情報セキュリティマネジメント試験 平成29年春(2017)午後 ③オフィスの物理的セキュリティに

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  • 施錠方式の種類
  • リスク対応について(リスク回避、リスク移転、リスクの低減、リスクの保有など)
  • 複合機の設置場所での問題点
  • 個人情報が含まれる紙媒体の管理(細断、機密情報区分別の保存し方)
  • 共連れについての対策
  • コールセンターの物理的セキュリティ対策の方法



はじめに、架空の会社 F 社の説明

F 社は、従業員数 300 名の高級家具卸販売会社である。

D 事業所のレイアウト変更

F 社は、今年、通販事業部を新設し、消費者に直接通信販売する新事業部を開始した。通信事業部は、本社から離れた所にある平屋建ての D 事業部を卸事業部とともに使用している。D 事業部では、卸事業部の人数と通販事業部の人数を合計して 40 名の従業員が働いている。これまで F 社は、個人情報はほとんど取り扱っていなかったが、通信販売事業が順調に拡大し、複合機で印刷した送り状など、顧客の個人情報を大量に取り扱うようになってきた。そこで、通販事業部の N 部長は、情報セキュリティを強化するためにオフィスレイアウトの変更を本社の総務部に依頼することにした。
これまで F 社では、D 事業所の事業部エリアへの入退室時に何のチェックもしていなかった。そこで、 D 事業所で働く全ての従業員に IC カード機能を備えた従業員証を新たに配布した上で、通販事業部の従業員だけが通販事業部エリアに入退室できるようにした。具体的には、オフィスレイアウトを変更し、通販事業部エリアの出入口に、IC カード認証でドアを解錠するシステムを設置することにした。D 事業所の新たなオフィスレイアウトを下記に示す。

D 事業所では、午前 9 時から午後 6 時まで、残業も午後を 10 時を超えてはならなく防犯設備の自動ドアの施錠と解錠が管理職全員に貸与され操作できるようになっている。もし、侵入検知センサが侵入を検知したら警備会社に自動通報するように設定されている。

新たなオフィスレイアウトでの業務観察

新たなオフィスレイアウトにおける業務運用に情報セキュリティ上の問題点を確認したら、下記の問題点が発見された。又、改善策も検討した。

問題点 1
共有エリアの複合機で、個人情報を含む文章を印刷した後、その印刷物をそのままに放置している。

  • 現在の複合機に備わっている。文章の印刷を指示した従業員が複合機のところに行って従業員証を使って認証されると印刷が開始される。という機能を有効にする。
  • 複合機を通販事業部エリア内にも設置し、通販事業部の従業員は当該複合機でしか印刷できないようにする。

問題点 2
通販事業部が、ファックスで受信した注文書、商品発送時の送り状の控えなど、個人情報が記録された紙媒体を大量に保有しているが、十分に管理がなされていない。

  • 新たに文書管理システムを導入し、個人情報が記録された紙媒体は、スキャナで電子化して適切に管理する。不要となった紙媒体は細断し廃棄する。
  • 個人情報が記録された紙媒体は、バインダにとじた上で、機密情報であることがわかるようにして機密区分を明示し、キャビネットに施錠保管する。

問題点 3
通販事業部エリアへの入室時に、通販事業部の従業員同士による共連れが行われている。

  • 共連れがもたらすリスクを知らせる標語を作成し、IC カードドアの脇に提示する。
  • 情報セキュリティリーダが共連れを発見した場合は個別に注意する。

共連れについて

総務部から 1 か月間の入退室ログを取り寄せ、1日の入室と退室ログの件数が異なる分を調べたら共連れの件数は減ったが、まだ行われていることが分かった。

とも連れはなかなか直らないが、リスクの保有として現状のままにするということにした。

総務部からは、リスク発生可能性を低減するためにアンチパスバックを有効にする。ということを勧められている。

万が一のことを考え、リスクの共有として、個人情報漏洩保険への加入も検討した。

リスクの保有は、リスクをゼロにしようと思ったらリスクの回避として事業をやめるしかないからですね。

防犯設備操作盤の施錠方式の検討

退職する課長に合鍵を持っていない事を確認しますが、シリンダ鍵は、鍵店にゆけば簡単に作れるのでセキュリティ強度は低いですね。

その点、プッシュボタン式暗唱番号鍵は、設定を変えるだけで退職者が使えなくなるので便利です。しかし、暗唱番号が漏れてしまう。という危険性もあります。

知り合いの会社では、RFID 認証式の鍵を使っているという話がありました。又、指静脈認証式の鍵などもあるようです。

管理職が必ずしも朝一番で、出勤できるとは限らないから、解錠に必要なものを貸与可能なRFID 認証式の鍵の方が都合がいいように思います。

コールセンタの情報セキュリティ対策の検討

通信販売事業部の消費者からの問い合わせ増加に伴い、別事業所で通販事業部専用のコールセンタを立上げることになり、F 社従業員の一部を配置転換するとともに新たに 20 名のパート又は、アルバイトを雇用してコールセンタ要員とし、コールセンターでの情報セキュリティ対策案を作成した。

対策 1
コールセンター要員以外の者が侵入する。

  • ネットストラップ式の入館証をコールセンタ要員に貸与し、着用させる。
  • 出入口に警備員を配置し、入館証のチェックや持ち物チェックを行う。

対策 2
コールセンタ要員が記憶媒体を持ち込み情報を窃取する。

  • 出入口に警備員を配置し、入館証のチェックや持ち物チェックを行う。
  • 出入口の外ロッカーを設置し、私物をそこに預け、業務上必要な物だけを透明バッグに入れて執務室に出入りするようにする。

対策 3
コールセンタ要員がノート PC を盗み出す。

  • 出入口に警備員を配置し、入館証のチェックや持ち物チェックを行う。
  • 出入口の外ロッカーを設置し、私物をそこに預け、業務上必要な物だけを透明バッグに入れて執務室に出入りするようにする。
  • ノート PC をセキュリティケーブルで机に固定する。

ほかにも出入口に監視カメラの設置を行いコールセンターの情報セキュリティ対策も導入され、無事コールセンタでの業務が開始されました。



関連する用語学習の確認

アンチパスバック
入室した時の記録が入室ログに残されていないと、その従業員は退室を認められない措置のこと。

リスクファイナンス
リスクの発生は不可避と考え、リスクによる損失に備えてリスク対策の費用を事前に計上したり、積立金などを設けて損失を補償したり、保険に加入したりすること

RFID 認証式の鍵
RFIDのタグを鍵の中に埋め込んでおき、鍵を装置にかざすと認証が行われる方式




学習の確認

  • 施錠方式の種類
  • リスク対応について(リスク回避、リスク移転、リスクの低減、リスクの保有など)
  • 複合機の設置場所での問題点
  • 個人情報が含まれる紙媒体の管理(細断、機密情報区分別の保存し方)
  • 共連れについての対策
  • コールセンターの物理的セキュリティ対策の方法