平成28年春期試験午前問題 午後問3

問3 コンプライアンスの運用

情報セキュリティ自己点検に関する次の記述を読んで,設問1~4に答えよ。

 R社は従業員数600名の投資コンサルティング会社である。R社では顧客の個人情報(以下,顧客情報という)を取り扱っていることから,情報セキュリティの維持に注力している。
 R社ネットワークではURLフィルタリングを導入しており,フリーメールサービスを提供するWebサイトやソフトウェアのダウンロードサイトへのアクセスを禁止している。また,従業員にノートPC又はデスクトップPCのどちらかを貸与しており,それらのPC(以下,貸与PCという)ではUSBメモリを使用できないようにしている。貸与PCのうち,ノートPCだけが,リモート接続サービスによる社内ネットワークへの接続を許可されている。
 海外営業部の部員は10人で,顧客は500人弱である。各部員は,担当顧客に,電子メールや電話を使って営業を行っている。海外営業部は他の営業部のオフィスとは離れた海外営業部専用のオフィスで業務を行っている。海外営業部で使用している顧客管理システム(以下,Cシステムという)は,海外営業部だけが使用している。Cシステムでは,アクセスログを3か月分保存している。海外営業部の部員は,出張がなく,全員がデスクトップPCだけを使っている。
 海外営業部では,情報システム部が運用管理を行っているファイルサーバを使用しており,各部員は顧客情報を含むファイルを当該ファイルサーバに一時的に保存する場合がある。その場合は,ファイルのアクセス権を各部員が最小権限の原則に基づいて設定することになっている。R社では,顧客情報を保護するために,次の2点を各担当者が定期的に確認することとなっている。
  • ファイルサーバに不要な顧客情報を保存していないか。
  • ファイルのアクセス権は適切に設定されているか。
 R社では,情報セキュリティ推進部が実施する情報セキュリティ教育があり,海外営業部では,新たに配属された部員だけが受講することになっている。教育終了後には試験があるが,1回では合格できず,再度教育と試験を受ける部員が時々いる。この教育資料は,世の中で新たなセキュリティ脅威が発見される都度,情報セキュリティ推進部で更新している。

〔海外営業部の簡易チェック〕
 海外営業部のW氏は2か月前に情報セキュリティリーダに任命された。
 海外営業部では,自部門の情報セキュリティを確保するために,独自の取組みとして,四半期に1回,海外営業部で作成した情報セキュリティ簡易チェックリスト(表1)を全部員に配布し,記入(以下,簡易チェックという)させている。表1のチェックリストは,5年前に作成されたものである。
pm03_1.gif
 W氏が全部員にこのチェックリストを記入してもらったところ,全部員が全てのチェック項目にOKを記入して報告してきた。W氏は,念のため,数人に実施状況を確認したが,いずれも確かに報告のとおりであった。チェックリストは作成から5年も経過しており,情報セキュリティ事故のニュースを最近よく目にするようになったことから,W氏は,表2のチェック項目の追加を部長に提案した。
pm03_2.gif
 表2を見た部長は,①"部員がOKと記入してきたとしても,その結果が正しいか客観的に判断できないチェック項目がある"として,W氏に再検討するよう指示した。W氏は,次回の簡易チェックに向けて,チェック項目を見直すことにした。〔監査部による情報セキュリティ監査〕
 R社監査部は,1年に1回,CSA(Control Self Assessment:統制自己評価)方式による情報セキュリティ監査を実施している。CSAとは,監査部が被監査部門を直接評価するのではなく,被監査部門が,自部門の活動を評価することを指す。R社監査部では,被監査部門にCSAの実施を依頼し,その結果を活用して監査を実施している。
 R社では,5年前,監査の方式を決定するに当たり,②監査部が各部門を直接監査する方式とCSA方式の利点,欠点を比較評価した。その結果,R社にとってはCSA方式の方がメリットが大きいと判断し,CSA方式を採用した。
 R社の監査実施の手順を図1に示す。
pm03_3.gif
〔CSAの実施〕
 海外営業部にも監査部からCSAを実施するよう依頼があり,W氏が海外営業部の評価を行うことになった。W氏は,監査部から送付されてきたCSAシートに従って,職場の状況を観察したり,部員にヒアリングしたりして評価を行った。評価結果を表3に示す。CSAシートの評価結果は次のルールに従って記入する。
  • 評価項目どおりに実施している場合:"OK"
  • 評価項目どおりには実施していないが,代替コントロールによって,"OK"の場合と同程度にリスクが低減されていると考える場合:"(OK)"(代替コントロールを具体的に評価根拠欄に記入する。)
  • 評価項目どおりには実施しておらず,かつ,代替コントロールによって評価項目に関するリスクが抑えられているわけではないと考える場合:"NG"
  • 評価項目に関するリスクがそもそも存在しない場合:"NA"
pm03_4.gif
 W氏が,CSA結果を監査部に提出したところ,監査部から電話があり,評価結果について質問を受けた。
 最初の質問は,表3のNo.26の評価根拠欄についてであった。W氏は,記載内容が事実であることを説明したところ,それであれば監査部としての評価結果も"(OK)"にすると言われた。
 次の質問は,No.29の証跡として提出した利用者ID棚卸記録に,棚卸の際に不要と判断された利用者IDが5個あることについてであった。W氏が部内で事実を確認すると,いずれも棚卸の1か月以上前から,部員の退職又は異動で不要になっていた。これについてはW氏も改善が必要であると考え,③改善計画を策定して監査部に提出したところ,適切であるとの連絡があった。

