「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問4/設問3-2」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
* (2) 2.の対策で想定しているセキュリティ上のリスクを、40字以内で述べよ。また、【 c 】に入れる具体的な対策を、20字以内で述べよ。
公式解答例:
>リスク:インターネットを利用して機密情報を社外持出しPCの外部に送信できる(35文字)
>対策:VPN装置経由だけを許可する(14文字)
管理人解答:
>リスク:社外持出し用PCからインターネットを通じて機密情報が漏えいするリスク(34文字)
>対策:L社のプロキシサーバでフィルタリングする(20文字)
* 解説
リスクを読み取る問題です。
2.の対策抜粋
#divclass(blackdiv){
2. インターネットアクセスの情報漏えい対策
> &bold(){&color(red){社内からのインターネットアクセスと比較して、社外での社外持出し用PCからのインターネットアクセスはセキュリティ上のリスクが大きい}}ので、社内からのインターネットアクセスと同様の制限を課すために、次の対策を追加する。
>>対策:社外での社外持出し用PCからのインターネットへのアクセスは【 c 】。
}
** 図4 Q主任の検討結果(抜粋)
「社内からのインターネットアクセスと比較して、社外での社外持出し用PCからのインターネットアクセスはセキュリティ上のリスクが大きい」このリスクの内容について解答することを求められています。
本文の社外持出し用PCと社内からのインターネットアクセスを比較してみましょう。
社外持ち出しPCのインターネットアクセス抜粋
>[社外作業におけるセキュリティ対策]
> 専用フォルダ内の情報は、顧客先でも必要になるので、社外持出し用PCで社外からもアクセスできるようにしている。また、&bold(){&color(red){社外持出し用PCでインターネットにアクセスして情報を収集できるようにしている}}。
> 社外からファイルサーバにアクセスする場合は、社外持出し用PCを携帯電話網経由でL社のVPN装置に接続する。VPN装置は利用者IDとパスワードで認証を行い、社内LANへの接続に対してリバースプロキシサーバとして動作する。
> 従業員が専用フォルダ内の情報をファイルサーバから社外持出し用PCにダウンロードして使用する場合の&bold(){&color(red){情報漏えい対策}}としては、USBメモリなどの&bold(){&color(red){外部記録媒体への書込みを禁止}}し、&bold(){&color(red){無線LAN機能を停止}}している。さらに、&bold(){&color(red){PCの管理権限を与えていない}}。また、社外持出し用PCには、&bold(){&color(red){ウイルス対策ソフトを導入}}している。
社内からのインターネットアクセス抜粋(図2 L社の情報システムの技術的セキュリティ対策から抜粋)
>#divclass(blackdiv){6. Webフィルタリング
> (1) プロキシサーバ上でのフィルタリング
> &bold(){&color(red){インターネット上のWebメール、Webストレージサービス、SNSなどのWebサイトへの情報の書込みを全て遮断}}
>}
社内からのアクセスでは、プロキシサーバにてインターネットへの書き込みを遮断しています。
社外持ち出し用PCでは、インターネットアクセス以外の対策はがんばっているようですが、インターネットアクセスの対策が抜け落ちていて、ここが解答のポイントになります。
公式の解答例は「インターネットを利用して機密情報を社外持出しPCの外部に送信できる(35文字)」
管理人の解答は「社外持出し用PCからインターネットを通じて機密情報が漏えいするリスク(34文字)」ですが、これでは「リスク」ではなく「インシデント」です。
リスクを解答することを求められているので、「社外持出し用PCからインターネットを通じて機密情報が漏えい可能な状態(34文字)」の方がよかったのかもしれません。
[[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問4#設問3]]
* (2) 2.の対策で想定しているセキュリティ上のリスクを、40字以内で述べよ。また、【 c 】に入れる具体的な対策を、20字以内で述べよ。
公式解答例:
