情報セキュリティアドミニストレータ平成13年午後I問2
営業支援システムの導入に伴うリスク分析に関する次の記述を読んで、設問1~4
に答えよ。
M社は、都市部に10店舗をもつインテリア用品の販売会社である。2年前に始め
た自社企画品の販売が成功し、売上を大きく伸ばしている。社長は、自社企画品の売
上を更に拡大するとともに、今後3年間で店舗数を30に増やす計画である。
昨年、M社は、全店舗にPOSシステムを新規導入し、本社営業部員及び商品企画
部員に一人1台のノートパソコンを配布した。一方、全社の売上管理や仕入管理な
どの業務システムについては、P社が提供するアウトソーシングサービスの利用に切
り替えた。また、インターネット接続についても、P社のレンタルサーバサービスを
利用し、社外との電子メールの送受信を可能にした。これまで業務システムが稼働し
ていたサーバは、本社営業部のファイルサーバとして使用することにした。
その後、企業向け販売担当の本社営業部から、"ノートパソコンを使用している者
のほとんどは、社外に持ち出して使用している。顧客対応の迅速化を図るために、フ
ァイルサーバにある営業情報を社外からもアクセスできるようにしてほしい"という
要望が出された。そこで、M社は、営業支援システムを構築することにした。
営業支援システムの要件が具体的になった段階で、社長は、経営企画室長(以下、
室長という)に対し、営業支援システム導入に伴うリスク分析を実施するように指示
した。
〔M社の情報システム〕
M社の業務システムの概要と営業支壊システムの要件は、次のとおりである。
(1)業務システムの概要
① 本社及び各店舗の機器は、業務システムとVPNで接続されている。インター
ネット経由で業務システムにアクセスすることはできない。
② 店鋪のPOS端末で入力した売上データや仕入データは、ストアコントローラ
を経由し、一定時間ごとに業務システムに送信されている。
③ 本社営業部の売上データは、リアルタイムで業務システムに登録されている。
(2)営業支援システムの要件
① 過去及び受注前の見積情報や提案情報をデータベースに登録し、検索を行う。
② 売上データを業務システムから受け取り、データベースを構築する。
③ 本社にリモートアクセスサーバ(以下、RASという)を設置し、社外から各
データベースヘのアクセスを可能にする。RASへのアクセスは、IDとパスワー
ドによる認証によって制御する。
営業支援システム稼働後のM社情報システムの構成は、図のとおりである。
〔営業支援システム導入に伴う情報セキュリティの調査〕
室長は、情報システム部出身のL君に、営業支援システム導入に伴うリスク分析を
実施するように指示した。また、3年後の店舗数を前提に影響度を定量化し、報告す
るように加えて指示した。
室長から指示を受けたL君は、ぜい弱性を洗い出すために、まず、情報セキュリテ
ィの調査方法を検討した。この結果、L君は、次の方法で調査することにした。
(1)社内の情報セキュリティ調査
① ノートパソコンを使用している部門については、チェックリストを作成し、全
員に記入を依頼することにした。
② 上記の①以外の部門については、機器の使用状況や設置場所など【 a 】
調査を実施することにした。
③ 情報システムについては、システム化要求仕様書の【 b 】を行うととも
に、システムの要件を取りまとめた担当者に【 c 】を実施することにした。
(2)社外の情報セキュリティ調査
自社企画品の生産を委託している複数の工場については、商品企画部と電子メー
ルを利用してサンプル商品の生産依頼や生産進捗の確認を行っているので、調査を
実施する。しかし、これらの工場については、情報化のレベルが不明なので、各工
場の情報システム担当者に対して【 c 】を行うとともに、機器の使用状況や
設置場所などについて【 a 】調査を実施することにした。
なお、各工場に、調査への協力を依頼する文書を社長名で事前に送付した。
〔リスク分析の定量化〕
調査を終了したL君は、調査結果を基にしてぜい弱性の洗い出しを行うとともに、
影響度を考慮してリスクの定量化を行った。L君は、リスク分析の結果を表にまとめ、
予想される1年当たりの損失額を【 d 】万円、費用を【 e 】万円と算出し
た。
損失額は本来穫得できるはずであったが獲得できなかった売上金額であり、費用は
被害を受ける前の状態に戻すために発生する金額である。
〔リスク分析の結果報告〕
L君は、リスク分析の結果を室長に報告した。室長は、このリスク分析のリストを
見て、"定量化の前提が指示した内容と異なる"と指摘した。
L君は、室長の指摘を受けて、リスク分析の定量化をやり直すことにした。
に答えよ。
M社は、都市部に10店舗をもつインテリア用品の販売会社である。2年前に始め
た自社企画品の販売が成功し、売上を大きく伸ばしている。社長は、自社企画品の売
上を更に拡大するとともに、今後3年間で店舗数を30に増やす計画である。
昨年、M社は、全店舗にPOSシステムを新規導入し、本社営業部員及び商品企画
部員に一人1台のノートパソコンを配布した。一方、全社の売上管理や仕入管理な
どの業務システムについては、P社が提供するアウトソーシングサービスの利用に切
り替えた。また、インターネット接続についても、P社のレンタルサーバサービスを
利用し、社外との電子メールの送受信を可能にした。これまで業務システムが稼働し
ていたサーバは、本社営業部のファイルサーバとして使用することにした。
その後、企業向け販売担当の本社営業部から、"ノートパソコンを使用している者
のほとんどは、社外に持ち出して使用している。顧客対応の迅速化を図るために、フ
