2021年 秋期 応用情報技術者試験 問1
オフィスのセキュリティ対策
A社は,日用雑貨の通信販売会社である。A社では,会員にカタログ冊子を送付し,冊子ともに込まれた注文書又はインターネットでの注文を受け付けている。
A社では,情報セキュリティ担当役員を委員長とする情報セキュリティ委員会を設置しており,情報セキュリティの適正な管理を目的として,情報セキュリティ管理規程を制定している。
A社の通信販売事業は順調に拡大し,大量の個人情報を管理するようになったことから,情報セキュリティ委員会は,今回,物理的対策を中心にオフィスのセキュリティを見直すことにした。
A社のオフィスレイアウトを図1に示す。
【オフィスの現状】
A社のオフィスは,入退室管理システムによって,入室制限が行われている。第1ゾーンは,入退室管理システムでの入室制限を行っていない。第2ゾーンには全社員が,第3,4ゾーンには許可された社員だけが入ることができる。社員は,非接触型ICカードである社員カードを所持している。社員カードを部屋の入り口に設置されたCRにかざすと,社員カード内に記録されたIDによって入室の可否が判断される。入室が許可されるとドアが解錠される。
A社では,ノートPC(以下,NPCという)を全社員に貸与している。オフィスの執務エリアは,間仕切りのない設計になっている。会議室は執務エリアと同じ第2ゾーンに含まれる。執務エリアには,3台の複合機が設置され,複数の課で共有している。執務エリア内で社員が使用する机には鍵付きのサイドキャビネットがあり,個人が管理する書類や外出及び帰宅時のNPCの保管などに使用されている。
資料保管室とサーバ室は執務エリアと間仕切りされ,入室を許可された社員だけが使用できる。受付エリアの右手奥にロッカー室があり,鍵付きの個人用ロッカーが全社員分設置されている。
非接触型ICカードでは,カード内に埋め込まれたaが,CRが発信するbを電気に変換し,その電気を利用してICカード内のプログラムを動作させ,CRとの間で無線通信を行う。複合機は,情報機器や情報システムなどのITセキュリティを評価するための基準を定めた規格であるcに基づく認証を取得している製品である。
物理的対策を中心としたオフィスのセキュリティの見直しを決定した情報セキュリティ委員会は,システム部の情報セキュリティリーダーであるB主任を,担当者に指名した。B主任は,見直し案を作成するために,現状の問題点の洗い出しと改善策の立案支援を,情報セキュリティ会社のC社に依頼した。
【現状の問題点】
C社のコンサルタントであるD氏は,オフィスの現状を調査し,四つの項目に関する六つの問題点をB主任に報告した。D氏が指摘した問題点を表1に示す。
| 項番 | 項目 | 問題点 |
|---|---|---|
| 1 | 入退室管理について | 共連れでの入室が散見される。 |
| 2 | 来訪者の執務エリア内などでの単独行動が散見される。 | |
| 3 | 複合機の運用について | 個人データが印刷された書類が複合機に放置されていることがある。 |
| 4 | 執務エリア内への私物の持込みについて | 多くの社員が,私物を入れた鞄を執務エリア内に持ち込んでいる。 |
| 5 | 紙文書やNPCの管理について | 書類や印刷物などを机の上に放置したままの離席が散見される。 |
| 6 | NPCにログイン後の,操作が可能な状態での離席が散見される。 |
【問題点についての打合せ】
D氏から指摘された問題点について,B主任がD氏と打合せを行ったときの二人の会話を次に示す。
B主任:項番1,2については,どのような対策が有効でしょうか。
D氏:低コストで実現できる項番1の対策としては,CRを入り口側と同様に出口側にも設置して,アンチパスバックを導入することが有効です。アンチパスバックでは,"入室状態になっていない人が退室しようとした場合は解錠しない",という処理が行われます。①そのほかにも,アンチパスバックでは,通行を許可された社員カードをCRにかざしても,利用状況によっては異常と判断して解錠しない場合があります。項番2の対策としては,来訪者を入室させる場合は,入室から退室まで担当者が付き添うようにします。しかし,サーバの保守作業などと担当者が付き添えない場合もありますから,サーバコンソールでの操作内容のログ取得などの技術的対策のほかに,②第4ゾーンでは,来訪者の行動を事後に確認できるようにします。
B主任:分かりました。アンチパスバックと来訪者の行動を事後に確認できる設備の導入を検討します。また,来訪者を入室させる場合の対応方法については,情報セキュリティ管理規程に明記するようにします。項番3については,印刷物の放置を禁止していますが徹底できていません。何か良い方策はないでしょうか。
D氏:御社の複合機本体には,社員カードが使用できるICカードリーダを装備できますから,ICカードリーダを装備して,オンデマンド印刷機能を利用することを推奨します。③オンデマンド印刷機能を利用すると,NPCから印刷指示した文書の用紙への印刷は,社員カードを複合機のICカードリーダにかざして認証を受けた後に行われることになります。
B主任:運用方法を検討してみます。項番4については,社員の反対が多く,私物の持込みは禁止できていません。社員に受け入れられる方策はないでしょうか。
D氏:私物の鞄の持込みは禁止し,代わりにd鞄を貸与して,その中に入れた私物については,持込みを許可するのが良いでしょう。その場合,持込みを禁止する私物の種類や持ち込んだ私物のオフィス内での使用上の禁止事項を,情報セキュリティ管理規程に明記してください。
B主任:なるほど,その方策なら当社でも実施可能ですから,改善策として検討します。項番5,6については,実施すべき内容を情報セキュリティ管理規程に明記して徹底させるようにします。
D氏:それで良いと思います。
B主任は打合せ結果を基に,オフィスの物理的対策を中心とした見直し案をまとめて,情報セキュリティ委員会に報告した。見直し案が承認され,情報セキュリティ管理規程の改定と対策案が実施されることになった。