2020年 秋期 応用情報技術者試験 問1

内部不正による情報漏えいの対策

A社は、小、中、高校生及び大学受験生向けに通信教育を行っている。A社では、受講生の個人情報や受講履歴などを管理する受講生管理システムと複数の業務システム(以下、A社の各種システムという)をE社のデータセンタで運用している。A社の各種システムの運用管理は、社内のシステム運用管理室で、F社から派遣された技術者(以下、F社技術者という)が行っている。A社のネットワーク構成を図1に示す。

注記 メール管理サーバでは、メール管理システムが稼働している。

メール管理システムは、電子メール(以下、メールという)の誤送信を防止する目的で導入されている。PCから送信されたメールは、メール管理サーバで一旦保留され、送信者によって、宛先、メール本文及び添付ファイルに間違いがないことの確認操作が行われた後に、メールサーバに転送される。インターネットアクセスは、プロキシサーバ経由で行う。プロキシサーバでは、利用者認証は行っていない。PCには、DHCPサーバからIPアドレスなどの情報が付与されている。

A社では、情報セキュリティ担当役員を委員長とする情報セキュリティ委員会によって、情報セキュリティ管理規程(以下、管理規程という)が整備されている。管理規程の内容を基に、次のように運用されている。

保有する情報には、管理規程に基づいてa区分を設定し、電子文書や書類に、区分に沿ったマークを表示又は押印して、誰でも判別できるようにし、区分に応じた取扱方法を定めている。F社技術者を含む社員による、A社の各種システムの操作に関しては、そのシステムの利用者だけに、業務上必要となる最低限の機能を利用できるbを付与している。利用者は、システムが保有する情報を、PCや許可された可搬型記憶媒体にダウンロードできる。資産価値又は重要度の高い情報の社外への持出しは原則として禁止されているが、持ち出すことが必要になった場合は、管理者である上司の承認を得た後に持ち出すことができる。社員は、社外の関係者との間で、添付ファイル付きメールの送受信を行っている。業務上不要なWebサイトへのアクセスやメールの私的利用は禁止されているが、徹底できていない。

昨今、正社員や派遣社員など、内部者の不正行為による個人情報や営業情報の漏えい事件の報道が後を絶たない。そこで、情報セキュリティ委員会では、内部不正による情報漏えいの追加の対策を実施することを決め、A社の情報セキュリティリーダのB主任に、情報システム部の支援を受けて対策案をまとめるように指示した。

【現状の調査】

B主任は、まず、内部不正が発生する要因について調査した。内部不正は、不正のトライアングルと呼ばれる三つの要因(動機、機会、正当化)が揃ったときに、発生するおそれが増すと言われている。B主任は、IPAの"組織における内部不正防止ガイドライン"に含まれる、"内部不正チェックシート"を利用して問題点の把握を行った。その結果、次の三つの問題があることが判明した。

(1) USBメモリなどの可搬型記憶媒体の運用が、管理規程どおりに行われていない。

(2) メールや社外のWebサイトの利用が、管理規程どおりに行われていない。

(3) 重要情報へのアクセス履歴及び利用者の操作履歴などのログの取得と管理が適切に行われていない。

これらの問題への対策を実施することによって、不正のトライアングルの要因の一つである機会が低減されることから、不正の抑止につながると考えられるので、これらの問題への対策について検討することにした。

【内部不正に対する技術面での対策】

問題の(1)については、可搬型記憶媒体の運用を管理規程どおりに行うことが必要である。しかし、許可されていない可搬型記憶媒体に情報をダウンロードするなどの悪意をもった行動に対しては、管理規程だけでは対処できない。そこで、PCの操作ログの取得機能や①デバイス制御機能をもつPC管理システムを導入することにした。

問題の(2)については、メール管理システムとプロキシサーバの設定の見直しで対処することにした。導入済みのメール管理システムの未使用の機能を図2に示す。

  1. 情報漏えい対策機能
    • ②添付ファイル付きメールに対して、指定された処理を行う。
  2. メールアーカイブ機能
図2 メール管理システムの未使用の機能(抜粋)

メール管理システムでは、新たに、図2中の情報漏えい対策機能を有効にする。プロキシサーバでは、URLフィルタリングを稼働させ、業務上必要なWebサイトをホワイトリストに登録してアクセスを許可し、その他のWebサイトへのアクセスは遮断する。ホワイトリストへの登録は、情報セキュリティ委員会による認定後に情報システム部が行う。ホワイトリストに含まれないWebサイトの中にも、業務上必要となるサイトが存在する可能性があるので、③当該サイトの利用を希望する者がとるべき手段を用意する。

【ログの取得とメールのアーカイブ】

問題の(3)の対策として、④プロキシサーバとPC管理システムで全てのログを取得するとともに、新たに、図2中の、メールアーカイブ機能を有効にすることにした。

プロキシサーバのログでは、通信が行われた日時、⑤作業者のID、アクセス先IPアドレス、操作内容などが確認できるようになる。PC管理システムのログでは、PCでの全ての操作内容が把握できるようになる。メールアーカイブでは、送信されたメール本文及び添付ファイルの内容、送信者及び宛先が特定できるようになる。

B主任は、これらの検討を基に、(a)PC管理システムの導入、(b)メール管理システムの未使用機能の有効化、(c)プロキシサーバでのURLフィルタリングの稼働と設定の見直し、(d)ログの取得と監視、の四つの対策案をまとめた。また、⑥これらの対策を社内に告知することによって、内部不正を抑止することが期待できるので、四つの対策の実施と対策内容を社内に告知することを情報セキュリティ委員会に提案し、承認された。

出典:令和2年度 10月 応用情報技術者試験 午後 問1