(2) 2.の対策で想定しているセキュリティ上のリスクを、40字以内で述べよ。また、【 c 】に入れる具体的な対策を、20字以内で述べよ。
公式解答例:
リスク:インターネットを利用して機密情報を社外持出しPCの外部に送信できる(35文字)
対策:VPN装置経由だけを許可する(14文字)
管理人解答:
リスク:社外持出し用PCからインターネットを通じて機密情報が漏えいするリスク(34文字)
対策:L社のプロキシサーバでフィルタリングする(20文字)
解説
リスクを読み取る問題です。
2.の対策抜粋
2. インターネットアクセスの情報漏えい対策
社内からのインターネットアクセスと比較して、社外での社外持出し用PCからのインターネットアクセスはセキュリティ上のリスクが大きいので、社内からのインターネットアクセスと同様の制限を課すために、次の対策を追加する。
対策:社外での社外持出し用PCからのインターネットへのアクセスは【 c 】。
図4 Q主任の検討結果(抜粋)
「社内からのインターネットアクセスと比較して、社外での社外持出し用PCからのインターネットアクセスはセキュリティ上のリスクが大きい」このリスクの内容について解答することを求められています。
本文の社外持出し用PCと社内からのインターネットアクセスを比較してみましょう。
社外持ち出しPCのインターネットアクセス抜粋
[社外作業におけるセキュリティ対策]
専用フォルダ内の情報は、顧客先でも必要になるので、社外持出し用PCで社外からもアクセスできるようにしている。また、社外持出し用PCでインターネットにアクセスして情報を収集できるようにしている。
社外からファイルサーバにアクセスする場合は、社外持出し用PCを携帯電話網経由でL社のVPN装置に接続する。VPN装置は利用者IDとパスワードで認証を行い、社内LANへの接続に対してリバースプロキシサーバとして動作する。
従業員が専用フォルダ内の情報をファイルサーバから社外持出し用PCにダウンロードして使用する場合の情報漏えい対策としては、USBメモリなどの外部記録媒体への書込みを禁止し、無線LAN機能を停止している。さらに、PCの管理権限を与えていない。また、社外持出し用PCには、ウイルス対策ソフトを導入している。
社内からのインターネットアクセス抜粋(図2 L社の情報システムの技術的セキュリティ対策から抜粋)
6. Webフィルタリング
(1) プロキシサーバ上でのフィルタリング
インターネット上のWebメール、Webストレージサービス、SNSなどのWebサイトへの情報の書込みを全て遮断
社内からのアクセスでは、プロキシサーバにてインターネットへの書き込みを遮断しています。また、この部分は「社内からのインターネットアクセスと同様の制限を課す」にもかかってきます。
社外持ち出し用PCでは、インターネットアクセス以外の対策はがんばっているようですが、インターネットアクセスの対策が抜け落ちていて、ここが解答のポイントになります。
公式の解答例は「インターネットを利用して機密情報を社外持出しPCの外部に送信できる(35文字)」
管理人の解答は「社外持出し用PCからインターネットを通じて機密情報が漏えいするリスク(34文字)」ですが、これでは「リスク」ではなく「インシデント」です。
リスクを解答することを求められているので、「社外持出し用PCからインターネットを通じて機密情報が漏えい可能な状態(34文字)」の方がよかったのかもしれません。
続いて、【 c 】に入る対策ですが、「社内からのインターネットアクセスと同様の制限を課す」に対して「L社のプロキシサーバでフィルタリングする(20文字)」としてしまいました。
公式解答例は「VPN装置経由だけを許可する(14文字)」で、なるほどVPN装置を経由すれば自動的にL社の社内ネットワーク経由でのインターネットアクセスになり、プロキシサーバを通さなければインターネットアクセスができず、webメール送信や書き込みもプロキシサーバで遮断されるのですね。
最終更新:2013年08月24日 21:51
