情報セキュリティマネジメント試験 平成28年春(2016)午後 ②業務委託におけるアクセス制御

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. A 社、B 社とも利用者 ID を設け、ロールを使って権限設定を行う。
  2. 入力者と承認は同じ人が行えないようにする。
  3. 責任者は、担当する業務の全てを閲覧できるようにする。
  4. システム利用部署の長は、所属する利用者の利用 ID に対するロール設定を情報システムに依頼する。
  5. 権限設定は、情報漏洩リスクが発生しないように権限設定を行う。

はじめに、架空の会社 A 社の説明

A 社は従業員数 200 名の通信販売業者である。一般消費者向けに生活雑貨、ギフト商品などの販売を手掛けており、商品の種類ごとに販売課が編成されている。

Z 販売課の業務

現在、Z 販売課は、商品 Z について顧客からの電子メール又はファックスによる注文及び問合せを受け、その対応を行っている。商品 Z の販売に関わる要因は、販売責任者である Z 販売課 N 課長、及びその管理下に 5 名の担当者、並びに業務委託先の管理者である B 社運用課 L課長、及びその管理課に 8 名の担当者の計 15 名で構成されている。商品 Z 関連要因の業務を下記に示す。

商品 Z 関連要因の業務

B 社は、自社内に A 社からの受託業務専用のオペレーションルームを持ち、そこから A 社の T システムにアクセスしている。B 社は、A 社からの委託業務に必要な設備及び管理体制を整えており、 A
社の定める情報セキュリティ要件を満たしている。

J システム及び T システムの操作権限

Z 販売課では、J システム及び T システムについて、次の利用方針を定めている。
[方針 1] 一人の利用者に、一つの利用者 ID を登録する。
[方針 2] 一つの利用者 ID は、一人の利用者だけが利用する。
[方針 3] ある利用者が入力した情報は、別の利用者が承認する。
[方針 4] 販売責任者は、Z 販売課の全業務の情報を閲覧できる。

J システム及び T システムでは、業務上必要な操作権限を利用者に与えるためにシステム上の役割(以下、ロール)を定義する機能が実装されている。ロールには、業務上必要な操作権限の組合せが付与される。利用者 ID にロールを設定することによって、利用者の操作権限が決まる。一つの利用者 ID にはロールを一つだけ設定する。システム利用部署の長は、所属する利用者の利用者 ID に対するロール設定を情報システム部に依頼する。情報システム部が受けた依頼はシステムに登録され、翌営業日の朝 5 時に自動的にシステムに反映される。
J システム及び T システムにおいて、商品 Z 関連要員の利用者 ID に設定されているロールの種類とその操作権限を下記に表す。

ロールの種類とその操作権限

例えば、N 課長の利用者 ID には、”A 社販売責任者” というロールを設定して、J システムの閲覧及び承認並びに T システムの閲覧の権限を持たせている。

受注管理業務の委託

Z 販売課では、受注管理業務を担当する A 社の従業員の作業量が受注増によって増えていることから、この業務の入力作業を B 社に対して追加で委託することにした。
追加の業務委託で必要となる J システムの操作権限の見直しを、A 社の販売課全体の情報セキュリティリーダを務める販売管理課の M 主任が支援することになった。
M 主任は、受注管理業務における A 社と B 社の役割分担について、Z 販売課の N 課長からヒアリングした内容を次の通り整理した。

[要求 1] B 社が入力した場合は、A 社が承認する。
[要求 2] A 社の担当者が入力した場合は、現状どおりに A 社の販売責任者が承認する。

これに基づき M 主任が作成した新しい操作権限案を次に示します。

新しい操作権限案

N 課長は、販売責任者が自分だけなので業務が停滞することが心配だ。B 社で入力した情報は、A 社の担当者が承認すればいいので “A社販売担当者” ロールに承認権限を追加できないだろうか?

M 主任:承認権限を追加すると、[方針 3]の ある利用者が入力した情報は、別の利用者が承認する。という J システムで利用方針に違反してしまいます。そして、不正に入力された注文が承認されてしまう。というリスクが発生してしまいます。

N 課長:”A 社販売担当者” ロールに承認権限を追加し、その上で利用方針にも含めるようにしたい。例えば、他の利用者 ID によって入力した注文だけを承認できる権限を追加することはできるだろうか?

