2005年10月24日

情報セキュリティアドミニストレータ試験 過去問・平成16年午後2問1

情報セキュアドの過去問をやってみた。残念ながら、平成17年は、システムアナリストを受験したため、テキストから平成16年の問題をピックアップした。

ページ数は、問題文が7ページ、設問は5つだ。各設問ごとに見ていく。まずは、全般的に。

問1のテーマはシンプルで、全体を通じて「機密性」が取り上げられている。セキュリティの問題で難しいのは、管理の手法が技術的なものと人的なものとがあるためで、判断に迷う部分が出てくるため。問題文は周到に書かれているので、よく読むとヒントが見つかることが多い。

ただし、テーマはシンプルだが、問われる知識はやや広いので、ちゃんと勉強できたかどうかが結果にでる。問題そのものは、丁寧に読めば、素直に書けるものだと思う。

さて、各設問を見てみる。
設問1 空白問題は、a:法律、b,c:リスク分析、d,e:手法(セオリー)から。知識として記憶しているかどうかを試される。基礎的な内容だ。

設問2(1) 被害の調査、という切り口での手法。(2) 認証の手法。個人認証についてだが、本質的な部分での理解が必要。(3) 作文というか、表現力を試しているように見えるが、実はそうではない。問題文から「事件の概要」「パソコン上(サーバではない)の個人データ項目」「今後起こる可能性のある事故」「その場合の注意点」を正しく指摘できるか、である。

設問3 出力後の情報の、適切な「管理」「廃棄」方法。これは、ポリシに基づいて行われる必要がある。

設問4(1) 教育の内容だが、解答の方向性がやや難しい。教育のポイントは、「不明な知識の補充」と「誤りに対する気づき」である。何が分かってないか、を見つけ出す。事件後も、ほとんどの社員は他人事と感じているだろう、という前提がある。(2) 教育を効果的にするには、「理解度のフィードバック」や「評価」などいくつかある。技術者の範疇ではないが、人的な管理という意味で試される。

設問5 権限の委譲についての手続き、ということになる。当事者である支配人から委譲するか、委員会で任命するか、これは判断に迷うがどちらでも良いと思う。

この中で、特にエンジニアとしての見識を問われるのは、設問1のb〜e、設問2(やや範囲を超えるが)、設問3はやや微妙だがシステマチックに考えるという意味で。ただし、テクニカルエンジニアの試験だともう少し深い知識を問われることになるだろう。

機密情報がサーバー内にあって正しく管理できているときは良いのだが、一旦外に持ち出すと、管理レベルは大きく低下する。従って、責任者の目の届く場所から離してはならない。パソコンから離れるときはデータを消す。持ち出した顧客情報は目の届く範囲で管理し、廃棄を確認する。原則として、「外にない」状態を保つのだ。「機密エリア」の内と外を意識すること、機密保持の手法、これらをセキュアドの目の届かないところにまでシステム化する手法ということだと思う。なお、罰則規定が必要なのは、パソコン操作の部分は責任者の目が届いていないため、社員の責任の範囲内になるからだ。この部分、上司が監視して操作するのなら、罰則規定は不要になる。事故の責任は上司に及ぶからだ。

posted by tamaso at 23:27| Comment(0) | TrackBack(0) | 過去問 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。