Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和3年度 秋期 午後1 問2 その1

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000apad-att/2021r03a_sc_pm1_qs.pdf

以下のおすすめ問題の解説となります。

良書。

問2 システム開発での情報漏えい対策に関する次の記述を読んで、設問1〜3に答えよ。

R社は従業員500名の情報サービス事業者である。営業部門、システム開発部門及び管理部門があり、管理部門内の 情報システム部が社内の情報システムを管理している。システム開発部門の従業員は、一つ以上のシステム開発プロジェクト(以下、プロジェクトという)に参加している。
同業他社でのシステム開発において、情報漏えいが発生したことから、情報システム部のK部長は部下のZ主任に、プロジェクトにおいて秘密として扱われている設計文書(以下、設計秘密という)の管理について、問題がないか調査するように指示した。

[設計秘密の管理]
R社の規則では、設計秘密は次のように管理することになっている。

  • 設計秘密は、R社指定の文書作成ソフトウェア(以下、Wソフトという)を使って PC上で作成及び暗号化を行い、R社のネットワーク内のファイルサーバだけに保管する。ファイルサーバでは、プロジェクト単位にディレクトリを分け、各ディレクトリにはプロジェクトメンバだけがアクセスできるように、各プロジェクトのマネージャがアクセス権限を設定する。
  • Wソフトでは、パスワードを基に256ビットの鍵が生成され、その鍵を使って、ファイルがAESで暗号化される。ファイルを開くときには、パスワードの入力が求められる。設計秘密には、プロジェクト単位のパスワード(以下、Pパスワードという)を使用する。
  • プロジェクトごとに、協力会社のT社と秘密保持契約を結び、設計秘密を共有する。設計秘密は、T社内でもR社と同様の設備に保管し、アクセス権限を設定する。
  • R社とT社の間で設計秘密をやり取りする際には、Webブラウザからクラウドストレージサービスを利用する。R社は、このクラウドストレージサービスでは、プロジェクト単位にディレクトリを分け、各ディレクトリにはR社とT社のプロジェクトメンバだけがアクセスできるようにアクセス権限を設定する。
  • プロジェクトを離任する者が出た場合には、ファイルサーバとクラウドストレージサービスに保管しているプロジェクトの設計秘密に対して、離任者がアクセスできないようにする。

[管理についての問題]
Z主任が、各プロジェクトのマネージャに、設計秘密の管理についてヒアリングしたところ、表1に示す問題があることが分かった。

a Pパスワード変更

 ファイルサーバとクラウドストレージサービスに保管しているプロジェクトの設計秘密に対して、離任者がアクセスできないようにする。

 離任者に必要な作業はプロジェクトの設計秘密に関わる作業である

文鳥中設計秘密に関する内容では、パスワードが求められることが書かれている。

これはプロジェクト単位のパスワードと書かれているため、人が抜けた場合変更しないとアクセスできることを示している。そのため解答はパスワードの変更となる

パスワードの入力が求められる。設計秘密には、プロジェクト単位のパスワード(以下、Pパスワードという)を使用する。

b PC上に保存

 設計秘密は、R社指定の文書作成ソフトウェア(以下、Wソフトという)を使って PC上で作成及び暗号化を行い、R社のネットワーク内のファイルサーバだけに保管する。

 設計秘密の作成・保存のルールは

  • R社指定の文書作成ソフトウェア(以下、Wソフトという)を使って PC上で作成及び暗号化を行う
  • R社のネットワーク内のファイルサーバだけに保管する。
  • Wソフトで作成されたものはWソフトでしか開いてみることができない。(パスワードを知っている前提)

上記条件の抜け道として、

  •  PC上で作成し
  •  PC上で保存した

という保存場所をサーバではないくPCで保存された場合は管理方法がない。

 

 

div #breadcrumb div{ display: inline;font-size:13px;}