「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問4/設問3-1」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
* (1) 1.の対策について、【 a 】、【 b 】に入れる適切な字句を、それぞれ答えよ。
公式解答例:
>【 a 】:人事部
>【 b 】:退職日終業時刻
* 解説
退職者のID管理についての運用対策を問う問題です。
【 a 】【 b 】抜粋
#divclass(blackdiv){
1. 退職者の利用者IDの停止及びアクセス権の解除漏れ対策
> 退職者などの人事情報を情報システムと連動させることで、確実に利用者IDの停止とアクセス権の解除は可能になるが、情報システムの改修に時間が掛かるので、当面は運用改善による次の緊急対策を行うこととする。
>>対策:&color(red){【 a 】}からの連絡を受け、運用担当者が利用者IDの停止とアクセス権の解除を、&color(red){【 b 】}後、速やかに行う。
2. インターネットアクセスの情報漏えい対策
> 社内からのインターネットアクセスと比較して、社外での社外持出し用PCからのインターネットアクセスはセキュリティ上のリスクが大きいので、社内からのインターネットアクセスと同様の制限を課すために、次の対策を追加する。
>>対策:社外での社外持出し用PCからのインターネットへのアクセスは【 c 】。
}
** 図4 Q主任の検討結果(抜粋)
ヒント1
>[インシデントの発生]
> ある日P君は、あるプロジェクトの専用フォルダが、その4日前の夜間に、外部から大量にアクセスされていたことに気づき、Q主任に連絡した。Q主任が確認したところ、&bold(){&color(red){1週間前に退職した元従業員の利用者IDが用いられていた}}ことが分かった。
ヒント2
> その利用者IDはまた有効であったので、Q主任は即座にその利用者IDを停止することでVPN接続ができないようにした上、&u(){②証拠を保存するために必要な措置を取り、調査を行った}。当該プロジェクトのプロジェクトマネージャは1か月間の海外出張中で、&bold(){&color(red){利用者IDの停止申請処理をしていなかった}}。
今回のインシデントは、退職した元従業員のIDを停止するルールを設けていたが、プロジェトマネージャが海外出張中のために運用できなかったのが問題です。プロジェトマネージャがいない場合に「運用担当者」が退職者のIDを停止しますが、誰【 a 】からの報告を受けて、【 b 】の後で停止するのでしょうか?退職時の運用ルールを確認してみましょう。
#divclass(blackdiv){
1. 退出する従業員は、所定の退職届用紙に記入・署名・押印した後、所属部門長が確認・押印して人事部に提出する。(人事規定から転載)
2. 所属部門長は、人事部から退職届受理の通知を受けると、退職する従業員のプロジェクト参画状況を確認した上で、該当する各プロジェクトマネージャに通知する。
3. 各プロジェクトマネージャは、速やかに”利用者ID停止・アクセス権解除申請書”を作成・押印し、運用担当者に送付する。
4. 運用担当者は、”利用者ID停止・アクセス権解除申請書”に従って、退職日終業時刻以降に、利用者IDを停止し、アクセス権を解除する。
}
** 退職時の運用ルール
>1.退職者は退職届けを作成
>2.退職者は退職届けを所属部門長に提出
>3.所属部門長は退職届けを人事部に提出
>4.人事部から所属部門長に退職届け受理の報告
>5.所属部門長は退職者の参加しているプロジェクトを確認
>6.退職者の参加しているプロジェクトの各プロジェトマネージャに通知
>7.各プロジェクトマネージャは退職者のID停止の手続きを取り、運用担当者に送付
>8.運用担当者は退職日終業時刻以降に退職者のIDを停止
今回はプロジェクトマネージャが海外出張のため7の手順が止まってしまいました。
プロジェクトマネージャの変わりとなるのは、34に登場する「人事部」か、2~5に登場する「所属部門長」で【 a 】の公式解答例は「人事部」です。
どちらでも点数は貰えるかもしれませんが、運用担当者への連絡ですので感覚的に「人事部」がふさわしいのではと思います。
残るBですが、管理人はうっかり「退職する従業員のプロジェクト参画状況を確認」としてしまいました。
公式解答例は「退職日終業時刻」です。終業時刻以前に停止してしまったら業務に差支えがあるので当然ですね。
