ファイナンス、情報通信技術のスキル・アグリゲーション・サイト
【平成27年度秋期 SC 午後Ⅰ 問2】~情報セキュリティスペシャリスト試験(SC)の過去の出題より~
情報処理推進機構(IPA)が実施する情報処理技術者試験の「情報セキュリティスペシャリスト試験」(SC)午後Ⅰ試験・午後Ⅱ試験の過去の出題から、情報セキュリティへの考えを深めていきます。
過去の試験問題の全文と解答例、講評が、 https://www.jitec.ipa.go.jp
試験対策以外にも、情報セキュリティ学習をさらに進めるためのきっかけとなれば、と思います。
問2 特権 ID の管理に関する次の記述を読んで,設問1~3に答えよ。
図1 Y システムの構成
〔調査の実施と対策方針の策定〕
表1 調査結果(概要)
〔要件と実現方式の検討〕
- 要件1 : 委託用特権 ID の使用を作業者だけに限定すること
- 要件2 : 委託用特権 ID を使用した者を特定可能にすること
- 要件3 : 作業対象サーバだけにアクセス可能とすること
- 要件4 : 許可された作業内容と実際に実施された作業内容を突き合わせ,不正な作業を検知可能にすること
検討の結果 N 君は,案2の方が製品の導入が容易であると判断し,案 2による実現方式案をまとめて,L 主任に報告した。実現方式案の概要を表2に示す。
表2 実現方式案の概要
項目 概要 ID の登録
- ・ a が,プログラム K の ID 登録画面において,委託用特権 ID をあらかじめ登 録する。また,作業者の個人 ID をあらかじめ登録する。個人 ID は,ブログラム K にロダインするために付与される。
作業計画の入力と特権 ID の使用申讀
- ・ プログラム K の作業計画入力・委託用特権 ID 使用申蹟画面において,保守實任者が,作業者の個人 ID,作業者氏名,作業期間,作業対象サーバ及び作業内容を入力し,委託用特権 ID の使用を申讀する。
特権 ID の使用許可
- ・ a が,使用申讀を確認した後に 委託用特権 ID の使用許可操作を行う。この操作によって,作業対象サーパでの委託用特権 ID の使用が可能になる。
作業対象サーパヘのログイン
- ・ 作業者は,個人 ID を用いてプログラム K にログインし,作業対象サーパヘの接続要求を行う。
- ・ ブログラム K は,作業者の個人 ID による委託用特権 ID の使用が許可されていることを確認する。確認できた瘍合は,委託用特権 ID とパスワードを用いて作業対象サーパに自動ログインする。
操作履歴の取得
- ・ ブログラム K は,委託用特権 ID による操作履歴を入力コマンドはテキストで,操作画面は動画で記録する。
- ・ 作業対象サーパでの操作履歴は管理用サーバに保存される。保存された操作履歴ヘのアクセスには管理用サーパのシステム管理権限が必要であリ,Y 社内の限られた者だけがアクセスできる。
- ・ 繰作履歴のうち,入力コマンドのテキストは作業対象サーバにも保存される。
作業完了報告
- ・ 作業終了後,ブログラム K の報告画面において,保守責任者が作業完了報告を行う。
特権 ID の使用解除
- ・ a が,作業完了報告を確認した後に,プロクラム K の管理画面において,委託用特権 ID の使用解除操作を行う。
- ・ 使用解除操作を行うと,作業対象サーパでの委託用特権 ID の使用が不可となる。
作業内容の確認
- ・ プロクラム K の機能によって, 操作履歴と委託用特権 ID の使用申請で入力された作業内容を突き合わせ,その結果をレポートに出力する。
- ・ a が, レポートを確認する。
〔実現方式案の要件の確認〕
L 主任は N 君の対策案に対して,要件1と要件3について補足説明を求め,要件2と要件4について問題を指摘した。
要件1について,N 君は,作業者以外は委託用特権 ID を使用できないことを説明し,L 主任の了解を得た。
要件2について,L 主任は,次のように指摘した。
- 指摘1 : 製品 Q の導入だけではこの要件を満たすのに不十分である。
- 指摘2 : ①使用される委託用特権 ID によっては,DB サーパヘアクセスした者を DB サーバ上のアクセスログから特定することができない。
指摘1に対して N 君は,追加対策を検討すると回答した。また,指摘2に対しては,DB サーパ上のアクセスログを利用せずとも,DB サーバヘアクセスした者を特定できることとその理由を回答した。
