情報処理安全確保支援士試験 令和3年度 秋期 午後1 問2
【出典:情報処理安全確保支援士試験 令和3年度 秋期 午後1 問2(一部、加工あり)】
問2 システム開発での情報漏えい対策に関する次の記述を読んで、設問1〜3に答えよ。
R社は従業員500名の情報サービス事業者である。営業部門、システム開発部門及び管理部門があり、管理部門内の情報システム部が社内の情報システムを管理している。システム開発部門の従業員は、一つ以上のシステム開発プロジェクト(以下、プロジェクトという)に参加している。
同業他社でのシステム開発において、情報漏えいが発生したことから、情報システム部のK部長は部下のZ主任に、プロジェクトにおいて秘密として扱われている設計文書(以下、設計秘密という)の管理について、問題がないか調査するように指示した。
[設計秘密の管理]
R社の規則では、設計秘密は次のように管理することになっている。
- 設計秘密は、R社指定の文書作成ソフトウェア(以下、Wソフトという)を使ってPC上で作成及び暗号化を行い、R社のネットワーク内のファイルサーバだけに保管する。ファイルサーバでは、プロジェクト単位にディレクトリを分け、各ディレクトリにはプロジェクトメンバだけがアクセスできるように、各プロジェクトのマネージャがアクセス権限を設定する。
- Wソフトでは、パスワードを基に256ビットの鍵が生成され、その鍵を使って、ファイルがAESで暗号化される。ファイルを開くときには、パスワードの入力が求められる。設計秘密には、プロジェクト単位のパスワード(以下、Pパスワードという)を使用する。
- プロジェクトごとに、協力会社のT社と秘密保持契約を結び、設計秘密を共有する。設計秘密は、T社内でもR社と同様の設備に保管し、アクセス権限を設定する。
- R社とT社の間で設計秘密をやり取りする際には、Webブラウザからクラウドストレージサービスを利用する。R社は、このクラウドストレージサービスでは、プロジェクト単位にディレクトリを分け、各ディレクトリにはR社とT社のプロジェクトメンバだけがアクセスできるようにアクセス権限を設定する。
- プロジェクトを離任する者が出た場合には、ファイルサーバとクラウドストレージサービスに保管しているプロジェクトの設計秘密に対して、離任者がアクセスできないようにする。
[管理についての問題]
Z主任が、各プロジェクトのマネージャに、設計秘密の管理についてヒアリングしたところ、表1に示す問題があることが分かった。
a:Pパスワードの変更
「プロジェクト離任者が出た場合、Pパスワードが設定されている全てのファイルに対して(a)を行う必要があり、作業負荷が高い。」
設計秘密の管理については、「設計秘密は、R社指定の文書作成ソフトウェア(以下、Wソフトという)を使ってPC上で作成及び暗号化を行い、R社のネットワーク内のファイルサーバだけに保管する。ファイルサーバでは、プロジェクト単位にディレクトリを分け、各ディレクトリにはプロジェクトメンバだけがアクセスできるように、各プロジェクトのマネージャがアクセス権限を設定する。」とあるように、ファイルの暗号化と、ディレクトリへのアクセス権限の設定を行っています。
そしてファイルの暗号化については、「ファイルを開くときには、パスワードの入力が求められる。設計秘密には、プロジェクト単位のパスワード(以下、Pパスワードという)を使用する。」とあるようにPパスワードが必要になります。
プロジェクト離任者が出た場合の対応については、「プロジェクトを離任する者が出た場合には、ファイルサーバとクラウドストレージサービスに保管しているプロジェクトの設計秘密に対して、離任者がアクセスできないようにする。」とあり、ディレクトリへのアクセス権限への対応のみを行うと捉えてしまいがちですが、もう一つのファイルの暗号化も併せて対応するのが基本であると考えた方がいいでしょう。
ファイルごとに設定されているPパスワードを変更して離任者がアクセスできないようにしますが、コメントにあるように、この作業は負荷が高いことでしょう。
b:PCにコピー
「プロジェクトメンバが、プロジェクト参加期間中にR社の規則に違反して(b)した設計秘密は、当該メンバであれば離任後も参照できてしまう。」
プロジェクトメンバが守るべき設計秘密に関するR社の規則とは何でしょうか。
それは、「設計秘密は、R社指定の文書作成ソフトウェア(以下、Wソフトという)を使ってPC上で作成及び暗号化を行い、R社のネットワーク内のファイルサーバだけに保管する。」に示された内容になります。
プロジェクトメンバの設計秘密へのアクセスについてはマネージャによりアクセス権限の設定により制御できますが、アクセス後のPC上での閲覧や編集、ファイルサーバへの保管の作業はプロジェクトメンバに委ねられています。
ここで考えられるのが、プロジェクトメンバによって設計秘密をファイルサーバ以外にコピーした場合、マネージャによるアクセス権限が効かなくなってしまうことでしょう。
コピーされた設計秘密は、プロジェクト離任後にファイルサーバへのアクセス権がなくなったとしても、参照することができてしまいます。
設計秘密の保存先としてはPCやUSBメモリなどの媒体が考えられますが、ここは素直にPCにコピーすることを解答としましょう。