平成25年春期試験午後問題 問3

問3 情報戦略

⇱問題PDF
電子メールシステムのリスク分析と対策に関する次の記述を読んで,設問1~3に答えよ。
 大規模なホームセンタを全国にチェーン展開しているE社は,生活用品,食料品,衣料品,園芸用品,事務用品,建材などをメーカーから仕入れ,顧客に販売している。情報システム部のF部長は,電子メールによる巧妙な標的型攻撃や甚大な被害が予想される強い地震の発生などのリスクが増加しているという情報を得た。そこで,現在の電子メールシステムに関するリスク分析を実施し,必要なリスク対策を検討するようG課長に指示した。
 G課長は,次の(1)~(4)の手順で,リスク分析とリスク対策の検討を行うことにした。
  • 情報の整理
  • 脆弱性とリスク源の特定及び影響評価
  • リスクレベルの決定と行動指針の策定
  • リスク対策の検討
〔情報の整理〕
 G課長は,E社の電子メールシステムに関する現状を調査するとともに,社内外で情報収集を行い,その結果を次のようにとりまとめた。
  • 電子メールシステムの現状調査の結果
    • インターネットとの接続点に置かれたセキュリティゲートウェイで,セキュリティ事業者のSaaSを利用し,外部から到達する不正な電子メールのチェックを行っている。
    • インターネットとは,平常時,99.99%の稼働率を有する回線によって1ルートで接続している。
    • 電子メールシステムのサーバは,震度7の耐震性がある本社ビル内のサーバ室で,免震装置の上に設置されている。
    • 電子メールシステムのサーバは,ホットスタンバイの構成を採用している。
    • 電子メールのデータは,サーバ内のHDDにバックアップされている。
    • 本社ビル内には,自家発電装置は設置されていないが,停電時に電子メールシステムを安全に停止することが可能な容量のUPSが備わっている。
    • 従業員は,社内の自席で,電子メールを据置き型のPCで利用している。
  • 社内での情報収集の結果
    • 現在,電子メールは,社内での業務連絡だけでなく,商品をメーカーへ発注する業務,法人の顧客からの注文や問合せなどでも利用されており,電子メールが利用できなくなると業務の継続が困難になる。
    • 電子メールシステムのシステム監視・故障切分け・故障回復後の動作確認などのシステム運用業務は,専門業者に委託せず,自社の要員で対応している。最近,電子メールシステムのサーバのハードウェアの故障が増加傾向にあり,要員がひっ迫している。
    • 電子メールシステムのサーバは,設置後3年以上が経過し,ベンダから,高性能で信頼性の高いサーバへの更改の提案を受けているが,予算に余裕がないので,まだ,サーバの更改計画を策定していない。
  • 社外での情報収集の結果
    • 同業他社で,標的型攻撃によって社内情報が漏えいするという被害が発生している。社外から送られた電子メールに添付されたファイルを開封したところ,仕込まれていたウイルスに侵入され,攻撃者が用意した外部のサーバへのバックドアが設置されたものである。
    • この冬には,危険度の高い型のインフルエンザが,大流行すると予想されている。
    • 本社ビルのある地域では,甚大な被害が予想される震度6以上の強い地震が,今後30年以内に発生する確率が高いと予測されている。
    • 震度6以上の強い地震が発生すると,地域内の電力設備に影響を及ぼし,長時間の停電や回線の障害を誘発するおそれが大きい。
〔脆弱性とリスク源の特定及び影響評価〕
 まず,G課長は,(情報の整理〕に基づき,電子メールシステムに関するリスクを,脆弱性とリスク源の組合せで特定した。そして,リスクが現実化する確率及びリスクが現実化した場合の影響度を大・中・小の3段階で評価し,表1のとおりまとめた。
pm03_1.gif
〔リスクレベルの決定と行動指針の策定〕
 次に,G課長は,E社で制定した表2のリスクレベルマトリックスを用いて,リスクレベルH(高リスク),M(中リスク),L(低リスク)を決定した。
pm03_2.gif
 さらに,リスクレベルに応じて採るべき行動指針を,次のように策定した。
リスクレベルH:
できるだけ早期にリスク対策を実施する。
リスクレベルM:
妥当な期間内にリスク対策の実行計画を作成し,実行する。
リスクレベルL:
妥当な期間内にリスク対策が必要か不要かを判断し,対策が必要な場合には,実行計画を作成し,実行する。
〔リスク対策の検討〕
 最終段階として,リスクレベルの高い順にリスク対策を検討することにし,表1の脆弱性に対するリスク対策の検討結果を表3にまとめた。
pm03_3.gif
 G課長は,F部長に表3の内容を説明したところ,①電子メールの利用実態を踏まえ,"回線を2ルート化していない"という脆弱性のリスクレベルを見直して,通信障害へのリスク対策を再検討するように指示された。

設問1

〔脆弱性とリスク源の特定及び影響評価〕の表1について,(1)~(3)に答えよ。
  • aに入れる適切な字句を,本文中の字句を用いて15字以内で答えよ。
  • bに入れる適切な字句を40字以内で述べよ。
  • cに入れる適切な字句を40字以内で述べよ。

解答例・解答の要点

  • a:震度6以上の強い地震 (10文字)
  • b:電子メールのデータは,本社サーバ内のHDDにバックアップされている (33文字)
  • c:電子メールシステムのシステム運用業務を行う要員がひっ迫している (31文字)

