【渾身】経営情報システム~セキュリティ

こんにちは、とりです。

6月に入って1次試験まであと2ヶ月と少しになりましたね。勢いに乗って追い込みをかけている方、焦りが強くなって思うように勉強が進まない方、さまざまかと思いますが、残された時間はどの受験生も同じです。当然ながら1日24時間を26時間にすることは誰にもできません。みなさんに等しく与えられた時間を、それぞれ異なる生活環境のなかで、いかにその時間の使い方を工夫するかだと思います。ぜひ、時間の使い方に知恵を絞りつつ、本試験に向けて1日1日を大切に、勉強に全力投球されることを願っています。

話は変わりますが、このところ毎週のように電車事故・遅延に巻き込まれています。会社に出社できない日もありました。本試験当日、電車で会場に向かう予定の方も多いと思います。当たり前ですが、事故や遅延の発生は避けられませんので、早めに会場に向かうのはもちろんのこと、万一の場合の迂回ルート、移動手段なども確認しておくことをオススメします。
不可抗力で会場に辿り着けずに涙をのむのは本当に悔しいですよね。万難を排して臨んでいただきたいと思います。

さて、すでにお気づきかと思いますが、道場では【渾身】シリーズ期間がスタートしています。【渾身】シリーズの存在はは受験生時代から知ってはいましたが、いざ自分が執筆するとなると、はて何を【渾身】して書いたらよいのやら、とちょっと悩みました。1次試験で飛び抜けて得意な科目があるわけでもないし、苦手科目では【渾身】の記事なんて書けないし。。

、、って記事執筆の悩みを書いても仕方ないので、とりの【渾身】第1回目としては「経営情報システム」について書くことにしました。
7代目のIT番長? かおりんの記事には足元にも及ばないのですが、以前の記事で触れたとおり腐ってもIT企業に在籍する身でもあり、コンサルでもSEでもない、IT知識は極めて浅薄な営業職が【渾身】の力を振り絞って書いてみました。

e38edededd9b047f770db5a5a3297ef8_s

1次試験に直接的に役立つ内容ではないかもしれませんし、特にIT業界の方にとっては既知の内容かと思いますので、さらっと読み飛ばしていただければと思います。


 

ITと言ってもその領域はとてつもなく広いですよね。私のいる会社も広くIT企業と言っても、携わっているのはごく一部の領域で、「セキュリティ」を生業とし、さらにセキュリティの中でも特定のジャンルに限ったビジネスを展開しています。1次試験科目の「経営情報システム」では、セキュリティについてその試験案内のなかでこう書かれています。

2.経営情報管理 (3)情報システムの運用管理
~中略~セキュリティとリスク管理(機密保護・改ざん防止、不正侵入対策・可用性対策、インテグリティ対策、リスク管理)

出典:中小企業診断協会 『平成28年度中小企業診断士第1次試験案内』から抜粋

ITのトレンドは、IoT、クラウドコンピューティング、ビッグデータなどなどある中で、なぜ「セキュリティ」に着目したかというと、とりの本業だから、ということはさておき、中小企業でも避けては通れない課題と感じているからです。昨年は、某機構が大きな情報漏えい事故を起こしていますね。その前は某教育関連企業もしかり、情報漏えい事故が世間に与えるインパクトも大きくなっています。

一方で、まだ数こそ少ないですが携わった実務のなかで、中小企業経営者のセキュリティ意識が高くない事実を垣間見たり、私の所属する診断協会の定例会研修では、「中小企業のセキュリティインシデントの実態と診断士の役割」といったテーマで専門家による講演が予定されていたり、と、セキュリティの見識を高めることは診断士にとっても非常に有用だと実感する機会がありました。

何が言いたいかというと、ITの見識は当然のこと、セキュリティについても診断士に求められる重要なナレッジだと思うわけです。
そのことは、きっと診断士試験の出題にもにも現れるのだと、勝手に予想しています…あ、これは、あくまで駆け出し企業内診断士の個人的な見解です。

ただそうは言っても、セキュリティ1つとってもその領域は広くいくらでも試験問題にできるので、試験対策となると至難の業です。関連する団体として、「独立行政法人情報処理推進機構(IPA)」があります。IPAでは、毎年「情報セキュリティ10大脅威」を発表していますが、ここで取り上げられているインシデントやその対策などはフォーカスされるかもしれません。なのでちょっと強引、安直と思いつつも、、1次試験の出題を意識しながら、その幾つかをピックアップして考察してみます。繰り返しますが、あくまでとりの私見による考察ですのでご了承くださいね。

