オフィスのセキュリティ対策に関する次の記述を読んで,設問1〜3に答えよ。
A社は,日用雑貨の通信販売会社である。A社では,会員にカタログ冊子を送付し,冊子にとじ込まれた注文書又はインターネットでの注文を受け付けている。
A社では,情報セキュリティ担当役員を委員長とする情報セキュリティ委員会を設置しており,情報セキュリティの適正な管理を目的として,情報セキュリティ管理規程を制定している。
A社の通信販売事業は順調に拡大し,大量の個人情報を管理するようになったことから,情報セキュリティ委員会は,今回,物理的対策を中心にオフィスのセキュリティを見直すことにした。
A社のオフィスレイアウトを図1に示す。
注記1 複合機は,プリンタ,ファックス,コピー,文書保存などの機能をもつ装置である。
注記2 CRは,入退室管理システムの非接触型ICカード読取り装置である。
注記3 ゾーンは,警戒レベルに合わせて管理された区域であり,第4ゾーンは警戒レベルが最も高い区域である。
図1 A社のオフィスレイアウト
〔オフィスの現状〕
A社のオフィスは,入退室管理システムによって,入室制限が行われている。第1ゾーンは,入退室管理システムでの入室制限を行っていない。第2ゾーンには全社員が,第3,4ゾーンには許可された社員だけが入ることができる。社員は,非接触型ICカードである社員カードを所持している。社員カードを部屋の入り口に設置されたCRにかざすと,社員カード内に記録されたIDによって入室の可否が判断される。入室が許可されるとドアが解錠される。
A社では,ノートPC(以下,NPC という)を全社員に貸与している。オフィスの執務エリアは,間仕切りのない設計になっている。会議室は執務エリアと同じ第2ゾーンに含まれる。執務エリアには,3台の複合機が設置され,複数の課で共有している。執務エリア内で社員が使用する机には鍵付きのサイドキャビネットがあり,個人が管理する書類や外出及び帰宅時のNPCの保管などに使用されている。
資料保管室とサーバ室は執務エリアと間仕切りされ,入室を許可された社員だけが使用できる。受付エリアの右手奥にロッカー室があり,鍵付きの個人用ロッカーが全社員分設置されている。
非接触型ICカードでは,カード内に埋め込まれた a が,CRが発信する b を電気に変換し,その電気を利用してICカード内のプログラムを動作させ,CRとの間で無線通信を行う。複合機は,情報機器や情報システムなどのITセキュリティを評価するための基準を定めた規格である c に基づく認証を取得している製品である。
物理的対策を中心としたオフィスのセキュリティの見直しを決定した情報セキュリティ委員会は,システム部の情報セキュリティリーダであるB主任を,担当者に指名した。B主任は,見直し案を作成するために,現状の問題点の洗い出しと改善策の立案支援を,情報セキュリティ会社のC社に依頼した。
〔現状の問題点〕
C社のコンサルタントであるD氏は,オフィスの現状を調査し,四つの項目に関する六つの問題点をB主任に報告した。D氏が指摘した問題点を表1に示す。
| 項番 | 項目 | 問題点 |
| 1 | 入退室管理について | 共連れでの入室が散見される。 |
| 2 | 来訪者の執務エリア内などでの単独行動が散見される。 | |
| 3 | 複合機の運用について | 個人データが印刷された書類が複合機に放置されていることがある。 |
| 4 | 執務エリア内への私物の持込みについて | 多くの社員が,私物を入れた鞄を執務エリア内に持ち込んでいる。 |
| 5 | 紙文書やNPCの管理について | 書類や印刷物などを机の上に放置したままの離席が散見される。 |
| 6 | NPCにログイン後の,操作が可能な状態での離席が散見される。 |
D氏から指摘された問題点について,B主任がD氏と打合せを行ったときの二人の会話を次に示す。
B主任:項番1,2については,どのような対策が有効でしょうか。
D氏:低コストで実現できる項番1の対策としては,CRを入り口側と同様に出口側にも設置して,アンチパスバックを導入することが有効です。アンチパスバックでは,“入室状態になっていない人が退室しようとした場合は解錠しない”という処理が行われます。①そのほかにも,アンチパスバックでは,通行を許可された社員カードをCRにかざしても,利用状況によっては異常と判断して解錠しない場合があります。項番2の対策としては,来訪者を入室させる場合は,入室から退室まで担当者が付き添うようにします。しかし,サーバの保守作業など担当者が付き添えない場合もありますから,サーバコンソールでの操作内容のログ取得などの技術的対策のほかに,②第4ゾーンでは,来訪者の行動を事後に確認できるようにします。
B主任:分かりました。アンチパスバックと来訪者の行動を事後に確認できる設備の導入を検討します。また,来訪者を入室させる場合の対応方法については,情報セキュリティ管理規程に明記するようにします。項番3については,印刷物の放置を禁止していますが徹底できていません。何か良い方策はないでしょうか。
D氏:御社の複合機本体には,社員カードが使用できるICカードリーダを装備できますから,ICカードリーダを装備して,オンデマンド印刷機能を利用することを推奨します。③オンデマンド印刷機能を利用すると,NPCから印刷指示した文書の用紙への印刷は,社員カードを複合機のICカードリーダにかざして認証を受けた後に行われることになります。
B主任:運用方法を検討してみます。項番4については,社員の反対が多く,私物の持込みは禁止できていません。社員に受け入れられる方策はないでしょうか。
D氏:私物の鞄の持込みは禁止し,代わりに d 鞄を貸与して,その中に入れた私物については,持込みを許可するのが良いでしょう。その場合,持込みを禁止する私物の種類や持ち込んだ私物のオフィス内での使用上の禁止事項を,情報セキュリティ管理規程に明記してください。
