----------------------------------------------------------------------

（セキュリティ侵害への対応策について）

----------------------------------------------------------------------


----------------------------------------------------------------------
（設問ア）
----------------------------------------------------------------------
第１章　
ネットワークシステムの概要とセキュリティ侵害へのシステム面での対応策
----------------------------------------------------------------------
１．１　ネットワークシステムの概要
----
　当社は小学生、中学生を対象とした学習教室の運営と
教材の販売を行う教育会社で、全国の主要都市に５０の
学習教室を展開している。私は、当社のシステム管理エ
ンジニアであり、システム運用管理の責任者である。

　当社では、徹底した個別指導を実現するために本部と
各教室をインターネットで接続したシステムを運用して
いる。システムは、主に２つの機能からなる。

（１）成績管理システム
　生徒の入校から退校までの受講状況、成績、志望校、
合否結果を蓄積、検索可能なシステム。

（２）保護者向けＷＥＢシステム
　生徒の保護者にはＩＤとパスワードが付与され、イン
ターネット経由で受講状況、成績などを参照することが
できる。

----
１．２　セキュリティ侵害へのシステム面での対応策
----
（１）ファイアウォールの設置
　私は外部からの不正アクセスへの対応策としてファイ
アウォールの設置を行った。ファイアウォールはアプリ
ケーションゲートウェイ型を採用しＨＴＴＰ／
ＨＴＴＰＳ、ＳＭＴＰプロトコル以外の通信を禁止する
ことで安全性を高めた。

（２）ウイルス対策ソフトの導入
　当社では、全社員に一人１台の割合でクライアントパ
ソコンが配備されている。日常の業務ではＷＥＢサイト
からの情報収集や電子メールの活用が行われている。こ
のため、ウイルス感染のリスクを低減させるためウイル
ス対策ソフトを社内全てのクライアントパソコンに導入
されている。


----------------------------------------------------------------------
（設問イ）
----------------------------------------------------------------------
第２章　運用管理面での対応策と工夫した点
----------------------------------------------------------------------
　前述したシステムを構成するデータベースには、塾生
の住所、氏名、電話番号、志望校、試験成績、合否情報
等のプライバシに関わる個人情報が多く含まれている。
私は情報セキュリティに関わる事件、事故の発生は当社
の社会的信用および顧客からの信用を失墜させ、会社は
存続の危機に陥ると考え、運用管理面での対策も実施し
た。

----
２．１　外部からの不正アクセスの監視
----
　ファイアウォールで通過を許可していないポートに対
して一度に大量のアクセスが行われた場合、アクセス拒
否した記録としてログに記録する。また、異常検出時に
はシステム管理チームの携帯電話にメールによる通知を
行うよう設定した。

----
２．２　ウイルス対策ソフトウェアの最新バージョンへの更新
----
　対策ソフトは、ウイルスに関する情報を記述した定義
ファイルを使ってウイルスを検知する。新種のウイルス
は次々に出現し、定義ファイルも毎週のように更新され
ている。古い定義ファイルによる対策ソフトの運用はウ
イルスの侵入を見逃すリスクが高まる。私は最新バージ
ョンによるウイルス対策ソフトウェアの運用が必須であ
ると考えた。そこで、本社サーバが対策ソフトのベン
ダーから自動的に最新定義ファイルファイルをダウン
ロードし、各ＰＣへ自動的に配布する仕組みを導入した。

----
２．３　セキュリティパッチの適用
----
　ブラウザや各種アプリケーション、ＯＳのセキュリ
ティホールは頻繁に発見されており、ベンダーからセ
キュリティパッチが提供されている。私はセキュリティ
情報提供サービスを活用し最新の情報を収集した。パッ
チ情報は当社システムにおける緊急度および重要度を判
定基準とした「パッチ適用会議」において適用の要否を
判断した。さらに事前検証テストを行った後にパッチの
適用を行った。

----
２．４　異常事態発生時の対応策の明確化
----
　私は万が一、異常事態が発生した場合に効果的に対応
し被害を最小限にとどめるためには事前の準備が必須で
あると考え対応策の明確化を計った。

（１）連絡体制の明確化
　あらかじめ想定されるインシデントを大まかにリスト
アップし、それぞれに応じた責任者や担当者を定め、連
絡網を整備、明確化した。

（２）復旧作業記録作成手順の標準化
　私は復旧作業記録の重要性を考慮し、作成手順の標準
化を行った。重要と考えた理由は、次の２点である。
a.作業時の手順を後日評価する際の資料に用いる。
b.作業中に副次的に障害が発生した場合は、復旧作業手
　順を見直すための重要な資料となる。

（３）復旧作業手順の明確化
　インシデントへの対応には冷静さを失わないことが重
要である。冷静さを失ったが為に被害を拡大させてしま
う恐れもある。冷静な対応をするために復旧作業手順を
明確にした手順書を作成した。手順書はインシデント発
生時の現地到着時に迅速に対応することを目的として各
機器の近隣に配備した。

----
２．５　特に工夫した点
----
　私はセキュリティ侵害への対応策として、システム面、
管理面の強化とあわせてユーザに対して、セキュリティ
に対する意識を高めるための教育・指導や運用ルールの
徹底が重要であると考えた。

（１）セキュリティ教育・指導の実施
　私はセキュリティ教育および指導は一度限りで終わら
せるのではなく継続的に実施することが効果的であると
考えた。時間の経過と共に意識が低下するからである。
各教室の校長を対象とした「校長向け研修会」を偶数月
に、各教室の講師を対象とした「講師向け研修会」は奇
数月に継続的、定期的に実施することで意識の向上を
図った。研修会の教材はイントラネット上に公開し常時
閲覧できるようにするとともに、要旨をまとめた情報セ
キュリティハンドブックを作成し関係者への配布を行っ
た。

（２）運用ルール遵守の徹底
　クライアントパソコンの社内システムへのログインに
はＩＤとパスワードの入力が必須である。運用ルールと
して定期的なパスワードの変更が定められている。各教
室に自主点検チェックシートを配布しチェックを実施さ
せることでユーザへの啓蒙を行った。あわせて、ユーザ
の遵守状況を各教室の校長による見回り監査を実施し遵
守の徹底を図った。


----------------------------------------------------------------------
（設問ウ）
----------------------------------------------------------------------
第３章　対応策および実施結果の評価と今後の改善策
----------------------------------------------------------------------
　私が実施したセキュリティ対策は良好に機能している。
インシデントも発生していない。しかし、次の２点は、
対策が十分でなく、改善が必要であると評価している。

----
３．１　インシデントへの対応
----
　インシデント発生時における、連絡体制、作成ドキュ
メント、作業手順の明確化を行っている。しかし、イン
シデント発生時に冷静に対処するためには十分ではない
と考えている。今後はユーザ部門、開発部門、システム
管理エンジニアを対象としたインシデント対応演習の実
施を検討している。演習に当たってはシナリオ作成チー
ムと行動評価チームに分け効果の向上を図りたいと考え
ている。

----
３．２　パスワードの運用
----
　ユーザへの教育、点検を継続的に実施しているが、一
部のユーザにおいてルールを遵守していない。原因とし
ては講師の入れ替わりの激しさがある。講師は、勤務時
間が深夜におよぶことや近年の競争激化の影響を背景と
した賃金の低下により、入れ替わりが激しい。私は、こ
のような状況下における対策としてパスワードの運用に
システム的な制御を加えることが有効であると考えてい
る。例えば、パスワードの桁数チェック、有効期限の設
定、文字数・使用文字種の制限などの機能による制限で
ある。


以上