サンプル問題 [科目B]問56
問56解説へ
A社は学習塾を経営している会社であり,全国に50の校舎を展開している。A社には,教務部,情報システム部,監査部などがある。学習塾に通う又は通っていた生徒(以下,塾生という)の個人データは,学習塾向けの管理システム(以下,塾生管理システムという)に格納している。塾生管理システムのシステム管理は情報システム部が行っている。塾生の個人データ管理業務と塾生管理システムの概要を図1に示す。
教務部は,今年実施の監査部による内部監査の結果,Webブラウザに塾生管理システムの利用者IDとパスワードを保存しており,情報セキュリティリスクが存在するとの指摘を受けた。
設問 監査部から指摘された情報セキュリティリスクはどれか。解答群のうち,最も適切なものを選べ。
- 教務部員は,入塾した塾生及び退塾する塾生の登録,塾生プロフィールの編集,模試結果の登録,進学先の登録など,塾生の個人データの入力,参照及び更新を行う。
- 教務部員が使用する端末は教務部の共用端末である。
- 塾生管理システムへのログインには利用者IDとパスワードを利用する。
- 利用者IDは個人別に発行されており,利用者IDの共用はしていない。
- 塾生管理システムの利用者のアクセス権限には参照権限及び更新権限の2種類がある。参照権限があると塾生の個人データを参照できる。更新権限があると塾生の個人データの参照,入力及び更新ができる。アクセス権限は塾生の個人データごとに設定できる。
- 教務部員は,担当する塾生の個人データの更新権限をもっている。担当しない塾生の個人データの参照権限及び更新権限はもっていない。
- 共用端末のOSへのログインには,共用端末の識別子(以下,端末IDという)とパスワードを利用する。
- 共用端末のパスワード及び塾生管理システムの利用者のアクセス権限は情報システム部が設定,変更できる。
設問 監査部から指摘された情報セキュリティリスクはどれか。解答群のうち,最も適切なものを選べ。
- 共用端末と塾生管理システム間の通信が盗聴される。
- 共用端末が不正に持ち出される。
- 情報システム部員によって塾生管理システムの利用者のアクセス権限が不正に変更される。
- 教務部員によって共用端末のパスワードが不正に変更される。
- 塾生の個人データがアクセス権限をもたない教務部員によって不正にアクセスされる。
正解 オ問題へ
分野:情報セキュリティマネジメントの計画・要求事項
カテゴリ:リスクアセスメント及びリスク対応
カテゴリ:リスクアセスメント及びリスク対応
広告
解説
監査で見つかった指摘事項は、塾生管理システムへのログインに使用する利用者IDとパスワードがWebブラウザに保存されているというものです。教務部員が使用する端末は教務部で共用されているため、Webブラウザに保存されている認証情報を使って別の教務部員になりすましてログインすることが可能です。これにより、権限を有しない塾生の個人データが参照されたり、更新されたりするというリスクがあります。
したがって「オ」が正解となります。
したがって「オ」が正解となります。
- Webブラウザに利用者IDとパスワードを保存していることとは無関係のセキュリティリスクです。
- Webブラウザに利用者IDとパスワードを保存していることとは無関係のセキュリティリスクです。
- 塾生管理システム利用者のアクセス権限を変更する権限は情報システム部にあります。よって、塾生管理システムにログインするだけでは変更することはできません。
- 共用端末のパスワードを変更する権限は情報システム部にあります。よって、塾生管理システムにログインするだけでは変更することはできません。
- 正しい。
広告