〔新たな指摘についての改善計画〕
 CSAの評価結果及びその後の事実確認に基づき,監査部から新たな指摘を受けた。それは,"Cシステムにおいて,利用者は自分の担当外の顧客情報に対してもアクセスが可能であり,最小権限の原則が守られておらず,社外への顧客情報の漏えいを防止できるようになっていない"というものであった。そこで,部長とW氏は改善計画について検討を行った。次は部長とW氏の会話である。
部長:
新たな指摘に対応するために,e1が必要だね。
W氏:
はい,そのために全部員に担当顧客を確認しますので,2週間ほど時間を下さい。
部長:
:分かった。その間のリスクを低減するために,e2を実施しておくというのはどうだろう。
W氏:
はい,分かりました。他にも,万が一顧客情報の漏えいが発生してしまったときのことを考えると,e3も有効だと思います。
部長:
それも実施しよう。他に,前から気になっていたのだが,部員が顧客情報を不適切に変更しないように,顧客情報の追加・修正・削除の権限についても考える必要があるね。
W氏:
f1はどうでしょう。
部長:
それでは業務が回らなくなるのではないかな。f2が,効率が良いのではないだろうか。
W氏:
そうですね。しかし,ベンダに開発をお願いするので,半年は掛かります。対策が有効になるまで,負担は増えますが,f3を行うのはどうでしょうか。
部長:
そうだな,ちょっと大変だが実施しよう。今までの話をまとめて監査部に報告しておいてくれ。
W氏:
分かりました。

 W氏が改善計画を監査部に提出したところ,監査部から,"内容に問題がないので,計画に基づいて改善を実施するように"と連絡がきた。
 その後,W氏が再検討した簡易チェックリストは部長に承認され,使われることになった。また,情報セキュリティ監査結果に基づく改善も計画どおりに完了し,海外営業部の情報セキュリティレベルは大きく改善された。

設問1

本文中の下線①について,部長が再検討を指示したチェック項目はどれか。解答群のうち,最も適切なものを選べ。
解答群
  • 10
  • 11
  • 12
  • 13
解答選択欄
  •  
  •  

解説

部長がそのチェック項目に対して再検討を指示した理由は「部員がOKと記入してきたとしても,その結果が正しいか客観的に判断できない」ためです。
  • デスク上やPC周りにパスワードを書いた紙が置かれていないかを定期的にチェックすることで確認が可能です。
  • 正しい。R社には添付ファイルの閲覧履歴を記録するような仕組みがないため、第三者の視点から回答結果の正当性を判断することはできません。また受信したメールを不審と感じるかどうかは部員ごとの主観によって異なります。
  • 部員に対して聞き取り調査を実施することで確認が可能です。
  • 定期的に業務終了後の施錠チェックを行うことで確認が可能です。
したがって「イ」が正解です。

