体は,バインダにとじた上で,機密情報であることが分かるように機密区分を明示し,キャビネットに施錠保管する。
(案8)個人情報が記録された紙媒体は,どこにあるか分からないように,他の文書と混ぜて机の上に並べる。
(案9) ICカードドアを, AESの暗号方式を用いたものに変更する。
(案10)共連れがもたらすリスクを知らせる標語を作成して,ICカードドアの脇に掲示する。
(案11) ICカードの認証に加えて指静脈認証も行うようにする。
(案12)情報セキュリティリーグが共連れを発見した場合は個別に注意する。

設問1(1)では、これらの中から、改善策として有効なものを選びます。
情報セキュリティマネジメント試験の図 

それぞれ一つだけですか?

いえ、先に正解を言ってしまいますが、2つずつあります。

 W氏が,取りまとめた改善案及び判断をN部長及び関係部署に提示して議論した結果,幾つかの改善策が実施されることになった。
 共連れの改善策を実施してから2週間後,W氏は,効果を検証したいと考え,総務部から1か月間の入退室ログを取り寄せ,①共連れだと思われるログを抽出し、抽出されたログを基に,該当する従業員に共連れをしていないかどうかを確認した。その結果,改善策実施前と比べると件数は減少していたものの,まだ時々共連れが行われていることが分かった。次はN部長とW氏の会話である。
下線①にあるログの抽出に関しては、設問1(2)で問われます。
情報セキュリティマネジメント試験の図 

共連れの件数は減っても、完全には無くならなかったのですね。
今回実施された問題点3(共連れ)に関する対策は、1)リスクを知らせる標語を掲示すること、②共連れを発見した場合は注意する、ことでした。この対策では、社員に高い意識がないと改善されません。
そこで、他の対策案が検討されることになりました。
情報セキュリティマネジメント試験の図semane3

さてここからは、図1の正門付近にあった「防犯設備操作盤」の施錠に関する内容です。
〔防犯設備操作盤の施錠方式の検討〕
 ある日,通販事業部の管理職である課長が退職することになった。次はN部長とW氏の会話である。

N部長:退職する課長から防犯設備操作盤の鍵を忘れずに返してもらってくれ。
W氏 :分かりました。でも,[ d1 ]の鍵ですから,鍵店に行けば簡単に合い鍵が作れます。その課長に,合い鍵を作つていないことを確認しますが,[ d1 ]はセキュリティ強度が高いとはいえないですね。
N部長:確かにそれはそうだな。そういえば,前に私がいた事業所では[ d2 ]を使っていたよ。
W氏 :[ d2 ]なら,管理職が退職したときには,設定を変えるだけで,その退職者は利用できないようになります。ただ,[ d2 ]は,情報が他人に漏れたら解錠されてしまいますね。
N部長:しっかりしていない管理職もいるから採用できないな。知り合いの会社では,[ d3 ]を使っているという話を聞いたことがある。
W氏:[ d1 ]の鍵と違って複製が困難ですね。他にも,[ d4 ]を使うのはどうでしよう。
N部長:管理職が必ずしも朝一番で出勤できるとは限らないから,解錠に必要なものを貸与可能な[ d3 ]の方が都合がいいだろう。
 W氏は,N部長の指示を受け,防犯設備操作盤の錠の変更について総務部と相談することにした。
問題文の前半に「管理者全員に貸与されている鍵で解錠」という記述がありました。
全員が持っているというのとは、悪意がある管理者は不正を行えてしまいます。
今回は、退職した管理者の鍵をどうするかから議論が深まっています。詳しくは設問2で問われます。

〔コールセンタの情報セキュリティ対策の検討〕
 通信販売事業における消費者からの問合せ増加に伴い,別の事業所で通販事業部専用のコールセンタを立ち上げることになった。F社従業員の一部を配置転換するとともに,新たに20人のパート又はアルバイトを雇用してコールセンタ要員とする。さらに,新製品の発売などで間合せが増加した際には,臨時で短期間のアルバイトを雇用する。W氏は,N部長に依頼され,コールセンタでの情報セキュリティ対策案(表3)を作成した。
semane
別の事務所でお客様情報を扱いますから、そこでもセキュリティ対策が求められます。その点に関して、想定される脅威と対策が整理されています。
587c33b0 
でも、
情報を盗み出すのはコールセンタ要員(パートやアルバイト)に
限ったことではありませんよね?



その通りで、正社員に対しても、そのリスクがあります。ただ、正社員が情報漏えいをすると、解雇されたり退職金がなくなるなど、大きなリスクがあります。正社員の方が、愛社精神もあり、セキュリティ意識が高いというのは、一般的に言えることでしょう。そういう観点から、パートやアルバイトの方に個人情報を扱う業務を任せる場合は、やや厳しめのセキュリティ対策になる傾向にあると思います。

次はN部長とW氏の会話である。

N部長:脅威は私の想定どおりだ。監視カメラは設置しないのかね。
W氏 :忘れていました。出入口に設置しようと思います。執務室内にも設置しましょうか。
N部長:働く人が嫌がるかもしれないな。総務部と相談して決めてくれ。コールセンタ要員以外の者が侵入する脅威への対策として,共連れ防止ゲートを設置したらどうだろう。
W氏 :それも検討したのですが,コールセンタの事業所のビルの所有者から設置を断られてしまいました。
N部長:そうか,それは仕方がないな。これ以外の細かいところは総務部と相談して進めてほしい。また,コールセンタの運用が始まってからも,対策の費用対効果を定期的に確認して改善していってほしい。
W氏 :分かりました。
 その後,W氏と総務部の協力によってコールセンタの情報セキュリティ対策が導入され,無事にコールセンタでの業務が開始された。
この部分の記述は設問には関係ありません。無事にコールセンタのセキュリティ対策が導入されたようです。

問題文は以上です。お疲れ様でした。

↑このページのトップヘ