応用情報技術者過去問題 令和3年秋期 午後問1

⇄問題文と設問を画面2分割で開く⇱問題PDF⇱解答用紙PDF

問1 情報セキュリティ

オフィスのセキュリティ対策に関する次の記述を読んで,設問1〜3に答えよ。

 A社は,日用雑貨の通信販売会社である。A社では,会員にカタログ冊子を送付し,冊子にとじ込まれた注文書又はインターネットでの注文を受け付けている。
 A社では,情報セキュリティ担当役員を委員長とする情報セキュリティ委員会を設置しており,情報セキュリティの適正な管理を目的として,情報セキュリティ管理規程を制定している。
 A社の通信販売事業は順調に拡大し,大量の個人情報を管理するようになったことから,情報セキュリティ委員会は,今回,物理的対策を中心にオフィスのセキュリティを見直すことにした。
 A社のオフィスレイアウトを図1に示す。
pm01_1.gif/image-size:539×276
〔オフィスの現状〕
 A社のオフィスは,入退室管理システムによって,入室制限が行われている。第1ゾーンは,入退室管理システムでの入室制限を行っていない。第2ゾーンには全社員が,第3,4ゾーンには許可された社員だけが入ることができる。社員は,非接触型ICカードである社員カードを所持している。社員カードを部屋の入り口に設置されたCRにかざすと,社員カード内に記録されたIDによって入室の可否が判断される。入室が許可されるとドアが解錠される。
 A社では,ノートPC(以下,NPCという)を全社員に貸与している。オフィスの執務エリアは,間仕切りのない設計になっている。会議室は執務エリアと同じ第2ゾーンに含まれる。執務エリアには,3台の複合機が設置され,複数の課で共有している。執務エリア内で社員が使用する机には鍵付きのサイドキャビネットがあり,個人が管理する書類や外出及び帰宅時のNPCの保管などに使用されている。
 資料保管室とサーバ室は執務エリアと間仕切りされ,入室を許可された社員だけが使用できる。受付エリアの右手奥にロッカー室があり,鍵付きの個人用ロッカーが全社員分設置されている。
 非接触型ICカードでは,カード内に埋め込まれたaが,CRが発信するbを電気に変換し,その電気を利用してICカード内のプログラムを動作させ,CRとの間で無線通信を行う。複合機は,情報機器や情報システムなどのITセキュリティを評価するための基準を定めた規格であるcに基づく認証を取得している製品である。

 物理的対策を中心としたオフィスのセキュリティの見直しを決定した情報セキュリティ委員会は,システム部の情報セキュリティリーダであるB主任を,担当者に指名した。B主任は,見直し案を作成するために,現状の問題点の洗い出しと改善策の立案支援を,情報セキュリティ会社のC社に依頼した。

〔現状の問題点〕
 C社のコンサルタントであるD氏は,オフィスの現状を調査し,四つの項目に関する六つの問題点をB主任に報告した。D氏が指摘した問題点を表1に示す。
pm01_2.gif/image-size:592×167
〔問題点についての打合せ〕
 D氏から指摘された問題点について,B主任がD氏と打合せを行ったときの二人の会話を次に示す。
B主任:
項番1,2については,どのような対策が有効でしょうか。
D氏:
低コストで実現できる項番1の対策としては,CRを入り口側と同様に出口側にも設置して,アンチパスバックを導入することが有効です。アンチパスバックでは,"入室状態になっていない人が退室しようとした場合は解錠しない",という処理が行われます。①そのほかにも,アンチパスバックでは,通行を許可された社員カードをCRにかざしても,利用状況によっては異常と判断して解錠しない場合があります。項番2の対策としては,来訪者を入室させる場合は,入室から退室まで担当者が付き添うようにします。しかし,サーバの保守作業など担当者が付き添えない場合もありますから,サーバコンソールでの操作内容のログ取得などの技術的対策のほかに,②第4ゾーンでは,来訪者の行動を事後に確認できるようにします
B主任:
分かりました。アンチパスバックと来訪者の行動を事後に確認できる設備の導入を検討します。また,来訪者を入室させる場合の対応方法については,情報セキュリティ管理規程に明記するようにします。項番3については,印刷物の放置を禁止していますが徹底できていません。何か良い方策はないでしょうか。
D氏:
御社の複合機本体には,社員カードが使用できるICカードリーダを装備できますから,ICカードリーダを装備して,オンデマンド印刷機能を利用することを推奨します。③オンデマンド印刷機能を利用すると,NPCから印刷指示した文書の用紙への印刷は,社員カードを複合機のICカードリーダにかざして認証を受けた後に行われることになります。
B主任:
運用方法を検討してみます。項番4については,社員の反対が多く,私物の持込みは禁止できていません。社員に受け入れられる方策はないでしょうか。
D氏:
私物の鞄の持込みは禁止し,代わりにd鞄を貸与して,その中に入れた私物については,持込みを許可するのが良いでしょう。その場合,持込みを禁止する私物の種類や持ち込んだ私物のオフィス内での使用上の禁止事項を,情報セキュリティ管理規程に明記してください。
B主任:
なるほど,その方策なら当社でも実施可能ですから,改善策として検討します。項番5,6については,実施すべき内容を情報セキュリティ管理規程に明記して徹底させるようにします。
D氏:
それで良いと思います。
 B主任は打合せ結果を基に,オフィスの物理的対策を中心とした見直し案をまとめて,情報セキュリティ委員会に報告した。見直し案が承認され,情報セキュリティ管理規程の改定と対策案が実施されることになった。