情報セキュリティ10大脅威 2016

組織 1位 標的型攻撃による情報流出
これは有名すぎる脅威ですね。メールの添付ファイルやウェブサイトを利用してPCをウイルスに感染させ、そのPCを遠隔操作して組織や企業の重要情報を窃取する攻撃のことですが、某機構の情報漏えい事故がまさにこれで、その後も規模の大小はありますが同様の事故が後を絶たない状況です。
標的型攻撃を論点とした出題は、AかBランクレベルのがあってもおかしくないかな、と思うわけです。例えばこんな感じ。

第XX問 近年増加している標的型攻撃への対策に関する記述として、最も不適切なものはどれか

ア.保有するファイルに対し、暗号化等のパスワードによらない、かつ属人的にならない技術により、万一外部に流出しても解読できないように保護する。

イ.差出人が実在する国内取引先の担当者からメールが届いたが、メールアドレスはフリーメールアドレスで、メール本文文面が不自然で日本語では使われない文字が含まれていた。添付ファイルは実行形式のファイルだった。添付ファイルは開かないようにして返信せず、システム管理者に報告した。

ウ.プロキシサーバでのURLフィルタリングやファイアウォール、ウィルス対策ソフトで強固なセキュリティ対策を実施しているが、個人情報や機密情報を扱うPCはネットワークを分離し、インターネットにも接続不可能なクローズな環境で利用している。

エ.標的型攻撃からウィルスに感染し、社内にあるファイルの一部が外部に流出してしまったが、個人情報や機密情報は含まれていないことがわかったため、報告やシステム見直しは実施しないことにした。

どうでしょうか?これは簡単ですよね、正解は  ですね。
一目瞭然なので、解説は割愛します。申し訳ありません。。

 

組織 2位 内部不正による情報漏えいとそれに伴う業務停止
これも怖いセキュリティ脅威ですよね。一昨年の某教育関連企業はこれです。内部不正なので、企業経営理論や経営法務にも繋がりそうですが、情報システムの観点とすれば、こんな出題はありえますかね?

第YY問 A社のB従業員は、職場内のトラブルで退職することになった。B従業員はA社に入社以来営業職に従事し多くの顧客情報を従業員1人1台提供されている社用PCのローカルディスクに保存していた。退職が決まった後も、特に以前と同じように社内のインフラや情報を利用できる状態だったので、人脈の重要性を感じていたB従業員は、私物のUSBメモリを使って顧客情報をコピー、持ち帰り、その後退職した。
B従業員は退職後、持ち帰った顧客情報をA社のライバル企業C社に提供したことから、A社との取引をC社に切り替える顧客がたびたび見られるようになった。

このケースにおけるA社の顧客情報におけるシステム管理上の問題点として、最も不適切なものはどれか

ア.私物のUSBメモリを使って自由にファイル持ち出しが可能な状態だったこと。

イ.顧客情報ファイルを従業員PCのローカルディスクに保存することが可能だったこと。

ウ.従業員1人1台のPCを提供していること。

エ.B従業員の退職が決まった後も、以前と同じようにシステム利用が可能だったこと。

これはどうでしょう?難しくないですよね、正解は、 です。
ア.私物USBメモリが使えるのは大問題です。何らかの制御ソフトを活用するか、最低限、ルールで禁止するべきです。
イ.顧客情報は、不正競争防止法の営業秘密情報にあたります。営業秘密情報の要件の中で、システム的には秘密管理性として、日頃からアクセス制限をかける、秘密の情報として分かるようにしておく必要があります。
エ.退職予定者は、もはやどんな行動を起こすかわかりません。従来は自由なシステム設定だったとしても、退職が決まった従業員に対しては、システム的な制限も施していく必要があります

48a6de717d604813bc996fd9da712aef_m


尻切れトンボ感はありますが、参考になるでしょうか??
過去問を見ても、セキュリティに関する出題は、平成27年第21問第22問第23問平成26年第21問平成25年第23問、とここ3年は毎年出題されています。
中小企業といえど、個人情報を5,000件以上扱えば個人情報保護法の対象になりますし、顧客情報、技術情報、機密情報は、企業のノウハウが詰まったものですので、しっかりセキュリティ対策を施してほしいものです。

もっとも今の時期、手を広げるのは得策ではありませんが、興味を持てる論点は理解も定着も早いですので、ほんとに興味のある方だけでも、知識や理解を深められればよいかなと思っています。

それはそうと、【渾身】はもう1記事書かないといけないのです。。。早くもネタ切れ感満載ですが、頑張って、ない知恵を絞って書きたいと思います。

 

最後までお読みいただき、ありがとうございました。
以上、とりでした。

 

Follow me!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です