M 主任:それならば、利用方針は順守できそうです。ただ、システムの改修が必要ですね。
また、A 社の担当者が入力した場合は、現状どおりに A 社の販売責任者が承認する。という場合、”A 社販売員担当者”ロールが複数人いる時、一人が入力いし、別の一人が承認することができるから「要求2」を満たせません。別の案ですが、”B 社 J システム担当者” ロール又は、”B 社管理者” ロールを使って入力された注文だけ承認できる権限を追加するようにシステムを改修するのはどうでしょう。

N 課長:確かに、それなら[要求2]も満たせる。早速、その方針で情報システム部にシステム改修を相談して欲しい。

N課長は:来年度から毎年 2 ,3 回 2 週間ほどの海外出張に出る予定なので誰かに代行してもらう必要が出てくる。この対応も検討したい。方法として、N 課長の上長に代行を依頼し、代行者の利用者 ID を J システム及び T システムに登録して”A 社販売責任者”ロールを設定する。

B 社 L 課長から、一日の中でも問合せ数が少ない時間に、問合せ対応業務の担当者の一部が受注管理ご有無を応援できる運用を希望していたので、あらかじめ担当者を任命して教育が必要です。

承知しました。すぐに B 社に詳細を確認して、必要な操作権限を与える方法を検討します。
必要な操作権限とは、”B 社 T システム担当者” ロールの権限と ” B 社 J システム担当者” ロールの権限を併せ持つ新しいロールを定義し、B 社応援担当者の利用者 ID に設定しておく

B 社担当者の追加及び変更

A 社情報システム部では、社内データベースに格納された情報を閲覧するための情報閲覧システム( D システム)を提供している。D システムで商品 Z 関連要員に付与されている閲覧権限は、表 3 に示す。なお、利用者 ID は、J システム及び T システムと共通である。

表3 商品 Z 関連要員に付与されている閲覧権限

A 社では、D システムの閲覧権限の付与について次の手続きを定めている。

(1)各情報のオーナー部署の長が、閲覧権限を付与する対象者を決める。
(2)情報システム部は、情報のオーナー部署の長の決定に従って D システムの閲覧権限を設定する
(3)利用部署の希望によって閲覧権限を付与する場合は、利用部署の長が、その情報のオーナー部署の長に申請して承認を得る。申請を承認した情報のオーナー部署の長は、情報システム部に対して閲覧権限の付与を依頼する。
(4)利用部署が、業務委託先要員への閲覧権限付与を希望する場合は、利用部署の長が、業務委託先の管理者から提出された利用者の情報に基づき、情報のオーナー部署の長に申請する。

B 社の担当者の追加及び変更に関する件

M主任:新しく追加される B 社 J システム担当者に付与する閲覧権限について相談があります。
内部不正のリスクを低減するために、表 3 に示す D システムの閲覧権限を見直して、必要最小限にした方がよいと思います。

N 課長:J システム担当者の作業は、届いた注文の確認と入力だ。商品カタログ情報をお客様情報の閲覧だけだな。

M 主任:では、N 課長から情報のオーナー部署の長に対して、閲覧権限の付与を申請して頂けますか

N 課長:新しい B 社担当者の名簿はできているかな。

M 主任:はい。B 社から情報を受領しました。J システム担当者は 3 名です。

N 課長:T システム担当者に変更はないかね。

M 主任:あります。来月中に一人が退任し一人が新規に着任すると聞きました。引継ぎを兼ねて、おおよそ 1 週間は 2 人とも在籍してTシステムとDシステムを利用して業務を行う予定です。
必要な権限を正しくシステムに登録するために、B 社に担当者変更がある場合、原則 2 週間前に B 社管理者から情報提供してもらうよう業務委託契約で定めています。後ほど、正式に情報を受理します。

引継ぎ開始にあたり、新任者の利用者 ID を発行し、引継ぎ期間後、直ちに退任者の利用者 ID を無効化するよう、情報システム部に依頼する。

N 課長:わかった。今回、業務委託の対象システムを人員も増えるので、改めて情報漏洩対策に力を入れていきたい。

こうしてN課長とM主任は必要な準備を進め、新しい体制で業務を開始することができた。

関連する用語

ロール
権限の集合であり、プロジェクトにおけるメンバーの権限を定義します。プロジェクトのメンバーは、そのプロジェクトにおけるロールが 1 個以上割り当てられます。複数のロールが割り当てられたメンバーに適用される権限はすべてのロールの権限の組み合わせとなります。同一ユーザーであってもプロジェクトが異なれば別のロールを割り当てることができます。

学習の確認

  1. A 社、B 社とも利用者 ID を設け、ロールを使って権限設定を行う。
  2. 入力者と承認は同じ人が行えないようにする。
  3. 責任者は、担当する業務の全てを閲覧できるようにする。
  4. システム利用部署の長は、所属する利用者の利用 ID に対するロール設定を情報システムに依頼する。
  5. 権限設定は、情報漏洩リスクが発生しないように権限設定を行う。