ァイルサーバにある営業情報を社外からもアクセスできるようにしてほしい"という
要望が出された。そこで、M社は、営業支援システムを構築することにした。
営業支援システムの要件が具体的になった段階で、社長は、経営企画室長(以下、
室長という)に対し、営業支援システム導入に伴うリスク分析を実施するように指示
した。
〔M社の情報システム〕
M社の業務システムの概要と営業支壊システムの要件は、次のとおりである。
(1)業務システムの概要
① 本社及び各店舗の機器は、業務システムとVPNで接続されている。インター
ネット経由で業務システムにアクセスすることはできない。
② 店鋪のPOS端末で入力した売上データや仕入データは、ストアコントローラ
を経由し、一定時間ごとに業務システムに送信されている。
③ 本社営業部の売上データは、リアルタイムで業務システムに登録されている。
(2)営業支援システムの要件
① 過去及び受注前の見積情報や提案情報をデータベースに登録し、検索を行う。
② 売上データを業務システムから受け取り、データベースを構築する。
③ 本社にリモートアクセスサーバ(以下、RASという)を設置し、社外から各
データベースヘのアクセスを可能にする。RASへのアクセスは、IDとパスワー
ドによる認証によって制御する。
営業支援システム稼働後のM社情報システムの構成は、図のとおりである。
図 M社情報システムの構成
〔営業支援システム導入に伴う情報セキュリティの調査〕
室長は、情報システム部出身のL君に、営業支援システム導入に伴うリスク分析を
実施するように指示した。また、3年後の店舗数を前提に影響度を定量化し、報告す
るように加えて指示した。
室長から指示を受けたL君は、ぜい弱性を洗い出すために、まず、情報セキュリテ
ィの調査方法を検討した。この結果、L君は、次の方法で調査することにした。
(1)社内の情報セキュリティ調査
① ノートパソコンを使用している部門については、チェックリストを作成し、全
員に記入を依頼することにした。
② 上記の①以外の部門については、機器の使用状況や設置場所など【 a 】
調査を実施することにした。
③ 情報システムについては、システム化要求仕様書の【 b 】を行うととも
に、システムの要件を取りまとめた担当者に【 c 】を実施することにした。
(2)社外の情報セキュリティ調査
自社企画品の生産を委託している複数の工場については、商品企画部と電子メー
ルを利用してサンプル商品の生産依頼や生産進捗の確認を行っているので、調査を
実施する。しかし、これらの工場については、情報化のレベルが不明なので、各工
場の情報システム担当者に対して【 c 】を行うとともに、機器の使用状況や
設置場所などについて【 a 】調査を実施することにした。
なお、各工場に、調査への協力を依頼する文書を社長名で事前に送付した。
〔リスク分析の定量化〕
調査を終了したL君は、調査結果を基にしてぜい弱性の洗い出しを行うとともに、
影響度を考慮してリスクの定量化を行った。L君は、リスク分析の結果を表にまとめ、
予想される1年当たりの損失額を【 d 】万円、費用を【 e 】万円と算出し
た。
表 L君が作成したリスク分析のリスト
| 情報 資源 脅威 |
営業支援システム及びパソコン |
業務システム | ||
| 受注前情報 | 販売実績情報 | 商品企画情報 | 売上情報、 仕入情報など |
|
|
漏えい |
受注前情報が漏れ
失 注 ・ノートパソコンの紛失、 盗難 ・RASから営業支援シス テムヘの侵入 〔損害額〕 ・過去の営業案件提案額 平均1,000万円/回 ・想定発生件数 年3回 |
販売実績情報が外部に 漏れ、得意先からのクレ ームに対する対応 ・店輔設置パソコンから の漏えい 〔費用〕 ・対応費 5万円/回 ・想定発生件数 年1店舗1回×10店舗 |
商品企画情報が外部に 漏れ、対抗品の発売によ る売上減 ・生産委託工場のパソコ ンからの漏えい 〔損失額〕 ・過去の企画品売上額 平均1億円/回 ・売上減率 20% ・想定発生件数 年2回 |
なし |
| 改ざん | 受注前情報が改ざんさ れた場合の復旧処理 ・RASから営業支援シス テムヘの侵入 〔費用〕 ・復旧作業費 20万円/回 ・想定発生件数 年1回 |
なし | なし | なし |
| 破壊 | 受注前情報が破壊され た場合の復旧処理 ・RASから営業支援シス テムヘの侵入 〔費用〕 10万円/回 ・想定発生件数 年1回 |
なし | なし | なし |
損失額は本来穫得できるはずであったが獲得できなかった売上金額であり、費用は
被害を受ける前の状態に戻すために発生する金額である。
〔リスク分析の結果報告〕
L君は、リスク分析の結果を室長に報告した。室長は、このリスク分析のリストを
見て、"定量化の前提が指示した内容と異なる"と指摘した。
L君は、室長の指摘を受けて、リスク分析の定量化をやり直すことにした。
設問1
本文中の【 a 】~【 c 】に入れる適切な字句を、それぞれ10字
以内で答えよ。また、【 d 】、【 e 】に入れる適切な数値を答えよ。
設問2
ノートパソコンを使用している部門の調査方法について、チェックリストによ
る調査を選択したのはなぜか。その理由を二つ挙げ、それぞれ20字以内で述べ
よ。
設問3
〔リスク分析の結果報告〕に関する次の問いに答えよ。
(1)定量化の前提が室長の指示と異なる事項を30字以内で述べよ。
(2)表中に列挙された受注前情報の損失額や費用には見落としがある。その見落
としを二つ挙げ、それぞれ40字以内で述べよ。
設問4
室長は、営業支援システムの導入計画を聞いたころから、業務システムに新た
なリスクが発生するのではないかと考えていた。それは何か、35字以内で述べ
よ。