[[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問4#設問3]]
* (1) 1.の対策について、【 a 】、【 b 】に入れる適切な字句を、それぞれ答えよ。
公式解答例:
>【 a 】:人事部
>【 b 】:退職日終業時刻
* 解説
退職者のID管理に関する問題です。
【 a 】【 b 】抜粋
#divclass(blackdiv){
1. 退職者の利用者IDの停止及びアクセス権の解除漏れ対策
> 退職者などの人事情報を情報システムと連動させることで、確実に利用者IDの停止とアクセス権の解除は可能になるが、情報システムの改修に時間が掛かるので、当面は運用改善による次の緊急対策を行うこととする。
>>対策:&color(red){【 a 】}からの連絡を受け、運用担当者が利用者IDの停止とアクセス権の解除を、&color(red){【 b 】}後、速やかに行う。
2. インターネットアクセスの情報漏えい対策
> 社内からのインターネットアクセスと比較して、社外での社外持出し用PCからのインターネットアクセスはセキュリティ上のリスクが大きいので、社内からのインターネットアクセスと同様の制限を課すために、次の対策を追加する。
>>対策:社外での社外持出し用PCからのインターネットへのアクセスは【 c 】。
}
** 図4 Q主任の検討結果(抜粋)
ヒント1
>[インシデントの発生]
> ある日P君は、あるプロジェクトの専用フォルダが、その4日前の夜間に、外部から大量にアクセスされていたことに気づき、Q主任に連絡した。Q主任が確認したところ、&bold(){&color(red){1週間前に退職した元従業員の利用者IDが用いられていた}}ことが分かった。
ヒント2
> その利用者IDはまた有効であったので、Q主任は即座にその利用者IDを停止することでVPN接続ができないようにした上、&u(){②証拠を保存するために必要な措置を取り、調査を行った}。当該プロジェクトのプロジェクトマネージャは1か月間の海外出張中で、&bold(){&color(red){利用者IDの停止申請処理をしていなかった}}。
今回のインシデントは、退職した元従業員のIDを停止するルールを設けていたが、プロジェトマネージャが海外出張中のために運用できなかったのが問題です。プロジェトマネージャがいない場合に「運用担当者」が退職者のIDを停止しますが、誰【 a 】からの報告を受けて、【 b 】の後で停止するのでしょうか?退職時の運用ルールを確認してみましょう。
#divclass(blackdiv){
1. 退出する従業員は、所定の退職届用紙に記入・署名・押印した後、所属部門長が確認・押印して人事部に提出する。(人事規定から転載)
2. 所属部門長は、人事部から退職届受理の通知を受けると、退職する従業員のプロジェクト参画状況を確認した上で、該当する各プロジェクトマネージャに通知する。
3. 各プロジェクトマネージャは、速やかに”利用者ID停止・アクセス権解除申請書”を作成・押印し、運用担当者に送付する。
4. 運用担当者は、”利用者ID停止・アクセス権解除申請書”に従って、退職日終業時刻以降に、利用者IDを停止し、アクセス権を解除する。
}
** 退職時の運用ルール
>1.退職者は退職届けを作成
>2.退職者は退職届けを所属部門長に提出
>3.所属部門長は退職届けを人事部に提出
>4.人事部から所属部門長に退職届け受理の報告
>5.所属部門長は退職者の参加しているプロジェクトを確認
>6.退職者の参加しているプロジェクトの各プロジェトマネージャに通知
>7.各プロジェクトマネージャは退職者のID停止の手続きを取り、運用担当者に送付
>8.運用担当者は退職日終業時刻以降に退職者のIDを停止
今回はプロジェクトマネージャが海外出張のため7の手順が止まってしまいました。
プロジェクトマネージャの変わりとなるのは、34に登場する「人事部」か、2~5に登場する「所属部門長」で【 a 】の公式解答例は「人事部」です。
どちらでも点数は貰えるかもしれませんが、運用担当者への連絡ですので感覚的に「人事部」がふさわしいのではと思います。
残るBですが、管理人はうっかり「退職する従業員のプロジェクト参画状況を確認」としてしまいました。
公式解答例は「退職日終業時刻」です。終業時刻以前に停止してしまったら業務に差支えがあるので当然ですね。
[[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問4#設問3]]
