やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

トップ > 情報処理安全確保支援士 > セキュリティ規程の見直し【情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問7】

セキュリティ規程の見直し【情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問7】

情報処理安全確保支援士 情報処理安全確保支援士-午後解説

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「セキュリティ規程の見直し」を取り上げた「情報処理安全確保支援士試験 令和元年度 秋期 午後2問2設問7」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問7

問2 工場のセキュリティに関する次の記述を読んで、設問1〜7に答えよ。

(略)

f:id:aolaniengineer:20200609174459p:plain

f:id:aolaniengineer:20200609174524p:plain

(略)

f:id:aolaniengineer:20200614143626p:plain

(略)

f:id:aolaniengineer:20200614145155p:plain

f:id:aolaniengineer:20200614145235p:plain

(略)

【セキュリティ規程の見直し

 α工場の調査によって複数の課題が見つかったことから、現行のセキュリティ規程には改善すべき点があると考えられた。M部長は、セキュリティ規程の改定の検討をCさんに指示した。

 Cさんは、これまでFA端末をA-NETに接続してきた敬意を踏まえ、セキュリティ規程には次の項目を追加することを考えた。

・各部門は、部門機器及び部門NETを適切に管理・維持するための措置を定める。

・各部門は、部門機器及び部門NETをA-NETに接続するための申請を行う前に、当該接続についてリスクアセスメントを実施する。

・システム部は、各部門が上記の作業を行う際に、これを支援する。

図4中の工場LAN、標準PC及びFA端末、並びに図5中の事務LAN、F-NET、センサNET、標準PC及びFA端末は、図2中のセキュリティ規程に従うと、それぞれどの部門が管理を担うことになるか。
  • 図4 工場LAN:システム部(図2中4「システム部は、A-NETについて、セキュリティ及びその他の不都合が生じないように管理・維持する責任と、そのための権限をもつ」、図4注記1「サーバLAN及び工場LANはA-NETの一部である。ただし、FA端末は部門機器である。」)
  • 図4 標準PC:システム部(図2中1「A社が従業員に貸与する標準PCは、システム部が管理する。」
  • 図4 FA端末:α工場(図4注記1「サーバLAN及び工場LANはA-NETの一部である。ただし、FA端末は部門機器である。」)
  • 図5 事務LAN:システム部(表2「事務などのデスクワークに利用するネットワークであり、A-NETの一部として管理する。主に標準PCやプリンタを接続する。」
  • 図5 F-NET:α工場(表2「α工場において、FA端末、プリンタ、その他の生産設備に関係する機器だけを接続する部門NETである。」
  • 図5 センサNET:α工場(表2「センサNETをこのための部門NETとして新設する。」
  • 図5 標準PC:システム部(表2「事務などのデスクワークに利用するネットワークであり、A-NETの一部として管理する。主に標準PCやプリンタを接続する。」
  • 図5 FA端末:α工場(表2「α工場において、FA端末、プリンタ、その他の生産設備に関係する機器だけを接続する部門NETである。」

 Cさんが項目の追加についてF氏に相談したところ、F氏は、追加する項目に合わせて、図2中の7について⑥申請時に書面に記す事項を追加することを提案した。

⑥について、追加すべき事項を二つ挙げ、本文中の用語を用いて、それぞれ20字以内で具体的に述べよ。:各部門が定めた管理・維持のための措置/リスクアセスメントの結果

 「申請時に書面に記す事項を追加」とあるので、セキュリティ規程の見直しにより、各部門が追加で実施する項目についての結果を示せば良さそうです。

 各部門が追加で実施する項目は、「部門機器及び部門NETを適切に管理・維持するための措置」「部門機器及び部門NETをA-NETに接続するための申請を行う前に、当該接続についてリスクアセスメントを実施」ですので、こららの内容を示します。

 また、Cさんは、APへの接続制限の方法、及び業務用ソフトの脆弱性管理に不備があったことを考慮し、セキュリティに関わる施策の実施及びその効果を定期的に見直すプロセスをセキュリティ規程に明記することを考えた。

 Cさんは、セキュリティ規程の修正案を作成し、M部長に提示した。M部長は修正案を経営会議に提出し承認を得た。

 

【施策の実施

 課題の解決のために検討された施策が実施され、大きな効果が得られた。そこで、α工場以外の工場についても調査が開始された。

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後2問2】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm2_qs.pdf