このエントリーをはてなブックマークに追加

概要

雑貨やアイデア商品の企画・販売会社の話。従業員は100名。

情報漏えい事故の発生と対策の指示

E者の従業員がUSBを持ち帰って紛失するという事故が発生する。そこで、Y課長の登場。

業務情報の持ち出しに関する現状調査

ヒアリングの結果、業務情報を持ち出すケースは「顧客との打ち合わせ」か「自宅での資料作成」のパターンであることを突き詰める。そして「自宅での資料作成」についてはバッサリと禁止。さすがY課長。

Mにおける情報漏えい対策の検討

「顧客との打ち合わせに」についてのリスクの洗い出しをする。ここで(a)の登場。3文字以内で答えろとの指示。暗号化しか浮かばない。下線部2登場。日常業務に利用していると被害が拡大する理由を答えろ。わざわざ「日常業務で利用すると」と聞いている。日常業務で利用する場合としない場合の違いは、自社の情報や他の顧客情報を扱うこと以外に浮かばない。このての問題は専門的な内容ではないので逆に自信をもって回答できないので困る。

ここでZ君が2つの提案をする。1つはシンクライアントの利用でもう1つはWebサーバのディスク領域を利用する案。下線部3登場。Webサーバが不正アクセスされても、業務情報が漏えいするリスクを減らす方法はと聞かれている。ディスクやファイルの暗号化が思い浮かぶ。情報自体が漏えいしても復号できないと意味がない。

(b) (c) が登場。PCを利用しないので盗難、紛失やマルウェアに感染することもない。よって(b)は回避。不正開示のリスクは残るのでリスクを下げる必要がある。よって(c)は低減。

下線部4登場。間違って別の顧客のディスクにアップする可能性があるので、間違ってないか上司に確認してもらえばよい。そして案2に決定。

対策案の見直し

ところが、いきなり部長から在宅勤務も将来的にやるからといわれるY課長。よくある話だが、もっと先に言ってくれと思った。再度リスクの分析をする。下線部5登場。案2ではマルウェアの感染リスクに対応できないとのこと。案1と案2を確認すると専用端末か私有PCの利用の違いがあるので、会社からは私有PCまで管理することが保証できないからという感じで回答した。

関連記事

  1. 平成22年春期 午後1問4(ウイルス駆除及び感染防止)
  2. 平成22年春期 午後1問3 (転職サイトにおける個人情報保護)
  3. 平成22年春期 午後1問2 (データの暗号化とバックアップ)
  4. 平成22年春期 午後2問1 (サーバの情報セキュリティ対策)
  5. 平成23年春期 午後1問4 (Webサイトのセキュリティ対策)
  6. 平成23年春期 午後1問3 (情報漏えい対策)
  7. 平成21年春期 午後1問2 (パケットログ解析)
  8. 平成22年秋期 午後1問3 (Webアプリケーションファイヤーウォールの導入)
  9. 平成23年春期 午後1問2 (ソフトウェア資産管理)
  10. H23午後1問3 プロキシ経由のWebアクセス