※毎度ながら、ふざけた問題です。真面目な方は、回れ右でお願いします。
ITパスポート(セキュリティ分野)、情報セキュリティマネジメント試験、基本情報技術者試験(情報セキュリティ分野)、応用情報技術者試験(セキュリティ分野)、情報処理安全確保支援士試験
問 社内の情報セキュリティ対策に関する以下の文章を読んで、設問に答えよ。
A社は、不正行為とコンプライアンス違反が得意な、弱小オンボロシステム開発企業である。この度、社内のオンボロなシステムの脆弱性がとんでもないことになり、社内のろくでなしどものPCから流出した大量のエロ動画と粉飾決算だらけの財務諸表や偽造会計資料などが膨大な数に上り、えらいこっちゃって感じである。
まず、社内の管理規定においてはエロ動画の閲覧方針に関する規定が皆無だったため、プロキシサーバ上で業務上必要のないコンテンツの排除を行っているのだが、ハッキング技術だけは達者のためプロキシサーバへ不正ログインして特権IDの権限を奪取し、強制的に不正なサイトへ接続させるある意味ツワモノなろくでなしも存在していた。
この問題を解決するため、O主任は社内の情報セキュリティ管理規定を見直すこととし、非モテ・DT・彼女いない歴=年齢のT君と、新たに調達してきたSちゃん(23歳・カワイイ・アイドルのようなルックス)を共同で業務につかせることにした。T君にとってはチャンスであり、夢のような瞬間であり待ってましたって感じである。
Sちゃん「はじめまして。A社のセキュリティについて真剣に検討しましょう。」
T君「あの・・・彼氏とかいるんですか?」
Sちゃん「ログインに関するセキュリティ方針の検討が必要です。A社の権限は、各IDに対して不必要な権限が割り当てられてることでセキュリティインシデントが発生します。例えば、特権IDを社内の誰でも使えるような設定になっていると、管理職しかできないような承認や重要書類の編集、書き込み、作業などができてしまいます。そうするとセキュリティ上問題なので、速やかに特権IDを使用できる対象人物(ユーザ)を限定する必要があります。また、一般ユーザ(従業員)などに不必要な権限が与えられてはいけません。例えば、重要書類へのアクセスは認めない、編集や削除などを認めないといった方策が必要となります。」
T君「Sさんが可愛すぎて、業務に集中できません・・・」
Sちゃん「
問1 A社のセキュリティ対策として、プロキシサーバにおいて必要とされる機能を、「ログ」「復号化」の字句を用いて30字以内で述べよ。
問2 A社のセキュリティインシデントに鑑みて、流出した資料およびドキュメントに対して必要であったと思われる方策を、「暗号化」「バックアップ」の文字を用いて30字以内で述べよ。
問3 プロキシサーバのセキュリティを維持するため、特権IDに対して施しておくべきセキュリティ対策を、30字以内で述べよ。