B主任:なるほど,その方策なら当社でも実施可能ですから,改善策として検討します。項番5,6については,実施すべき内容を情報セキュリティ管理規程に明記して徹底させるようにします。
D氏:それで良いと思います。
B主任は打合せ結果を基に,オフィスの物理的対策を中心とした見直し案をまとめて,情報セキュリティ委員会に報告した。見直し案が承認され,情報セキュリティ管理規程の改定と対策案が実施されることになった。
出典:令和3年度秋期 問1
設問1 本文中の a 〜 c に入れる適切な字句を解答群の中から選び,記号で答えよ。
- CC(Common Criteria)
- ISMS
- JIS Q 15001
- UHFアンテナ
- Wi-Fi電波
- アンテナコイル
- 赤外線
- 電磁波
- ヘリカルアンテナ
解答・解説
解答例
a:カ b:ク c:ア
解説
非接触型ICカードには、ICチップとアンテナコイルが内蔵されており、処理に必要な電力は、リーダ・ライタが発する電磁波から生み出します。
また、ISO/IEC 15408(CC認証)による認証を取得しています。
適切に穴埋めした文章は次の通りです。
非接触型ICカードでは,カード内に埋め込まれた アンテナコイル が,CRが発信する 電磁波 を電気に変換し,その電気を利用してICカード内のプログラムを動作させ,CRとの間で無線通信を行う。複合機は,情報機器や情報システムなどのITセキュリティを評価するための基準を定めた規格である CC(Common Criteria) に基づく認証を取得している製品である。
設問2 表1中の項番5の問題点への対策はクリアデスクと呼ばれるが,項番6の問題点への対策は何と呼ばれているか。10字以内で答えよ。
解答・解説
解答例
クリアスクリーン
解説
「書類や印刷物などを机の上に放置したままの離席が散見される。」への対策は、机上を常に整理整頓することであり、クリアデスクといいます。
「NPCにログイン後の,操作が可能な状態での離席が散見される。」への対策は、離席時に、ログオフするなどして他人が操作できないようにすることであり、クリアスクリーンといいます。
設問3 〔問題点についての打合せ〕について,(1)〜(4)に答えよ。
(1)本文中の下線①について,どのような場合に解錠しないかを,30字以内で答えよ。
解答・解説
解答例
入室状態になっている人が再度入室しようとした場合
解説
「“入室状態になっていない人が退室しようとした場合は解錠しない”という処理が行われます。」との記載があるように、アンチパスバックは、入退室状態を厳密に管理するため、入室状態の人が入室しようとした場合や、入室状態でない人が退室しようとした場合は、解錠されません。
例えば、伴連れで退室(他人が開錠した出口から一緒に退室)した場合に、入室状態のままになってしまうため、再度入室しようとした場合に異常と検知されます。
(2)本文中の下線②について,具体的な対策内容を,25字以内で述べよ。
解答・解説
解答例
監視カメラを設置して、来訪者の行動を記録する。
解説
入室記録を残すなどの対策も考えられますが、監視カメラにより映像として残す方が、より証拠能力が高い対策と言えるでしょう。
(3)本文中の下線③の機能が,表1中の項番3の問題を低減させる対策になる理由を,30字以内で述べよ。
解答・解説
解答例
複合機の側へ行かないと用紙への印刷ができないから
解説
「個人データが印刷された書類が複合機に放置されていることがある。」のは、PCで印刷指示をした後、そのまま取りに行くのを忘れてしまう、という状況が想定されます。
もし、印刷自体が目の前で行われていれば、取り忘れるということはまず考えられないため、そのような状況をつくることが有効な対策と言えます。
(4)本文中の d に入れる適切な字句を,10字以内で答えよ。また,その鞄の貸与によって,禁止された私物の持込みのほかに,低減できる可能性のある不正行為を,15字以内で答えよ。
解答・解説
解答例
d:中が透けて見える
秘密書類の持出し
解説
私物の持ち込みや、重要情報(秘密書類など)の持ち出しを防止する対策としては、セキュリティエリアへの鞄の持ち込みを禁止する(事前に預け入れる)ことが挙げられます。
設問では、持ち込み自体は禁止しておらず、どのような鞄ならよいかを問うものであり、中身が確認可能な透明な鞄であると推測できます。
IPA公開情報
出題趣旨
昨今,オフィス内から秘密情報が記録された情報機器や書類などが不正に持ち出され,秘密情報が漏えいする事案が発生している。秘密情報の漏えいは,企業に甚大な損失を与える可能性がある。 本問では,物理的な情報セキュリティを中心とした対策を題材に,情報機器や書類の不正持出しを防ぐための方策についての理解を問う。
採点講評
問1では,オフィスのセキュリティ対策を題材に,物理的なセキュリティを中心とした具体的な対策内容について出題した。全体として正答率は平均的であった。
設問1のcは,正答率が低かった。Common Criteriaは,情報機器や情報システムの IT セキュリティを評価するための規格なので,覚えておいてほしい。
設問2は,正答率がやや低かった。離席時におけるPCからの情報漏えいリスクを低減するための対策に,クリアスクリーンがある。クリアスクリーンという用語とその概要について覚えておいてほしい。
設問3(4)のdは,正答率が平均的であった。オフィス内への私物の持込みを許可する場合は,持ち込んだ私物が,不正行為に繋がる可能性がない物であることを,周囲の者が判別できるようにする対策が重要であることを理解してほしい。
