「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問4/設問3-2」の編集履歴(バックアップ)一覧に戻る
リスク:インターネットを利用して機密情報を社外持出しPCの外部に送信できる(35文字)
対策:VPN装置経由だけを許可する(14文字)
リスク:社外持出し用PCからインターネットを通じて機密情報が漏えいするリスク(34文字)
対策:L社のプロキシサーバでフィルタリングする(20文字)
退職者などの人事情報を情報システムと連動させることで、確実に利用者IDの停止とアクセス権の解除は可能になるが、情報システムの改修に時間が掛かるので、当面は運用改善による次の緊急対策を行うこととする。対策:【 a 】からの連絡を受け、運用担当者が利用者IDの停止とアクセス権の解除を、【 b 】後、速やかに行う。
社内からのインターネットアクセスと比較して、社外での社外持出し用PCからのインターネットアクセスはセキュリティ上のリスクが大きいので、社内からのインターネットアクセスと同様の制限を課すために、次の対策を追加する。対策:社外での社外持出し用PCからのインターネットへのアクセスは【 c 】。
[社外作業におけるセキュリティ対策]
専用フォルダ内の情報は、顧客先でも必要になるので、社外持出し用PCで社外からもアクセスできるようにしている。また、社外持出し用PCでインターネットにアクセスして情報を収集できるようにしている。
社外からファイルサーバにアクセスする場合は、社外持出し用PCを携帯電話網経由でL社のVPN装置に接続する。VPN装置は利用者IDとパスワードで認証を行い、社内LANへの接続に対してリバースプロキシサーバとして動作する。
従業員が専用フォルダ内の情報をファイルサーバから社外持出し用PCにダウンロードして使用する場合の情報漏えい対策としては、USBメモリなどの外部記録媒体への書込みを禁止し、無線LAN機能を停止している。さらに、PCの管理権限を与えていない。また、社外持出し用PCには、ウイルス対策ソフトを導入している。