情報セキュリティマネジメント試験 平成29年春(2017)午後 ②クラクドサービスを利用した情報システムの導入と運用

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  • クラウドサービスとは
  • クラウドサービスのメリットとデメリット
  • クラウドのサービスの機密性、完全性、可用性を確認する
  • 社内からのアクセスのみログインできるようにする方法
  • 社内でもデータのバックアップを検討する
  • アカウント管理で、注意することは
  • メール配信する場合の注意点



はじめに、架空の会社の X 社の説明

X 社は、従業員数 8,000名の生命保険会社である。本社には、営業本部販売企画課、情報システム部などがあり、また、全国に営業所が設定されている。各営業所には、所長、主任、社内事務を担当する従業員(以下スタッフという)及び営業を担当する従業員(以下、販売員という)がいる。

X 社は、従来、各営業所の担当地域にある企業から許可を得て訪問先の昼休みや就業時間後に、販売員が職場に訪問して、保険の募集活動を行っていた。しかし、近年は、訪問先の情報セキュリティ対策が強化され、許可がなかなか得られず、得られても昼休みに商品案内資料を配布するなど限定的な活動しかできない状況であった。そのため、訪問先の従業員とどのようコンタクトして保険販売につなげていくのかが X 社にとって課題であった。

この状況を打開するために打開策を検討して実施の上、来年3月までに今後の対応案を確定させる H プロジェクトを立ち上げた。その結果、訪問先の従業員のうち、販売員が保険商品の情報提供、広告宣伝などのため、氏名及びメールアドレスを取得できた見込み客に対して、事前に同意を得た上で、電子メールを使ったコンタクトすることが提案され、販売企画課で承認された。メールは一斉配信ではなく、見込み客の家族構成などに応じた保険情報などをつけて個別に送信する。

H プロジェクトでは、今年の 9 月末までに準備を終え 10 月から来年 3 月まで、3 営業所でメールを使ったコンタクトを試行する計画である。準備や教育は原則、販売企画課で行うという条件で 3 営業所に試行の協力を依頼することにした。来年 4 月以降は、試行の結果を評価して順次拡大してゆく計画である。しかし、現在のシステムを改修するのは難しいので、代わりにクラウドサービスを利用することを提案された。

Y 社のクラウドサービス

情報システムは、Y 社のクラウドサービスを推薦した。このサービスは、顧客管理のための標準機能が追加開発なしに利用可能で、更に、カスタマイズ機能として画面表示項目や情報セキュリティ機能などを利用側で設定可能である。H プロジェクトでは、Y 社 SaaS の顧客管理サービスに、X 社の情報セキュリティ対策基準に沿って情報セキュリティ機能を設定し、Y 社 SaaS のメールサービスと連携させて利用することにした。これを販売支援システム( P システム)を名前にし、9 月末までに準備をする案とした。概要は下記に示す。

 P システムのとしての機能の検討

顧客管理のための標準機能が追加開発なしで使えるが、ほかにもいろいろな機能やサービスなど検討してみる

利用上の各種設定、カスタマイズ機能の選択、アカウント管理
サービス利用契約と締結
情報セキュリティ対策
システム障害時の対応
ファイアーフォールの設置
通信ログの監視
サイバー攻撃への対応
サーバーが日本国内にある。
守秘義務の規定

P システムは、オンプレミスのシステムに比べて、 IT 資源を迅速かつ柔軟に利用できる。又、導入までの期間が短いくすることができるというクラウドサービスのメリットがあります。

X 社主任たちは、サービス利用終了時のデータの取扱いや、データ暗号化機能の有無、それにデータセンタにおける入退室管理、管理者特権の管理の状況などから機密性の点も問題ないと判断しました。

P システムは、X 社のグローバル IP アドレスからのアクセスしか受け付けない設定になっているので販売員の自宅 PC などからは直接アクセスできないようになっている。

P システムが全て完璧だとは思わないで、最低限、X 社でも見込み客データのバックアップについての検討は必要だと思います。

この点を考慮して、案を作成し、上司の承認を得ました。

アカウント及び操作権限の管理

X 社の情報セキュリティ対策基準

X 社の情報セキュリティ対策基準など参照して P システムのアカウントの種類を機能の案を下図のようにまとめた

営業所管理者用アカウントに、アカウント管理機能の操作権限が設定されていない。しかし、H プロジェクトでは、事務手続きに関する作業は主に販売企画課で担当することにしたので、販売企画課管理者用アカウントに権限を設定する案にした。

販売企画課では、入退社が不定期な販売員に付与するアカウントは速やかに登録、無効化、権限変更をする必要があります。よって、営業所の所長、又は主任が都度、販売企画課にメールで連絡する

アカウント管理の機能の操作権限で、申請と承認が同一アカウントで行えるようになっている。よって承認だけは、E 主任のみが行えるように変更する。

見込客自らがメールを停止できるようにすることをオプトアウトという。
販売員が販売活動を優先しているうちにオプトアウトの事を忘れてしまったり、見込客からオプトアウトの電話依頼があった場合、見込み客の担当者が不在であったり、見込み客が本社に電話してきた場合でも電話を受けた人がすぐ対応できるようにする必要がある



関連する用語

クラウドサービスのメリット
・サーバーの一部に障害が発生してもネットワーク上の別のサーバーが動作するので障害発生前と
同じ構成でサービスを継続することができる。
・業務量の増加や減少時にも比較的簡単にサーバー台数を増やしたり、減らしたりなどが行える。
・社内にデータを保存しないので、社内にマルウェアが侵入しても情報やデータが外部に漏洩する
危険性も減る。

クラウドサービスのデメリット
色々なデメリットもあると思いますが、大手有名な会社のクラウドサービスを利用すれば、そう心配はいらないと思います。

オプトアウト
オプトアウトはメールの受信者が配信停止依頼などを行い、受信を拒否することを指します。



学習の確認

  • クラウドサービスとは
  • クラウドサービスのメリットとデメリット
  • クラウドのサービスの機密性、完全性、可用性を確認する
  • 社内からのアクセスのみログインできるようにする方法
  • 社内でもデータのバックアップを検討する
  • アカウント管理で、注意することは
  • メール配信する場合の注意点