サンプル問題 [科目B]問53

 A社は,高級家具を販売する企業である。A社は2年前に消費者に直接通信販売する新規事業を開始した。それまでA社は,個人情報はほとんど取り扱っていなかったが,通信販売事業を開始したことによって,複合機で印刷した送り状など,顧客の個人情報を大量に扱うようになってきた。そのため,オフィス内に通販事業部エリアを設け,個人情報が漏えいしないよう対策した。具体的には,通販事業部エリアの出入口に,ICカード認証でドアを解錠するシステムを設置し,通販事業部の従業員だけが通販事業部エリアに入退室できるようにした。他のエリアはA社の全従業員が自由に利用できるようにしている。図1は,A社のオフィスのレイアウトである。
53.png
 このレイアウトでの業務を観察したところ,通販事業部エリアへの入室時に,A社の従業員同士による共連れが行われているという問題点が発見され,改善案を考えることになった。


設問 改善案として適切なものだけを全て挙げた組合せを,解答群の中から選べ。
  1. ICカードドアに監視カメラを設置し,1年に1回監視カメラの映像をチェックする。
  2. ICカードドアの脇に,共連れのもたらすリスクを知らせる標語を掲示する。
  3. ICカードドアを,AESの暗号方式を用いたものに変更する。
  4. ICカードの認証に加えて指静脈認証も行うようにする。
  5. 正門内側の自動ドアに共連れ防止用のアンチパスバックを導入する。
  6. 通販事業部エリア内では,従業員証を常に見えるところに携帯する。
  7. 共連れを発見した場合は従業員同士で個別に注意する。

  • (一),(二)
  • (一),(四)
  • (一),(五)
  • (二),(三)
  • (二),(七)
  • (三),(六)
  • (三),(七)
  • (四),(六)
  • (五),(六)
  • (五),(七)
正解 問題へ
分野:情報セキュリティマネジメントの計画・要求事項
カテゴリ:情報資産に関する要求事項
解説
共連れとは、入退室管理が行われている区画に入退室する際、正当な認証を受けた人と同時に入退室を行うことで認証をすり抜ける行為です。この問題でいえば、通販事業部エリアが入退室管理エリアとなります。共連れの対策としては以下が代表的です。
  • 1人ずつが通過できるゲートを設置する
  • 監視カメラを設置する
  • 常駐警備員を配置する
  • 矛盾のある入退室行動を制限するアンチパスバック方式を導入する
  1. 誤り。監視カメラの設置は、捕まるリスクを高める対策に該当し、不正行為を抑止する効果が期待できます。しかし、1年に1回の映像確認では監視の実効性は期待できません。
  2. 正しい。共連れが禁止されていることを明確に示し、良心や倫理観に訴えることで、不正行為の正当化をさせない効果が期待できます。"正当化"は不正のトライアングルの一要素なので、これを下げることは不正行為をさせないための対策として適切と言えます。
  3. 誤り。共連れは認証を不正に突破するのではなく"すり抜ける"行為なので、暗号方式の強度を高めても対策とはなりません。
  4. 誤り。共連れは認証を不正に突破するのではなく"すり抜ける"行為なので、二要素認証などの強い認証プロセスに変えても対策とはなりません。
  5. 誤り。アンチパスバックは、セキュリティ区画の出入口で利用者IDごとに入退室の時刻を記録することで、入室(退室)していないはずの人が退室(入室)するなどの矛盾のある入退室を禁止する仕組みです。
    本問において入退室管理を行うべきセキュリティ区画は通販事業部エリアなので、アンチパスバックを導入するなら通販事業部エリアの出入り口に導入するべきです。正門にアンチパスバックを設置しても対策とはなりません。
  6. 誤り。通販事業部の従業員が共連れで入室しても、従業員証を見ただけでは共連れで入室したのか、正当に入室したのかかを判断することができません。よって、対策としては不適切です。
  7. 正しい。監視や通報体制を整備して、不正を働いた場合に見つかるリスクを高めることは、不正を行う"機会"を減らすことに繋がります。よって、共連れを抑止する効果が期待できます。
したがって適切な組合せは「(二),(七)」となります。

Pagetop