情報セキュリティマネジメント試験情報＆徹底解説

オフィスの物理的セキュリティに関する次の記述を読んで，設問1～3に答えよ。

　F社は従業員数300名の高級家具卸販売会社である。

〔D事業所のレイアウト変更〕
　F社は，今年，通販事業部を新設し，消費者に直接通信販売する新規事業を開始した。通販事業部は，本社から離れた所にある平屋建てのD事業所を卸事業部とともに使用している。D事業所では，卸事業部の人数と通販事業部の人数を合計して40名の従業員が働いている。これまでF社は，個人情報はほとんど取り扱っていなかったが，通信販売事業が順調に拡大し，複合機で印刷した送り状など，顧客の個人情報を大量に取り扱うようになってきた。そこで，通販事業部のN部長は，情報セキュリティを強化するために，オフィスレイアウトの変更を本社の総務部に依頼することにした。
　これまでF社では，D事業所の事業部エリアへの入退室時に何のチェックもしていなかった。そこで，D事業所で働く全ての従業員にICカード機能を備えた従業員証を新たに配布した上で，通販事業部の従業員だけが通販事業部エリアに入退室できるようにした。具体的には，オフィスレイアウトを変更し，通販事業部エリアの出入口に，ICカード認証でドアを解錠するシステム(以下，ICカードドアという)を設置することにした。D事業所の新たなオフィスレイアウトを図1に示す。　D事業所には防犯設備が設置されており，防犯設備操作盤でD事業所の自動ドアの施錠と解錠，及び防犯状態の設定と解除を行うことができる。防犯状態ではD事業所内の侵入検知センサが有効になり，侵入者を検知すると警備会社へ自動通報するように設定されている。防犯設備操作盤は普段は施錠されており，管理職全員に貸与されている鍵で解錠して操作し，操作後は施錠することになっている。D事業所の就業時間は午前9時から午後6時までであり，朝早く出動する従業員も，残業をする従業員もいるが，残業が午後10時を超えることはない。

〔新たなオフィスレイアウトでの業務観察〕
　レイアウト変更の工事が終了し，新たなオフィスレイアウトでの業務が開始された。N部長は，D事業所の情報セキュリティリーダーである通販事業部のW氏に，新たなオフィスレイアウトにおける業務運用に情報セキュリティ上の問題がないかどうかを改めて確認し，問題がある場合は改善の提案をするように指示した。W氏が新たなレイアウトでの業務を観察したところ，表1に示す三つの問題点が発見された。　そこでW氏は，各問題点に対する改善案を自ら検討し，あわせて，業務に日々従事しているD事業所の従業員からも意見を広く募り，それらを取りまとめることにした。表2に，各問題点に対する改善案及びW氏の判断を示す。　W氏が，取りまとめた改善案及び判断をN部長及び関係部署に提示して議論した結果，幾つかの改善策が実施されることになった。

　共連れの改善策を実施してから2週間後，W氏は，効果を検証したいと考え，総務部から1か月間の入退室ログを取り寄せ，①共連れだと思われるログを抽出し，抽出されたログを基に，該当する従業員に共連れをしていないかどうかを確認した。その結果，改善策実施前と比べると件数は減少していたものの，まだ時々共連れが行われていることが分かった。次はN部長とW氏の会話である。

N部長:

まだ共連れが行われているな。②現状のままにするという対応もあるが，他に方法はないだろうか。

W氏:

③アンチパスバックを有効にするように総務部から勧められています。

N部長:

それはいいな。早速総務部に依頼して有効にしておいてくれ。

W氏:

分かりました。加えて，共連れ防止ゲートを導入すれば，更に効果があると思います。

N部長:

でもそれは費用がとても掛かるらしい。共連れによるリスクを考慮すると，そこまではしなくてよい。

W氏:

万が一，個人情報が漏えいした場合に備えて，④個人情報漏えい保険に加入するというのはどうでしょうか。

N部長:

そのような保険があるとは知らなかったよ。保険の件は，アンチパスバックの設定の効果を検証した後に，やはり必要であれば検討することにしよう。

W氏:

分かりました。

N部長:

リスクをゼロにしようとしたら，⑤事業をやめるしかない。事業を行っている限りリスクは付き物だ。

〔防犯設備操作盤の施錠方式の検討〕
　ある日，通販事業部の管理職である課長が退職することになった。次はN部長とW氏の会話である。

N部長:

退職する課長から防犯設備操作盤の鍵を忘れずに返してもらってくれ。

W氏:

分かりました。でも，d1の鍵ですから，鍵店に行けば簡単に合い鍵が作れます。その課長に，合い鍵を作っていないことを確認しますが，d1はセキュリティ強度が高いとはいえないですね。

N部長:

確かにそれはそうだな。そういえば，前に私がいた事業所ではd2を使っていたよ。

W氏:

d2なら，管理職が退職したときには，設定を変えるだけで，その退職者は利用できないようになります。ただ，d2は，情報が他人に漏れたら解錠されてしまいますね。

N部長:

しっかりしていない管理職もいるから採用できないな。知り合いの会社では，d3を使っているという話を聞いたことがある。

W氏:

d1の鍵と違って複製が困難ですね。他にも，d4を使うのはどうでしょう。

N部長:

管理職が必ずしも朝一番で出勤できるとは限らないから，解錠に必要なものを貸与可能なd3の方が都合がいいだろう。

　W氏は，N部長の指示を受け，防犯設備操作盤の錠の変更について総務部と相談することにした。

〔コールセンタの情報セキュリティ対策の検討〕
　通信販売事業における消費者からの問合せ増加に伴い，別の事業所で通販事業部専用のコールセンタを立ち上げることになった。F社従業員の一部を配置転換するとともに，新たに20人のパート又はアルバイトを雇用してコールセンタ要員とする。さらに，新製品の発売などで問合せが増加した際には，臨時で短期間のアルバイトを雇用する。W氏は，N部長に依頼され，コールセンタでの情報セキュリティ対策案(表3)を作成した。　次はN部長とW氏の会話である。

N部長:

脅威は私の想定どおりだ。監視カメラは設置しないのかね。

W氏:

忘れていました。出入口に設置しようと思います。執務室内にも設置しましょうか。

N部長:

働く人が嫌がるかもしれないな。総務部と相談して決めてくれ。コールセンタ要員以外の者が侵入する脅威への対策として，共連れ防止ゲートを設置したらどうだろう。

W氏:

それも検討したのですが，コールセンタの事業所のビルの所有者から設置を断られてしまいました。

N部長:

そうか，それは仕方がないな。これ以外の細かいところは総務部と相談して進めてほしい。また，コールセンタの運用が始まってからも，対策の費用対効果を定期的に確認して改善していってほしい。

W氏:

分かりました。

　その後，W氏と総務部の協力によってコールセンタの情報セキュリティ対策が導入され，無事にコールセンタでの業務が開始された。

設問1

〔新たなオフィスレイアウトでの業務観察〕について，(1)～(3)に答えよ。

(1) 表2中のa～cに入れる適切な字句を，解答群の中から選べ。

本文中のd1～d4に入れる，次の(ⅰ)～(ⅳ)の組合せはどれか。dに関する解答群のうち，適切なものを選べ。

1. RFID認証式の錠
2. シリンダ錠
3. プッシュボタン式の暗証番号錠
4. 指静脈認証錠

表3中のe～hに入れる字句はどれか。解答群のうち，最も適切なものを選べ。