>リスク:インターネットを利用して機密情報を社外持出しPCの外部に送信できる(35文字)
>対策:VPN装置経由だけを許可する(14文字)
管理人解答:
>リスク:社外持出し用PCからインターネットを通じて機密情報が漏えいするリスク(34文字)
>対策:L社のプロキシサーバでフィルタリングする(20文字)
* 解説
リスクを読み取る問題です。
2.の対策抜粋
#divclass(blackdiv){
2. インターネットアクセスの情報漏えい対策
> &bold(){&color(red){社内からのインターネットアクセスと比較して、社外での社外持出し用PCからのインターネットアクセスはセキュリティ上のリスクが大きい}}ので、&bold(){&color(red){社内からのインターネットアクセスと同様の制限を課す}}ために、次の対策を追加する。
>>対策:社外での社外持出し用PCからのインターネットへのアクセスは【 c 】。
}
** 図4 Q主任の検討結果(抜粋)
「社内からのインターネットアクセスと比較して、社外での社外持出し用PCからのインターネットアクセスはセキュリティ上のリスクが大きい」このリスクの内容について解答することを求められています。
本文の社外持出し用PCと社内からのインターネットアクセスを比較してみましょう。
社外持ち出しPCのインターネットアクセス抜粋
>[社外作業におけるセキュリティ対策]
> 専用フォルダ内の情報は、顧客先でも必要になるので、社外持出し用PCで社外からもアクセスできるようにしている。また、&bold(){&color(red){社外持出し用PCでインターネットにアクセスして情報を収集できるようにしている}}。
> 社外からファイルサーバにアクセスする場合は、社外持出し用PCを携帯電話網経由でL社のVPN装置に接続する。VPN装置は利用者IDとパスワードで認証を行い、社内LANへの接続に対してリバースプロキシサーバとして動作する。
> 従業員が専用フォルダ内の情報をファイルサーバから社外持出し用PCにダウンロードして使用する場合の&bold(){&color(red){情報漏えい対策}}としては、USBメモリなどの&bold(){&color(red){外部記録媒体への書込みを禁止}}し、&bold(){&color(red){無線LAN機能を停止}}している。さらに、&bold(){&color(red){PCの管理権限を与えていない}}。また、社外持出し用PCには、&bold(){&color(red){ウイルス対策ソフトを導入}}している。
社内からのインターネットアクセス抜粋(図2 L社の情報システムの技術的セキュリティ対策から抜粋)
>#divclass(blackdiv){6. Webフィルタリング
> (1) プロキシサーバ上でのフィルタリング
> &bold(){&color(red){インターネット上のWebメール、Webストレージサービス、SNSなどのWebサイトへの情報の書込みを全て遮断}}
>}
社内からのアクセスでは、プロキシサーバにてインターネットへの書き込みを遮断しています。また、この部分は「社内からのインターネットアクセスと同様の制限を課す」にもかかってきます。
社外持ち出し用PCでは、インターネットアクセス以外の対策はがんばっているようですが、インターネットアクセスの対策が抜け落ちていて、ここが解答のポイントになります。
公式の解答例は「インターネットを利用して機密情報を社外持出しPCの外部に送信できる(35文字)」
管理人の解答は「社外持出し用PCからインターネットを通じて機密情報が漏えいするリスク(34文字)」ですが、これでは「リスク」ではなく「インシデント」です。
リスクを解答することを求められているので、「社外持出し用PCからインターネットを通じて機密情報が漏えい可能な状態(34文字)」の方がよかったのかもしれません。
続いて、【 c 】に入る対策ですが、「社内からのインターネットアクセスと同様の制限を課す」に対して「L社のプロキシサーバでフィルタリングする(20文字)」としてしまいました。
公式解答例は「VPN装置経由だけを許可する(14文字)」で、なるほどVPN装置を経由すれば自動的にL社の社内ネットワーク経由でのインターネットアクセスになり、プロキシサーバを通さなければインターネットアクセスができず、webメール送信や書き込みもプロキシサーバで遮断されるのですね。
[[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問4#設問3]]