解説

  • aについて〕
    脆弱性は「本社所在地の地域から、甚大な被害を受けやすい」となっています。
    これに対応するリスク源を問題文から探します。

    "(3) 社外での情報収集の結果"には以下の記載があります。
    • 本社ビルのある地域では,甚大な被害が予想される震度6以上の強い地震が,今後30年以内に発生する確率が高いと予測されている。
    • 震度6以上の強い地震が発生すると,地域内の電力設備に影響を及ぼし,長時間の停電や回線の障害を誘発するおそれが大きい。
    この記述より、空欄には「震度6以上の強い地震」が当てはまると判断できます。

    a=震度6以上の強い地震

  • bについて〕
    リスク源が「長時間の停電」となっています。1つ上にも「長時間の停電」とあり、その脆弱性は「電子メールシステムのサーバが,本社ビル内に設置されている。」とあります。これだけでは解答を特定することはできませんので、同じくbがある表3もあわせて確認します。

    表3では非常時に本社ビル以外でも電子メールシステムを使った業務を継続できるように「遠隔地の支店に予備系を設置」「サーバをデータセンタに移設」など対策が取られていますが、bへの対策は「遠隔地へ30分ごとに電子メールのデータをバックアップする」となっています。この対策と対になる電子メール関連の脆弱性を本文中から探すと「電子メールのデータは,サーバ内のHDDにバックアップされている。」があります。バックアップが本社ビルにしかないと非常時の復旧が難しくなってしまうので、遠隔地にバックアップをする必要があるということです。

    b=電子メールのデータは,本社サーバ内のHDDにバックアップされている

  • リスク源は「危険度の高い型のインフルエンザの大流行」とあります。特定感染症に分類される新型インフルエンザや鳥インフルエンザに罹患すると、法律上の就業制限がかかるため社員が出勤することができません。"(2) 社内での情報収集の結果"では、E社は自社要員だけでシステム運用業務を行っていて、要員がひっ迫している旨の記述があるので、E社の従業員がそれらに感染することにより、通常業務の遂行も支障を来す事態が考えられます。つまり、ギリギリの要員数で運用していることが危険度の高い型のインフルエンザが大流行することに対する脆弱性となっています。

    c=電子メールシステムのシステム運用業務を行う要員がひっ迫している

設問2

〔リスク対策の検討〕の表3について,(1),(2)に答えよ。
  • リスク対策の種別として,dfに入れる適切な字句7字以内で答えよ。
  • eに入れるリスク対策として,業務をどのように見直すことが適切か。25字以内で述べよ。

解答例・解答の要点

  • d:損失予防 (4文字)
    f:リスク保有 (5文字)
  • e:システム運用業務を専門業者に委託する (18文字)

解説

  • 「回線の2ルート化」は情報セキュリティマネジメントの可用性に係る事項です。情報セキュリティにおけるリスク対応は、リスク回避、損失予防、損失軽減、リスク移転、リスク保有などがあります。損失予防と損失軽減を合わせてリスク低減と呼ぶことも多いですが、応用情報技術者試験シラバスでは分けて記載されているのでそれに準じています。
    リスク回避
    リスク源を取り除き、リスクを発生させない対策
    損失予防
    リスクが現実化する確率を下げる対策
    損失軽減
    リスクが現実化したときの影響度を下げる対策
    リスク移転
    リスクを他者に移す対策
    リスク保有
    リスクに対して特に対策をせず、受け入れること
    ※発生確率が著しく低いときや対策費用が予定損害額を上回るときなどに選択される
    dについて〕
    いずれの対策もリスクが現実化する確率を下げる効果がありますから、上記のうち「損失予防」に該当します。

    d=損失予防

    fについて〕
    リスク対策の内容は「専用回線の信頼度が高いことから対策を行わない」です。上記のうち「リスク保有」に該当します。

    f=リスク保有

  • eについて〕
    表3より、空欄に入るリスク対策は「リスク移転」とあること、および「電子メールシステムのシステム運用業務を行う要員がひっ迫している」状態で、危険度の高いインフルエンザが流行した場合への対策であることがわかります。

    問題文中"(2) 社内での情報収集の結果"に「電子メールシステムのシステム監視・故障切分け・故障回復後の動作確認などのシステム運用業務は,専門業者に委託せず,自社の要員で対応している。」とあります、リスク移転はリスクを他者に移す対応策で、その一例として業務のアウトソーシングがあります。自社の要員のみで対応しており、その要員がひっ迫しているのですから、専門業者に委託すればよいのです。

    e=システム運用業務を専門業者に委託する

設問3

〔リスク対策の検討〕について,F部長が,本文中の下線①を指示した理由を40字以内で述べよ。

解答例・解答の要点

電子メールが利用できなくなると業務の継続が困難になるから (28文字)

解説

設問には「電子メールの利用実態を踏まえ」とあるので、まずは電子メールの利用実態を確認すると、"(2) 社内での情報収集の結果"に以下の記載があります。
  • 現在,電子メールは,社内での業務連絡だけでなく,商品をメーカーへ発注する業務,法人の顧客からの注文や問合せなどでも利用されており,電子メールが利用できなくなると業務の継続が困難になる。
一方、表1「脆弱性とリスク源の評価結果」を見ると、脆弱性「回線を2ルート化していない」のリスクが現実化する確率は"小"、リスクが現実化した場合の影響度は"中"となり、リスクレベルLに分類されています。"大"・"中"・"小"の基準は明確になっていませんが、ハードウェアの故障や長時間の停電など業務の継続が困難になるリスクの影響度は"大"になっていますから、同じく電子メールを送信できなくなる回線の障害についての影響度も"大"とするのが妥当です。「回線を2ルート化していない」についての影響度が"大"となると、表2よりリスクレベルはLからMに上がります。

以上より、F部長がリスクレベルの見直しを指示したのは、「電子メールが利用できなくなると業務の継続が困難になる」という影響度の大きさを考慮したゆえと判断できます。

∴電子メールが利用できなくなると業務の継続が困難になるから
模範解答

Pagetop