設問1

本文中のacに入れる適切な字句を解答群の中から選び,記号で答えよ。
a,b,c に関する解答群
  • CC(Common Criteria)
  • ISMS
  • JIS Q 15001
  • UHFアンテナ
  • Wi-Fi電波
  • アンテナコイル
  • 赤外線
  • 電磁波

-解答入力欄-

  • a:
  • b:
  • c:

-解答例・解答の要点-

  • a:
  • b:
  • c:

-解説-

abについて〕
空欄aは、CRが発する何かを受信する部品ですから「エ:UHFアンテナ」「カ:アンテナコイル」「ケ:ヘリカルアンテナ」の三択、空欄bは、CRが発するものですから「オ:WI-Fi電波」「キ:赤外線」「ク:電磁波」の三択となります。

非接触ICカードシステムは、ICカードとリーダ/ライタにアンテナを内蔵し、電波を利用して情報のやりとりを行います。ICカードをリーダライタに近づけることで、リーダ/ライタのアンテナから発生している電磁波をカード側のアンテナで受け取り、ICの動作に必要な電圧に変換することで、電源が供給され情報のやりとりができます(日本ICカード協議会HPより引用)。
非接触型ICカードはバッテリを搭載する代わりに薄型のアンテナコイルを搭載しています。カードリーダ/ライタの周りには電流によって常に磁界が発生していて、この磁界にICカードを近づけると電磁誘導によりアンテナコイルに電圧が誘起され、ICチップに電源が供給される仕組みになっています。
pm01_3.gif/image-size:250×162
UHFアンテナは地上デジタル放送を受信するためのアンテナ、ヘリカルアンテナは衛星通信やGPSなどに用いられる無線通信用のアンテナなので不適切です。また、現在主流の非接触型ICカードで利用されているのは13.56MHzの電波です。Wi-Fiは2.4GHzまたは5GHz、赤外線はTHz(テラヘルツ)帯なので不適切です。

a=カ:アンテナコイル
 b=ク:電磁波

cについて〕
規格ですから以下の三択になると思います。
CC(Common Criteria)
情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格。ISO/IEC 15048(JIS X 5070)として標準化されている
ISMS
情報セキュリティマネジメントシステムの認証規格
JIS Q 15001
個人情報保護マネジメントシステムの要求事項
問題文には「情報機器や情報システムなどのITセキュリティを評価するための基準を定めた規格」とあるので、空欄cには「CC(Common Criteria)」が当てはまります。

c=ア:CC(Common Criteria)

設問2

表1中の項番5の問題点への対策はクリアデスクと呼ばれるが,項番6の問題点への対策は何と呼ばれているか。10字以内で答えよ。

-解答入力欄-

-解答例・解答の要点-

  • クリアスクリーン (8文字)

-解説-

コンピュータを操作可能な状態のまま離席すると、別の人に情報を盗み見されたり不正操作されたりするセキュリティリスクがあります。離席時にログオフまたはパスワード付のスクリーン及びキーボードのロック機能によってコンピュータを保護し、情報をコンピュータのスクリーンに残したまま離席しないことを「クリアスクリーン」といいます。クリアスクリーンは、クリアデスク(机上に書類を放置しないこと)とともに情報セキュリティ管理基準(JIS Q 27002)において物理的及び環境的セキュリティの管理策として規定されています。

∴クリアスクリーン

設問3

〔問題点についての打合せ〕について,(1)〜(4)に答えよ。
  • 本文中の下線①について,どのような場合に解錠しないかを,30字以内で答えよ。
  • 本文中の下線②について,具体的な対策内容を,25字以内で述べよ。
  • 本文中の下線③の機能が,表1中の項番3の問題を低減させる対策になる理由を,30字以内で述べよ。
  • 本文中のdに入れる適切な字句を,10字以内で答えよ。また,その鞄の貸与によって,禁止された私物の持込みのほかに,低減できる可能性のある不正行為を,15字以内で答えよ。