設問2

本文中の下線②について,CSA方式の利点を二つ,解答群の中から選べ。
解答群
  • 関連法規への準拠性が担保できる。
  • 業務内容の十分な理解に基づいて評価できる。
  • 証跡を提出する必要がない。
  • 独立的な立場から公正に評価できる。
  • 評価実施者に対する意識付けや教育として役立つ。
解答選択欄
  •  
  •  
  •  
  •  
※順不同

解説

  • 監査部門による監査の利点です。CSAでは監査の専門家が評価を行う訳ではないため関連法規への準拠性は担保できません。
  • 正しい。具体的な業務知識をもつ部門員が評価を行うことで、現行業務における様々な問題点が洗い出されることを期待できます。li>
  • CSA結果と共に証跡の提出が求められます。
  • 監査部門による監査の利点です。CSAでは被監査部門の評価をその部門の所属員自身が行うため客観性や独立性に欠けます。
  • 正しい。自部門に存在するリスクを自ら認識することで問題意識の高まりが期待できます。
したがって「イ」と「オ」の組合せが適切です。

設問3

〔CSAの実施〕について,(1)~(5)に答えよ。
(1) 表3中のaに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
a に関する解答群
pm03_5.gif
解答選択欄
  • a:
  • a=

解説

aは評価項目「新たな脅威について全員が教育を受けている」に対する評価結果です。

設問文では海外営業部におけるセキュリティ教育について以下のように記述されています。

「R社では,情報セキュリティ推進部が実施する情報セキュリティ教育があり,海外営業部では,新たに配属された部員だけが受講することになっている。教育終了後には試験があるが, 1回では合格できず,再度教育と試験を受ける部員が時々いる。この教育資料は,世の中で新たなセキュリティ脅威が発見される都度,情報セキュリティ推進部で更新している。」

教育資料は随時更新されていますが、最新のセキュリティ教育を受講するのは新たに配属された部員だけで、既存の部員には更新された内容を周知させる機会が設けられていないことがわかります。このため全員が新たな脅威の教育を受けているとは言えません。

したがって評価結果「NG」、評価根拠「新たなセキュリティ脅威に関する教育を受けていない部員がいる。」が適切です。
(2) 表3中のbに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
b に関する解答群
pm03_6.gif
解答選択欄
  • b:
  • b=

解説

bは評価項目「リモート接続のためのパスワードを90日ごとに変更している。」に対する評価結果です。

設問中の、
  • ノートPCだけが,リモート接続サービスによる社内ネットワークへの接続を許可されている。
  • 海外営業部の部員は,出張がなく,全員がデスクトップPCだけを使っている。
という2点から海外営業部にはリモート接続を行うノートPCがないことがわかります。このためパスワード変更の有無によらずリモート接続で不正ログインが行われるリスクはないと考えることができます。

したがって評価結果「NA」、評価根拠「部内ではリモート接続は誰も行わない。」が適切です。
(3) 表3中のcに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
c に関する解答群
pm03_7.gif
解答選択欄
  • c:
  • c=

解説

cは評価項目「ファイルサーバ上の顧客情報のアクセス権は…」に対する評価結果です。

海外営業部では「ファイルのアクセス権は各部員が最小権限の原則に基づいて設定」を行い、「各担当者が定期的にアクセス権の適正さを確認する」という管理策が採られています。また、アクセス権の付与状況を確認するために四半期に1回全部員に簡易チェックリストを配布し記入させています。簡易チェックの報告の通りに実施されているという事実もW氏によって確認されていることから、アクセス権限の付与とチェックの仕組みが適切に働いていると考えられます。

したがって評価項目「OK」、評価根拠「簡易チェックで,アクセス権の付与状況について確認している。」が適切です。
(4) 表3中のdに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
d に関する解答群
  • PCを社外に持ち出す場合はあらかじめ許可を得ている。
  • 入退室管理システムが導入され,関係者だけ入室可能になっている。
  • 必要な場所に監視カメラを設置して毎日24時間撮影し,映像を記録している。記録した映像の保存期間を1か月以上にしている。
  • 部内で情報セキュリティ啓発活動をしている。
解答選択欄
  • d:
  • d=

