基本情報技術者試験の過去問と解説
[TOP] [午前分野別] [午後分野別] [キーワード索引] [令和元年秋午前] [令和元年秋午後]

平成26年 春期 基本情報技術者 午後 問01
問01   必須問題

問1 情報資産についてのリスクアセスメントに関する次の記述を読んで, 設問1〜3に答えよ。

 Z社は,従業員数が 500 の中堅 SI ベンダである。Z社では,プロジェクト開始前に, プロジェクトで扱う情報資産について,図1に示す自社で定めた手順に従って, リスクアセスメントを実施している。このたび,新規に受注したプロジェクトYに対して, リスクアセスメントを実施することになった。

図1 Z社のリスクアセスメントの手順

〔プロジェクトYの説明(抜粋)〕

(1) 顧客が利用する購買システムを開発する。

(2) 開発で利用するテストデータは顧客から提供される。

(3) 顧客のテストデータを格納した顧客の USB メモリを,プロジェクトメンバが 顧客から受け取って自社に持ち帰り,顧客のテストデータを開発用サーバに複写後, USB メモリから削除する。

(4) Z社から顧客の事務所を訪問するのに,電車で1時間 30 分ほど要する。

(5) 開発用 PC でプログラムを開発し,適宜,開発用サーバにアップロードする。

〔Z社の開発環境(抜粋)〕

(1) プログラムの開発には,開発用サーバと開発用 PC を利用する。

(2) 開発用サーバは,施錠されたサーバルームに設置されている。

(3) 開発用サーバは,アクセス管理がされており,プロジェクトメンバと システム管理者だけがアクセスできる。

(4) 開発用 PC は,プロジェクト開始時にシステム部から各プロジェクトメンバに貸与され, プロジェクト終了時に返却される。

〔Z社の開発標準(抜粋)〕

(1) 開発時,プロジェクトメンバは顧客のテストデータのうち必要なものだけを, 開発用サーバから自分の開発用PCにダウンロードし,不要になったら削除する。

(2) プロジェクト終了時に,プロジェクトマネージャは開発用サーバの顧客のテストデータを 削除し,全ての開発用PCから顧客のテストデータが削除されていることを確認する。

〔Z社のリスク値算出方法〕

 Z社では,各情報資産のリスク値を,次の式で算出する。

リスク値 = 情報資産の価値 × 脅威 × 脆弱性  ここで,“情報資産の価値”とは情報資産が損なわれたときの影響の大きさを意味し, 機密性(以下,Cという),完全性(以下,Iという),可用性(以下,Aという)の 観点に対して,影響の大きさをそれぞれ1〜3の値で評価する。“脅威”は , 発生の可能性の大きさを1〜3の値で評価する。“脆弱性”は,脅威が発生した場合に 被害が顕在化する度合いの大きさを1〜3の値で評価する。ここで,各1〜3の値は 大きい場合を3,小さい場合を1とする。

 C,I,Aごとに算出したリスク値が全て 12 以下ならばリスクを受容し, そうでないならば追加のリスク対策を実施することにしている。

〔リスクの特定〕

@ 情報資産の洗出し

 プロジェクトYで扱う情報資産の洗出しを行った。その結果を,表1に示す。

表1 情報資産の洗出し

A 情報資産の価値の数値化

表1の各情報資産に対して,C,I,Aのそれぞれについてその価値を評価した値と 評価理由を,表2に示す。

表2 情報資産の価値と評価理由

B 脅威の数値化

 表2の情報資産のうち,情報資産 No.4 (顧客のテストデータ)について, 脅威の内容と脅威の値を,表3に示す。

表3 情報資産 No 4 の脅威の内容と値

C 脅威に対する脆弱性の数値化

 表3の各脅威に対する脆弱性の低減策と脆弱性の値を,表4に示す。脆弱性の値は, システム,規則又は運用で,二つ以上対策済みなら1,一つだけなら2,未対策は3とする。

表4 表3の脅威に対する脆弱性の低減策と値

〔リスクの分析評価〕

 表2〜4を基に情報資産 No.4(顧客のテストデータ)のリスクの分析評価を行い, リスク値を算出した結果を,表5に示す。

表5 情報資産 No.4 のリスク値

 プロジェクトYのプロジェクトマネージャは,リスクの分析評価の結果からリスク対応計画を 作成した。その後, リスク対策を実施した。

設問1 表2中の(ii),(iii)は,C,I,Aのいずれかの観点から“情報資産の価値”を 評価した際の評価理由である。(ii),(iii)に対応する C,I,A の組合せとして適切な答えを, 解答群の中から選べ。

解答群

      (ii)        (iii)    
 ア       
 イ   
 ウ   
 エ   
 オ   
 カ   
解答 ←クリックすると正解が表示されます

基本情報技術者試験


設問2 情報資産 No.4(顧客のテストデータ)に対するリスクの分析評価の結果, 追加のリスク対策が必要になる脅威の数として正しい答えを,解答群の中から選べ。

解答群

ア 1        イ 2        ウ 3        エ 4

解答 ←クリックすると正解が表示されます

基本情報技術者試験


設問3 社内でのセキュリティ事故の発生と対策に関する次の 記述中の に入れる適切な答えを,解答群の中から選べ。

 プロジェクトYの終了後,新たに発足したプロジェクトXで利用している開発用 PC に, プロジェクトYの顧客のテストデータが格納されている,とシステム部に連絡があった。 調査した結果,この PC は,プロジェクトYで利用していた開発用 PC であり, システム部に返却された後に,システム部からプロジェクトXに貸与されたものであることが 判明した。そこで,Z社では,顧客のテストデータの漏えいというリスクに対処するために, という対策を 追加することにした。

解答群

ア 開発用サーバのアクセスログをシステム部が定期的に確認する

イ 顧客のテストデータを開発用 PC にダウンロードして利用する場合は, 管理台帳にダウンロード日,削除日,実施者を記入する

ウ 顧客のテストデータを開発用 PC に保存する際に,警告メッセージが表示されるようにする

エ プロジェクトごとに新たに開発用サーバを用意する

オ プロジェクトメンバが開発用サーバ上の顧客のテストデータにアクセスする権限を 参照だけに設定する

カ 返却された開発用 PC は,システム部が全データを完全消去する工程を追加する

解答 a ←クリックすると正解が表示されます

解答 b ←クリックすると正解が表示されます


[←前の問題] [次の問題→] [問題一覧表] [分野別] [基本情報技術者試験TOP ]