応用情報技術者試験の令和2年度 10月試験 問1:セキュリティについて解説を行っていきます。
情報処理試験は通常春季と秋季の年2回開催ですが、令和2年度は某ウイルスの影響で春季試験が10月に延期されての開催となりました。
秋季試験は11月に開催予定でしたが、会場の確保の観点などから中止となり、令和3年度の春季試験にずれる形となりました。
このため、令和2年度は年1回しか開催されていませんので、春季・秋季という名称ではなく10月試験という名称が使用されています。
出題テーマ:情報漏えい対策
出題テーマは『情報漏えい対策』です。
主にUSBメモリやメールに添付したファイルの持出しについて出題されています。
出題されている内容としては技術的というよりも、どういう管理規定を設定するか、どのように管理規定を守らせるかという点で出題されている問題が多く、1、2問は知識がないと解答することができない問題も出題されていましたが、基本的には問題文中のヒントから解答することができる国語の問題であったかと思います。
設問1


まずは【a】について考えていきます。
皆さんが勤務している会社や取引先の会社の資料の右上などに『社外秘』であったり『関係者限り』といった情報区分を見たことはないでしょうか。
【a】ではこちらの情報区分について問われていますので、選択肢の中で該当しそうなものは『オ:秘密』であると解答することができます。
次に【b】について考えていきます。
ユーザにシステムの操作などの制限する際に用いられるのは割り当てる『権限』を設定して制限を行います。
サーバやシステムなどよく用いられる権限は設定変更やステータスの確認を行うことができる『管理者権限』とステータスの確認しか行えない『ユーザ権限』が挙げられます。
よって、選択肢の中で該当するものとしては『イ:権限』と解答することができます。
設問2 (1)

デバイス制御機能は、デバイスを管理して管理されているデバイスなら接続を許可し、管理外や管理していても接続を拒否するデバイスが接続されてもPC側で拒否や認識しないというような仕組みのことです。
会社が管理している持出し用のUSBは接続を許可し、社員の私物のUSBは接続を拒否するというようなことを行うことができます。
よって解答例としては、『許可されている可搬型記憶媒体以外の接続を拒否する方法(26文字)』と解答することができます。
デバイス制御について知っていれば即答することができたかと思いますが、個人的にはあまり有名な用語ではないかと思います。
その場合は、皆さんがお勤めの会社でもUSBメモリの接続されても認識されないようする仕組みが導入されているかなど、自分の会社はどうだったかな、あの案件ではどうだったかなと思い返してみると案外答えになるものが隠れているかもしれません。
設問2 (2)

先程の可搬型記憶媒体へ情報持ち出す際は上長に承認を得る必要がありました。
メールに関しても、社外に持ち出す行為ですので、上長の承認制にすべきではというように考えることができます。
ということで解答としては『ア:あらかじめ指定された上司に通知し、上司の承認後に送信する。』と解答することができます。
正解の選択肢以外を見ても対策が行えそうなものはありません。
こちらも会社でよく行なわれている管理方法かと思いますので、お勤めの会社や取引先の会社がどうだったか思い返してみましょう。
メールに直接添付をして送信する場合は、上長に承認を得ることや上長をccに入れること、メールに添付することは禁止でファイル共有ソフトを利用しなければいけないなどもあるかと思います。
設問2 (3)

重要な部分として、

『ホワイトリストへの登録は、情報セキュリティ委員会による認定後に情報システム部が行う。』とあります。
つまり、ホワイトリストへ登録するためには情報セキュリティ委員会の認定が必要ということですので、認定してもらうようにを申請すればよいと考えることができます。
よって解答例としては『利用したいWebサイトの認定を申請する。(20文字)』と解答することができます。
設問3 (1)

この問題は知識が必要となる問題です。
ログやアーカイブなどによって法的証拠を明らかにすることを『ディジタルフォレンジックス(13文字)』と呼びます。
ディジタルフォレンジックスは午前問題でも出題されるキーワードですので、わからなかった方はこの機会に覚えておきましょう。
設問3 (2)


重要な部分として、

『プロキシサーバでは、利用者認証は行っていない。』とあります。
わざわざこんなことを書く必要はないのですが、ご丁寧にも書いてくれていますので、しっかりと利用してあげましょう。
ということで解答例としては『利用者認証(5文字)』と解答することができます。
利用者認証を行えば、認証を行ったユーザIDは記録されますので、『作業者のID』を記録し特定することができると考えられます。
設問3 (3)


社内に告知する内容としては、『(a)PCは管理システムの導入、(b)メール管理システムの未使用機能の有効化、(c)プロキシサーバのURLフィルタリングの稼働と設定の見直し、(d)ログの取得と監視』の4点です。
これらを告知するということは、お店などに『防犯カメラ作動中』を掲示することと同様の意味合いです。
情報を持出したりする不正行為を行おうとしても、ロギングされていますので犯行した証拠が残り、ユーザIDなどから犯行を行った人物まで特定することができます。
これらのことを社内に告知することで、犯行を行ったことを隠したりすことはできないし、特定されるならやめておこうと犯行を抑制させることができます。
よって解答例としては『不正を行った証拠が残り、行った人物を特定されるとわかるため(30文字)』と回答することができます。
公式解答例との比較・予想配点
1、2問は知識がないと解答することが難しいかったかもしれませんが、全体的に問題文中のヒントから解答することができる国語の問題であったかと思います。
知識が必要となる問題も午前問題を勉強していれば解答することができたかもしれませんので、今回の問題は比較的簡単だったのではないでしょうか。
配点 |
|||
設問1 | a:オ b:イ |
a:オ b:イ |
各2点 |
設問2 (1) | 許可されている可搬型記憶媒体以外の接続を拒否する方法(26文字) | 許可されていない可搬型記憶媒体のPCへの接続を拒否する。 | 2点 |
設問2 (2) | ア | ア | 2点 |
設問2 (3) | 利用したいWebサイトの認定を申請する。(20文字) | 利用したいWebサイトの認定申請 | 2点 |
設問3 (1) | ディジタルフォレンジックス(13文字) | ディジタルフォレンジックス | 3点 |
設問3 (2) | 利用者認証(5文字) | 利用者認証 | 2点 |
設問3 (3) | 不正を行った証拠が残り、行った人物まで特定されると分かるため(30文字) | 情報を不正に社外に持ち出すのが難しいと分かるから 不正を隠し通せないことが分かるから |
3点 |
引用元
問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。