解説

No.26の評価根拠よりdは部外者の入室を制限する管理策が実施されているかどうかを評価する項目であることがわかります。これに関係する選択肢は「イ」と「ウ」ですが、評価結果が"(OK)"となっていることに着目して次のように考えます。
  • 「イ」…少人数の専用オフィスで常にだれかが在籍し、最終退出者は施錠を行っている→代替コントロールでリスクが低減されている→(OK)
  • 「ウ」…映像は記録されておらず、代替コントロールもない→NG
No.26の評価項目が「イ」の場合には評価結果が'(OK)'となりますが、「ウ」であれば'NG'となるはずなので、Np.26の評価項目には「イ」が入ります。
(5) 本文中の下線③について,策定する改善計画の概要を,解答群の中から選べ。
解答群
  • Cシステムから出力された利用者IDの一覧を使って,3か月ごとに利用者IDの棚卸を実施する。
  • 部員の退職又は異動の際は,利用者IDの削除申請とCシステムからの削除を速やかに行うよう,管理職一人一人に周知する。
  • 利用者ID棚卸の実施者を上位の役職者に変更する。
  • 利用者ID登録時,申請されたアクセス権限が業務上必要か確認する。
解答選択欄
  •  
  •  

解説

W氏が問題視したのは、不要となった5個の利用者IDが1カ月以上も削除されず放置されている状態です。この事から海外事業部では不要となった利用者IDの削除ルールが曖昧になっていることがわかります。
不要なアカウント情報をシステムに残したままにしておくと、不正アクセスに悪用されてしまう可能性があります。不要になった利用者IDについては速やかに削除を行うルールを定め、遵守させる必要があります。

したがって「イ」が改善計画の内容として適切です。

設問4

〔新たな指摘についての改善計画〕について,(1),(2)に答えよ。
(1) 本文中のe1e3に入れる,次の[対策1]~[対策3]の組合せはどれか。eに関する解答群のうち,最も適切なものを選べ。
[対策1]
アクセスログの保管期間を3年間に変更するという対策
[対策2]
営業部員に対し,担当顧客以外の顧客情報を閲覧しないように周知し,牽(けん)制するという対策
[対策3]
担当する顧客の顧客情報だけにアクセスできるようにアクセス権を設定するという対策
e に関する解答群
pm03_8.gif
解答選択欄
  • e:
  • e=

解説

監査部からの指摘は「利用者は自分の担当外の顧客情報に対してもアクセスが可能であり,最小権限の原則が守られておらず,社外への顧客情報の漏えいを防止できるようになっていない」というものです。

e1について〕
指摘事項を改善するためには、現状のアクセス権の設定を見直し、最小権限の原則に基づいた権限付与を行う必要があります。したがって[対策3]が入ります。

e2について〕
適切な対応が実施されるまでの間、担当外の顧客情報へのアクセスを抑止する策なので[対策2]が入ります。

e3について〕
顧客情報漏えい後の検知・追跡に関することなので[対策1]が入ります。

したがって正しい組合せは「カ」になります。
(2) 本文中のf1f3に入れる,次の[対策4]~[対策6]の組合せはどれか。fに関する解答群のうち,最も適切なものを選べ。
[対策4]
顧客情報の追加・修正・削除の権限は管理職だけに付与するという対策
[対策5]
部員による顧客情報の追加・修正・削除は,システムのワークフロー機能を使って上長が承認することによって,データベースに反映されるようにするという対策
[対策6]
顧客情報の追加・修正・削除のログを上長が定期的に確認するという対策
f に関する解答群
pm03_9.gif
解答選択欄
  • f:
  • f=

解説

f1について〕
W氏が提案したf1の策に対して、部長は「それでは業務が回らなくなるのではないかな」と指摘を行っています。顧客情報に対する権限の問題は解決しますが、管理職の業務負担が著しく増えてしまう、ということでf1は[対策4]とわかります。

f2について〕
f1の策よりも効率は良いがベンダに開発を依頼しなくてはならない仕組みなので[対策5]が入ります。

f3について〕
実施頻度が定期的であるためf1の策よりも業務負担が少なく、不適切な変更を検知することのできる[対策6]が入ります。

したがって正しい組合せは「ア」になります。

Pagetop