問3
情報セキュリティポリシに関する次の記述を読んで,設問1〜3に答えよ。
K社は,法人向けのパッケージソフトウェア販売会社である。役員を含めた全社員に対し一人1台のパソコンを配置し,業務に使用している。社内LANを整備したとき,すべてのパソコンを社内LANに接続した。
その後,社内LANのインターネット接続を検討した際に,営業員から“ほとんどの客先に電子メールが普及しているので,提案書や見積りなどのやり取りに電子メールを使用したい”という要望が強く挙がった。社長も,売上の拡大には顧客とのコミュニケーションが重要であると考え,電子メールをその手段として活用するために,インターネット接続と同時に全社員に電子羊一ルアカウントを付与することにした。
社長は,同時に,不正アクセスやデータ漏えいなどが発生しないように情報セキュリティに関する基本方針を自ら定め,情報システム部長に,情報セキュリティポリシ案を策定するように指示した。
〔情報セキュリティポリシ〕
社長の指示に基づき,情報システム部長は,次のように情報セキュリティポリシの枠組みを定めた。
(1) “情報セキュリティポリシ”の階層は,次の図のとおりとする。
社長は,“情報セキュリティ基本方針”を次の文書にまとめた。
情報セキュリティ基本方針
情報セキュリティポリシ
セキュリティスタンダード ↓
セキュリティ規定 ↓見直し,改訂又は作成
関連する規定,手続書,マニュアルなど 図 情報セキュリティポリシの階層構造
(2) 情報セキュリティ対策を講じる上で,その前提として決められていなければならない基本的な指針を“セキュリティスタンダード”と呼ぶ。例えば,情報のオーナシップを明確にし,その情報を重要度に従って区分することなどが含まれる。 (3) “セキュリティスタンダード”に基づいて,それぞれの利用システムごとにユーザが守るべき情報セキュリティに関する基本事項を,“セキュリティ規定”として定める。 (4) “情報セキュリティポリシ”に従って,関連する規定,手続書,マニュアルなどを見直す。
| 社員各位
1999年×月×日
社長 昨今,機密情報の漏えい,プライバシ侵害などの問題がクローズアップされているが,当社において万が一にもこのような状況が発生してはならない。そこで,当社が情報セキュリティを重視することをここに明確に示すものである。 (1)会社は,機密度,重要度に基づく相応の情報セキュリティ対策を講じ,技術の進展に合わせて最善の方策を追求する。
当面,情報セキュリティに関する主管部署を情報システム部とするので,会社が定める情報セキュリティポリシ及び情報セキュリティ一般に関する疑問点については,情報システム部に問い合わせ,理解に努めること。 以上
|
情報システム部長は,“セキュリティスタンダード”に続いて,電子メールに関する“セキュリティ規定”をまとめた。電子メールに関する“セキュリティ規定”の内容の抜粋は,表のとおりである。
|
|
|
| 【10.電子メールアカウント】 | |
|
|
会社は,全社員に電子メールアカウントを付与する。 |
|
|
社員は,電子メールアカウント付与時に通知されたパスワードを初回使用時に変更しなければならない。 |
|
|
社員は,パスワードを毎月変更し,個人の責任において管理しなければならない。 |
| 【20.電子メールの使用】 | |
|
|
社員は,会社の機密に属する重要情報を電子メールで送信する場合,暗号化しなければならない。 |
|
|
社員は,社外に対して許可なく会社の機密に属する情報を送信してはならない。 |
|
|
社員が顧客との間の営業折衝に使用する電子メールは,証跡として6か月間保存しなければならない。 |
| 【30.プライバシ】 | |
|
|
社員は,電子メールで社員,顧客,その他の者のプライバシ情報を送信してはならない。 |
|
|
会社は,監査などの目的で電子メールの使用状況及び内容を閲覧する場合がある。 |
| 【40.ウイルス対策】 | |
|
|
社員は,指定されたアンチウイルス製品を必ず常駐監視状態で使用しなければならない。 |
|
|
社員は,ウイルスが検出された場合,直ちにシステム管理者に報告し,指示に従わなければならない。 |
| 【50.バックアップ】 | |
|
|
社員は,送受信したメッセージがシステム上のトラブルなどで棄損した場合に備え,自らの責任において必要なメッセージのバックアップをとらなければならない。 |
なお,このセキュリティ規定とは別に電子メール使用マニュアルを作成し,全社員に配布している、内容は,メールソフトウェアの設定や送受信の操作に関する記述が中心である。
〔電子メールの運用状況〕
運用開始後の半年間に,次のような状況が発生していた。
| (a) | 営業員は,新商品の案内,セミナの案内,関連情報の通知などに頻繁に電子メールを使用している。これらの送信先の顧客には,他の営業員の顧客も含めている。
電子メールは,送信先に複数の顧客を併記する形式で送信している。電子メールの使用を開始した直後から,送信した電子メールに関して,顧客から幾つかのクレームが寄せられた。 |
| (b) | 営業員が営業部長あてに社内文書を電子メールで送信したところ,CC(写し送信先)に顧客が指定されており,社内文書が外部に流れたことがあった。また,電話で受けた見積依頼に電子メールで返信したところ,送信先違いで別の顧客に送信したこともあった。 |
| (c) | ある社員が受信した電子メールの添付ファイルを開こうとしたとき,ウイルス検出の警告メッセージが表示された。この社員は,すぐにシステム管理者に報告した。 |
設問1
K社の“セキュリティスタンダード”において,一般的にどのような項目が定められるべきか。〔情報セキュリティポリシ〕の(2)に挙げられた項目以外に二つ挙げ,それぞれ30字以内で述べよ。
設問2
〔電子メールの運用状況〕から判断して,次の問いに答えよ。
| (1) | (a)のクレームの内容として,(b)のほかに想定される事項を二つ挙げ,それぞれ40字以内で述べよ。 |
| (2) | (a),(b)の対策として,表中に挙げられている内容以外に規定すべきものは何か。それぞれの状況ごとに,30字以内で述べよ。 |
設問3
〔電子メールの運用状況〕の(c)において,報告を受けたシステム管理者がとるべき行動について,次の問いに答えよ。
| (1) | 状況を把握するために,ユーザから報告させるべき事項を,50字以内で述べよ。 |
| (2) | アンチウイルスソフトウェアのベンダに対して確認,依頼すべき事項を,50字以内で述べよ。 |
解答例(TACへリンク)