要件3について, N 君は, b からは c へのアクセスだけを許可するように FW3 の設定を変更することによって,アクセス先を作業対象サーパに限定できると説明し,L 主任の了解を得た。
要件4について,L 主任は,作業者が作業対象サーバ上のアクセスログを書き換えると,作業計画の作業内容以外の操作,つまり不正操作が検知できなくなるのではないかと指摘した。これに対して N 君は,②不正操作を検知できることとその理由を回答した。
〔追加対策の検討〕
N 君は,要件2についての指摘1を踏まえて,次の追加対策を L 主任に提案した。
- ・ ③ S 社におけるプログラム K の個人 ID の管理状況を Y 社が確認する。
- ・ ④ 委託用管理 ID を使った者が特定されることをプログラム K のログイン画面に表示し,作業者に周知させる。
最後に L 主任は,案2を採用すベき理由を再確認した。N 君は,要件を満たすためには製品を適切に運用するための資産管理が必要だが,Y 社の状況においては⑤案1に比べて案2の方が必要な資産管理を実施しやすいと説明した。L 主任は,案2による実現方式案と追加対策を承認した。
〔対策の実施〕
設問1 表2 中の a に入れる適切な字句を,10 字以内で答えよ。
設問 解答例・解答の要点 設問1 a Y 社の管理者
設問2 〔実現方式案の要件の確認〕 について,(1)~(3) に答えよ。
(1) 本文中の 下線① について,DB サーバへアクセスした者を特定することができない委託用特権 ID を 10 字以内で答えよ。また,特定することができない理由を 35 字以内で述べよ。
設問 解答例・解答の要点 設問2 (1) 委託用特権 ID DBMS 操作 ID 理由 業務アプリが DB サーバにアクセスする ID と同じ ID であるから
(2) 本文中の b , c に入れる適切な機器名を答えよ。
設問 解答例・解答の要点 設問2 (2) b S 社 PC5 c 管理用サーバ
(3〉 本文中の 下線② について,不正操作を検知できる理由を 35 字以内で述ベよ。
設問 解答例・解答の要点 設問2 (3) 不正操作の記録が管理用サーバの操作履歴に残るから
設問3 〔追加対策の検討〕 について,(1)~(3) に答えよ。
(1) 本文中の 下線③ について,具体的には何を確認すベきか。35 字以内で述ベよ。
設問 解答例・解答の要点 設問3 (1) 個人 ID が本人以外に使われるおそれがないように管理していること
(2) 本文中の 下線④ には,顧客情報の不正持出し対策として何と呼ばれる効果があるか。効果の名称を “効果” という字句を含めて 5 字以内で答えよ。
設問 解答例・解答の要点 設問3 (2) 抑止効果
(3〉 本文中の 下線⑤ について,案2の方が資産管理を実施しやすい理由を 40 字以内で述ベよ。
設問 解答例・解答の要点 設問3 (3) 委託用 PC にインストールするプログラムの資産管理をせずに済むから
【平成27年度秋期 SC 午後Ⅰ 問2】を公開しました。
情報セキュリティスペシャリスト試験(SC)の過去の出題より
情報セキュリティ・キーワード 2016
ファイナンシャル・プランニング
6つの係数
終価係数 : 元本を一定期間一定利率で複利運用したとき、将来いくら になるかを計算するときに利用します。
現価係数 : 将来の一定期間後に目標のお金を得るために、現在いくら の元本で複利運用を開始すればよいかを計算するときに利用します。
年金終価係数 : 一定期間一定利率で毎年一定金額を複利運用で 積み立て たとき、将来いくら になるかを計算するときに利用します。
年金現価係数 : 元本を一定利率で複利運用しながら、毎年一定金額を一定期間 取り崩し ていくとき、現在いくら の元本で複利運用を開始すればよいかを計算するときに利用します。
減債基金係数 : 将来の一定期間後に目標のお金を得るために、一定利率で一定金額を複利運用で 積み立て るとき、毎年いくら ずつ積み立てればよいかを計算するときに利用します。
資本回収係数 : 元本を一定利率で複利運用しながら、毎年一定金額を一定期間 取り崩し ていくとき、毎年いくら ずつ受け取りができるかを計算するときに利用します。
積み立て&取り崩しモデルプラン
積立金額→年金額の計算 : 年金終価係数、終価係数、資本回収係数を利用して、複利運用で積み立てた資金から、将来取り崩すことのできる年金額を計算します。
年金額→積立金額の計算 : 年金現価係数、現価係数、減債基金係数を利用して、複利運用で将来の年金プランに必要な資金の積立金額を計算します。