-解答入力欄-

    • d:
    • 行為:

-解答例・解答の要点-

    • 入室状態となっている人が再度入室しようとした場合 (24文字)
    • 監視カメラを設置して来訪者の行動を記録する (21文字)
    • 複合機の側に行かないと用紙への印刷ができないから (24文字)
    • d:中が透けて見える (8文字)
    • 行為:秘密書類の持出し (8文字)

-解説-

  • アンチパスバックは、セキュリティ区画の出入口で利用者IDごとに入退室の時刻を記録することで、以下の例のような矛盾のある入退室行動を制限する仕組みです。
    1. 直近の記録が入室である利用者の入室行動
    2. 直近の記録が退室である、または、その日の入室記録がない利用者の退室行動
    通常の利用ならば入室と退室はペアになっているため、このような矛盾は生じません。しかし「他人が入室する際に一緒に入室する」あるいは「他人が退室するのとすれ違いに入室する」などの共連れ行為で入室した利用者は、アンチパスバックにより正当な方法での退室が禁止されます(※入室制限も同様)。

    下線①の直前では"入室状態になっていない人が退室しようとした場合は解錠しない"という退室制限の内容が記述されていますから、下線①はもう一方の入室制限に関する説明であると判断できます。したがって、「直前の記録が入室である人が入室しようとした場合」「入室状態となっている人が再度入室しようとした場合」などと解答することになります。

    ∴入室状態となっている人が再度入室しようとした場合

  • セキュリティを保つべき区画に外部のサービスサポート要員が入室する場合には、不正行為や不測事態の発生を防ぐため、その作業を監視しなければなりません。監視は、操作ログの収集、監督者による目視、監視カメラなどによって行います。

    問題文を読むと、解答に当たり以下の条件があることがわかります。
    • 担当者が付き添えない場合に必要となる
    • 来訪者の行動を事後に確認できる
    • ログ取得などの技術的対策とは別に行う対策である
    • 何らかの設備である
    これらを総合すると、監視カメラを設置して来訪者の行動を記録する対策が有効であると判断できます。監視によって不正を完全に防げるわけではありませんが、常に見られているという意識を持たせることで不正の抑止効果が期待できます。

    ∴監視カメラを設置して来訪者の行動を記録する

  • オンデマンド印刷機能は、利用者からの印刷要求を受け取った際にすぐに印刷開始するのではなく、利用者からの印刷データをいったん複合機に蓄積し、複合機での利用者認証の後、利用者が複合機の操作パネルで印刷データを選択して印刷する機能です。

    本問でも「NPCから印刷指示した文書の用紙への印刷は,社員カードを複合機のICカードリーダにかざして認証を受けた後に行われる」とあるように、印刷要求した本人が複合機の場所まで行って認証を受けないと、印刷物が出力されない仕組みとなっています。この機能を利用すると、印刷を実行した人だけが、プリンタの横にいるときにだけ印刷物を得ることができるので、印刷物の紛失や取り間違い、印刷したまま放置された文書を第三者に見られたり持ち去られたりするセキュリティリスクへの対策となります。

    オンデマンド印刷機能の利用により印刷物の放置を低減させることができるのは、用紙への印刷をするためには利用者が複合機の場所に行く必要があるからです。したがって、「複合機の側に行かないと用紙への印刷ができないから」「複合機の側にいるときだけ印刷物を得ることができるから」などの解答が適切となります。

    ∴複合機の側に行かないと用紙への印刷ができないから

  • 重要情報を取り扱う執務エリア等の領域に個人の情報機器及び記録媒体を持ち込まれると、個人の情報機器や記録媒体に重要情報を格納して持ち出されるおそれがあります。それがカメラ付きの情報機器であれば、重要情報を写真に撮って持ち出されるおそれもあります。通信可能な情報機器であれば、重要情報を外部に送信されるおそれもあります。また危険物を持ち込まれれば普通に危険です。このような私物の持込みリスクに対応して、私物の鞄の代わりに貸与するべき鞄が問われています。

    問題文から導出できない知識問題ですので想像力を働かせる必要がありますが、デパートやコールセンタなどでよく採用されているように、従業員に透明な鞄を利用してもらう方法が考えられます。透明な鞄を導入することにより外から中身を確認することが容易になるので、情報セキュリティ管理規程で禁止されている私物の持込みを抑止することができます。また同時に、執務エリア内の情報資産(秘密情報、機密情報)をその外に持ち出す不正への抑止効果も期待することができます。

    d=中が透けて見える
     行為=秘密書類の持出し
問1成績

令和3年秋期 午後問題一覧

問1 問2 問3 問4 問5 問6 問7 問8 問9 問10 問11 採点講評
© 2010-2022 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop