type
status
date
slug
summary
tags
category
icon
password
书籍
内部不正による情報漏えいの対策に関する次の記述を読んで,設問1~3に答えよ。
A社は,小,中,高校生及び大学受験生向けに通信教育を行っている。A社では,受講生の個人情報や受講履歴などを管理する受講生管理システムと複数の業務システム(以下,A社の各種システムという)をE社のデータセンタで運用している。A社の各種システムの運用管理は,社内のシステム運用管理室で,F社から派遣された技術者(以下,F社技術者という)が行っている。A社のネットワーク構成を図1に示す。
中文提示
- A公司是干什么的?
A公司是一家提供远程教育的公司,主要面向小学生、中学生、高中生和准备考大学的学生。
- A公司管理哪些重要信息?
A公司管理着学生的个人信息和学习记录,这些属于重要的隐私数据。
- 这些系统放在哪?谁在管理?
A公司使用的各种系统(比如学生管理系统和业务系统)是运行在E公司的数据中心里面的,
系统的日常运维工作由A公司内部的运维管理部门负责,
实际做这些工作的,是F公司派来的技术人员。
- 为什么要注意信息安全?
因为负责运维的人是“外部公司派来的”,他们可以接触到学生的个人数据,
所以要重点防范“内部人员不当行为(内部不正)”引发的信息泄露。
一句话总结:
A公司把管理学生信息的系统放在外部数据中心,由外包技术人员管理,因此必须防范这些内部人员泄露信息的风险。
メール管理システムは,電子メール(以下,メールという)の誤送信を防止する目的で導入されている。PCから送信されたメールは,メール管理サーバで一旦保留され,送信者によって,宛先,メール本文及び添付ファイルに間違いがないことの確認操作が行われた後に,メールサーバに転送される。インターネットアクセスは,プロキシサーバ経由で行う。プロキシサーバでは,利用者認証は行っていない。PCには,DHCPサーバからIPアドレスなどの情報が付与されている。 A社では,情報セキュリティ担当役員を委員長とする情報セキュリティ委員会によって,情報セキュリティ管理規程(以下,管理規程という)が整備されている。管理規程の内容を基に,次のように運用されている。
中文提示
📧 1. 邮件管理系统的目的和运作方式
- 为了防止误发邮件(比如发错人、发错附件),A公司引入了邮件管理系统。
- 员工从电脑发送的邮件,不会直接发出去,而是先被暂时保留在“邮件管理服务器”上。
- 然后,发送人必须再次确认:
- 收件人对不对?
- 邮件内容有没有问题?
- 附件是不是正确?
- 确认无误后,邮件才会被转发到邮件服务器并正式发出。
🌐 2. 上网(互联网访问)方式
- A公司的电脑通过“代理服务器(Proxy Server)”上网。
- 但是,这个代理服务器没有对用户进行身份验证,也就是说谁连上都可以用。
💻 3. 电脑如何获取网络设置
- 每台员工电脑的网络设定(比如IP地址),是通过DHCP服务器自动分配的。
🛡️ 4. 信息安全管理体制
- A公司设有一个信息安全委员会,负责人是信息安全主管级别的高管(比如CISO)。
- 这个委员会制定了信息安全管理规则(管理规程)。
- 日常的操作、流程都要根据这套规章制度来执行。
一句话总结:
A公司通过邮件保留确认机制来防止误发,同时建立了信息安全委员会和管理制度,但代理服务器未做用户认证,存在一定安全隐患。
保有する情報には,管理規程に基づいて ( a ) 区分を設定し,電子文書や書類に,区分に沿ったマークを表示又は押印して,誰でも判別できるようにし,区分に応じた取扱方法を定めている。F社技術者を含む社員による,A社の各種システムの操作に関しては,そのシステムの利用者だけに,業務上必要となる最低限の機能を利用できる ( b ) を付与している。利用者は,システムが保有する情報を,PCや許可された可搬型記憶媒体にダウンロードできる。資産価値又は重要度の高い情報の社外への持出しは原則として禁止されているが,持ち出すことが必要になった場合は,管理者である上司の承認を得た後に持ち出すことができる。社員は,社外の関係者との間で,添付ファイル付きメールの送受信を行っている。業務上不要なWebサイトへのアクセスやメールの私的利用は禁止されているが,徹底できていない。
中文提示
🗂️ 1. 信息分类与标识(a部分)
- A公司根据“管理规程”,对公司所持有的信息进行分类(区分)。
- 不论是电子文件还是纸质文件,都要贴上或盖上对应的分类标记。
- 这样做的目的是让任何人都能一眼识别信息的等级或敏感性。
- 然后根据这些分类,制定相应的处理办法(比如谁可以看、能否外发、是否加密等)。
这是在说:对信息进行分类管理,让所有人能看到文件的等级(比如是否机密),并根据分类来决定能否外发、是否加密等等。
推断结果:
这个分类就是信息的机密性等级,如:
- “公开”
- “公司内部”
- “绝密”等
✅ 所以 (a) 应该填:机密性
🔒 2. 最小权限原则(b部分)
- 对于A公司各类系统的操作权限,包括F公司技术人员在内,每个员工只能使用“业务所需的最小权限”。
- 也就是说,不该碰的功能你就看不到、用不了,权限是精细化控制的。
💾 3. 数据下载与带出管理
- 员工可以把系统中的信息下载到自己的电脑或允许使用的便携式存储设备上。
- 但是,高价值或高度机密的信息原则上禁止带出公司。
- 如确有业务需要带出,必须事先获得上司(管理者)的批准。
📧🌐 4. 外部沟通与网络使用规定
- 员工与公司外部人员之间可以发送带附件的邮件。
- 但公司禁止访问与工作无关的网站,也禁止私自使用公司邮箱。
- 然而,这些规定还没有被严格落实到位,存在执行不到位的问题。
一句话总结:
A公司通过信息分类标识、最小权限控制、外部带出审批制度等多层手段保护重要信息,但网络和邮件使用规定的执行力度仍有待加强。
設問1
本文中のa,bに入れる最も適切な字句を解答群の中から選び,記号で答えよ。
a,b に関する解答群
ア機能 イ権限 ウツール エ取引 オ秘密
正解
オ イ
昨今,正社員や派遣社員など,内部者の不正行為による個人情報や営業情報の漏えい事件の報道が後を絶たない。そこで,情報セキュリティ委員会では,内部不正による情報漏えいの追加の対策を実施することを決め,A社の情報セキュリティリーダーのB主任に,情報システム部の支援を受けて対策案をまとめるように指示した。
中文提示
近年来,正社员、派遣员工等内部人员的不正行为,导致个人信息或商业信息泄露的事件频频发生。
因此,A公司的信息安全委员会决定:
- 针对“内部不正导致信息泄露”这一风险,追加新的安全对策。
他们指派:
- A公司的信息安全负责人 B主任,在信息系统部门的协助下,来制定对应的对策方案。
这段话主要交代了背景(内部泄露频发)、目的(追加安全对策)、任务分配(由B主任负责)。接下来的内容可能会描述B主任提出的具体方案或措施。
〔現状の調査〕
B主任は,まず,内部不正が発生する要因について調査した。内部不正は,不正のトライアングルと呼ばれる三つの要因(動機,機会,正当化)が揃ったときに,発生するおそれが増すと言われている。B主任は,IPAの"組織における内部不正防止ガイドライン"に含まれる,"内部不正チェックシート"を利用して問題点の把握を行った。その結果,次の三つの問題があることが判明した。
(1)USBメモリなどの可搬型記憶媒体の運用が,管理規程どおりに行われていない。
(2)メールや社外のWebサイトの利用が,管理規程どおりに行われていない。
(3)重要情報へのアクセス履歴及び利用者の操作履歴などのログの取得と管理が適切に行われていない。
これらの問題への対策を実施することによって,不正のトライアングルの要因の一つである機会が低減されることから,不正の抑止につながると考えられるので,これらの問題への対策について検討することにした。
中文提示
为了制定有效对策,B主任首先调查了“内部不正”的诱因。
✅ 核心理论参考:
- 内部不正的发生,通常是因为同时存在以下三要素,被称为“不正三角理论(动机、机会、正当化)”。
- 只要这三者齐备,就更容易发生不正行为。
✅ 采取的调查方式:
- B主任使用了 IPA发布的《组织内部不正预防指南》 中的 “内部不正检查表”。
- 目的:确认公司内部在信息安全管理上的问题点。
✅ 调查结果:发现了三项主要问题
- 可移动存储设备(如USB) 的使用,没有按公司规章制度来管理。
- 邮件使用与访问外部网站,未严格遵守规章制度,存在滥用风险。
- 对重要信息的访问日志与操作日志,没有妥善记录与管理,导致可追溯性差。
✅ 结论与对策方向:
- 这些问题增加了员工“实施不正行为的机会”。
- 因此,通过解决这些问题,可以削弱“三角形中的“机会”要素,从而有效抑制不正行为的发生。
- 接下来,B主任将重点研究这三方面的改进对策。
〔内部不正に対する技術面での対策〕
問題の(1)については,可搬型記憶媒体の運用を管理規程どおりに行うことが必要である。しかし,許可されていない可搬型記憶媒体に情報をダウンロードするなどの悪意をもった行動に対しては,管理規程だけでは対処できない。そこで,PCの操作ログの取得機能や
①デバイス制御機能をもつPC管理システムを導入することにした。
中文提示
为了解决问题(1),虽然应依规管理可移动存储设备(如USB),但仅靠规章制度难以防范恶意行为(例如将资料下载到未授权设备上)。因此,决定引入具备操作日志获取功能和①设备控制功能的PC管理系统,从技术上进行防范。
設問2
〔内部不正に対する技術面での対策〕について,(1)~(3)に答えよ。
(1)本文中の下線①について,情報の不正持出しを抑制する方法を,35字以内で述べよ。
解答
許可されていない可搬型記憶媒体のPCへの接続を拒否する
問題の(2)については,メール管理システムとプロキシサーバの設定の見直しで対処することにした。導入済みのメール管理システムの未使用の機能を図2に示す。
メール管理システムでは,新たに,図2中の情報漏えい対策機能を有効にする。プロキシサーバでは,URLフィルタリングを稼働させ,業務上必要なWebサイトをホワイトリストに登録してアクセスを許可し,その他のWebサイトへのアクセスは遮断する。ホワイトリストへの登録は,情報セキュリティ委員会による認定後に情報システム部が行う。ホワイトリストに含まれないWebサイトの中にも,業務上必要となるサイトが存在する可能性があるので,③当該サイトの利用を希望する者がとるべき手段を用意する。
中文提示
为了进一步防止信息泄露,A社将对邮件管理系统启用新功能(如图2所示的泄露防护功能)。
此外,在代理服务器(Proxy Server)上启用URL过滤功能,仅允许访问列入白名单的业务必需网站,其他网站一律禁止访问。
- 网站是否列入白名单需由信息安全委员会审批,之后由信息系统部登记。
同时考虑到,有些未在白名单中的网站也可能有业务用途,因此设定了③员工申请访问该类网站的申报机制。
一句话总结:
A社通过强化邮件和网络访问控制,仅允许访问经过审批的必要网站,并为需使用其他网站的员工提供申报流程以保障业务连续性。
(2)図2中の下線②の"指定された処理"について,A社の業務内容を考慮した場合,最も適切な処理の内容を解答群の中から選び,記号で答えよ。
ア あらかじめ指定された上司に通知し,上司の承認後に送信する。
イ 一旦保留し,送信者によるメール内容の確認操作後に送信する。
ウ 添付ファイルを暗号化し,パスワードを別メールで送信する。
エ 添付ファイルを削除して,メールの本文だけを送信する。
解答
ア
(3)本文中の下線③の手段について,20字以内で答えよ。
解答
利用したいWEBサイトの認定申請
〔ログの取得とメールのアーカイブ〕
問題の(3)の対策として,
④プロキシサーバとPC管理システムで全てのログを取得するとともに,新たに,図2中の,メールアーカイブ機能を有効にすることにした。プロキシサーバのログでは,通信が行われた日時,⑤作業者のID,アクセス先IPアドレス,操作内容などが確認できるようになる。PC管理システムのログでは,PCでの全ての操作内容が把握できるようになる。メールアーカイブでは,送信されたメール本文及び添付ファイルの内容,送信者及び宛先が特定できるようになる。
中文提示
为应对问题(3)(日志管理不完善),A社决定:
- 通过代理服务器和PC管理系统收集全部日志数据;
- 启用邮件归档功能(见图2)。
具体细节如下:
- 代理服务器的日志将记录:通信时间、⑤操作者ID、访问的IP地址、操作内容等;
- PC管理系统日志将覆盖PC上的所有操作行为;
- 邮件归档功能则能保存邮件的正文、附件内容、发送者与收件人等信息。
一句话总结:
A社通过启用全面日志记录和邮件归档功能,来提升对操作行为的可追溯性,强化信息泄露风险的监控与事后审查能力。
設問3
〔ログの取得とメールのアーカイブ〕について,(1)~(3)に答えよ。
(1)本文中の下線④について,ログやアーカイブなどによって法的な証拠性を明らかにすることは,一般に何と呼ばれているか。15字以内で答えよ。
解答
デジタルフォレンジック
(2)本文中の下線⑤の情報を基に作業者名を特定できるようにするために,プロキシサーバで新たに実施すべき処理について,6字以内で答えよ。
解答
利用者認証
B主任は,これらの検討を基に,(a)PC管理システムの導入,(b)メール管理システムの未使用機能の有効化,(c)プロキシサーバでのURLフィルタリングの稼働と設定の見直し,(d)ログの取得と監視,の四つの対策案をまとめた。また,⑥これらの対策を社内に告知することによって,内部不正を抑止することが期待できるので,四つの対策の実施と対策内容を社内に告知することを情報セキュリティ委員会に提案し,承認された。
中文提示
B主任根据前述的讨论,提出了四项信息安全对策方案:
(a) 引入PC管理系统
(b) 启用邮件管理系统中原本未使用的功能
(c) 启动代理服务器的URL过滤功能并重新审视其设置
(d) 实施日志记录与监控
此外,通过将这些对策内容向公司内部公开告知,可以增强员工的安全意识,从而起到抑制内部不正行为的作用。
因此,B主任向信息安全委员会提议实施这四项对策并进行全员公告,并已获得批准。
一句话总结:
A社通过落实4项安全对策并在公司内部公开通告,旨在提升威慑力,有效防止内部人员的不当行为。
(3)本文中の下線⑥について,内部不正を抑止することが期待できるのはなぜか。その一つの理由を30字以内で述べよ。
解答
情報を不正に社外に持ち出すのが難しいことが分かるから
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E5%BF%9C%E7%94%A8%E6%83%85%E5%A0%B1%E9%81%8E%E5%8E%BB%E5%95%8F%20%E4%B8%AD%E6%96%87%E6%8C%87%E5%AF%BC/1e6d7ae8-88e2-808e-ab25-e92ba3e64c70
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
