情報セキュリティマネジメント試験の問題を解いてみよう――午前/午後問題の傾向と対策:短期集中! 情報セキュリティマネジメント試験攻略法(2)(1/2 ページ)
「情報セキュリティマネジメント試験」本番に向けた重要ポイントを総ざらいする本連載。第2回では、IPAが公開しているサンプル問題を基に作成した例題を解きながら、本試験の傾向と対策を紹介します。
皆さんこんにちは。現役のSE(System Engineer システムエンジニア)兼ITライターの左門至峰(さもんしほう)です。本連載では、2016年4月から始まる新試験「情報セキュリティマネジメント試験」について詳しく解説していきます。
第1回では、本試験の概要について紹介しました。2回目となる今回は、実際にどんな問題が出されるのかを、サンプル問題を通じて紹介します。前回説明した通り、情報セキュリティマネジメント試験では、午前に4択式の問題が50問、午後に長文問題3問(多肢選択式)が出題されます。午前/午後それぞれの問題を見ていきましょう。
退職する営業担当者の情報漏えいを防ぐには?
さて、それでは早速問題を見てみましょう。次のセキュリティの問題について、対策を考えてみてください。
Q.あなたは中小企業の社長です。退職する営業担当者による情報漏えいが心配です。具体的には、退職時に顧客情報を持ち出して、第三者に販売しないかを心配しています。そのリスクを低減させるために、あなたは何をしますか?
さて、あなたならどうしますか? こういった事例は身近にもあることでしょう(イラストほど軽率な社員はいないかもしれませんが……)。通常、営業担当の社員が退職するときには、社員証やICカードなどを返却させ、顧客管理システムのIDも利用できないようにします。しかし、この対策だけで、この営業担当者による情報漏えい事故は防げるのでしょうか。
この問題の対策は簡単ではありません。営業担当者は、顧客情報を持たないと仕事ができませんので、社内の顧客管理システムにアクセスして顧客情報を閲覧します。そのとき、顧客情報を印刷したり、手帳にメモしたりすることも可能です。場合によっては、電子データで抜き出すことも可能になっています。ですから、もしかすると、退職する前に既に顧客情報を持ち出しているかもしれません。
それでは、解答の選択肢を紹介しましょう。以下の四つの選択肢から、正解だと思うものを選んでください。
選択肢
ア.退職する営業担当者が担当していた顧客情報を、他の営業担当者に引き継ぐ。
イ.退職する営業担当者が担当していた顧客情報を、社内システムから完全に消去する。
ウ.退職する営業担当者に、その営業担当者と締結した機密保持契約書を見せ、その営業担当者がアクセスした顧客情報がログに記録されていることを説明する。
エ.退職する営業担当者のPCのハードディスクは再利用せず、完全に物理破壊する。
情報漏えいと関係のない選択肢が多いなと思った人は、良い勘をお持ちです。四つの選択肢を順に見ていきましょう。
ア.他の営業担当者に顧客情報を引き継いだとしても、退職した社員による情報漏えいのリスクは低減できません。
イ.顧客情報を削除してしまっては、その後、そのお客さまに対する営業活動に支障が出ます。それに、社内システムから削除したとしても、この営業担当者が顧客情報を既に抜き出しているかもしれません。
ウ.正解選択肢です。これは、退職した営業担当者による漏えいを心理面で抑止する方法です。営業担当者に対し、アクセスした顧客情報のログが記録されていることを説明しておきます。加えて、損害賠償条項を含む機密保持契約書を提示します。そうすれば、万が一情報が漏えいした場合に、その営業担当者に損害賠償請求をすることができます。営業担当者は損害賠償請求をされるのを避けようとしますから、情報漏えいを防ぐ効果が期待できるでしょう。
エ.退職する営業担当者のPCを物理破壊することは、退職した社員の漏えい対策とは関係がありません。
以上のように、正解は「ウ」となります。
情報セキュリティマネジメント試験の午後問題
この問題を作るに当たっては、IPA(情報処理推進機構)が公開している情報セキュリティマネジメント試験の午後試験のサンプル問題を参考にしました。サンプル問題には、問題文と設問が7ページにわたって記載されています。問題文では、設問の背景となるA社の業務やシステムの状況が説明されています。設問は全部で6問ですが、全て先ほど紹介した問題のような選択式です。
今回紹介した問題は、サンプル問題の中の設問2を簡略化したものです。問題文は省略してありますが、設問の選択肢はほぼ同じです。このような問題の解き方は二つあります。一つは、ここで説明したように、自分の持っている知識から答えを導く方法です。もう一つは、問題文にあるヒントを見つける方法です。実はこの問題文の前半には、「A社では、顧客情報などの機密情報の漏えいを防ぐ目的で、退職後も一定期間有効な損害賠償条項を含む機密保持契約を全従業員と締結している」という記述があります。本稿では省略しましたが、このヒントを使っても、正解を導けたことでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.