平成15年度(2003) 試験 問15 | 中小企業診断士 経営情報システム
インターネットでの通信販売を行っている会社がある。Webサイトで顧客から受注し、クレジットカードで決済するので、情報セキュリティが重要である。以下の設問に答えよ。(設問1)情報セキュリティを構成する主要な要素として、最も不適切なものはどれか。
一貫性とは、情報の正確性および完全性を保障するものであり、デジタル署名はそのための有効な手段の一つである。
可用性とは、情報システムを必要なときに利用できることであり、システムの二重化やデータのバックアップなどにより実現できる。
機密性とは、許可された者だけに情報を知らせることであり、アクセス制御や暗号化によって確保できる。
効率性とは、情報セキュリティのコストパフォーマンスのことであり、コストを下げることで向上できる。
過去において、当該企業の監査対象である情報システムの企画・開発・運用・保守に関する業務経験を持つ外部の情報セキュリティ監査人に監査を委ねるべきである。
監査対象である情報資産のセキュリティについて広範囲の専門的知識を持っている情報システム部門内に監査チームを設けるべきである。
監査チームは情報セキュリティポリシー文書を含む管理基準を作成し、これによって監査をするが、事前に監査情報が漏れるといけないので、情報セキュリティポリシー文書は秘密文書とすべきである。
基本的に任意監査であり、法的に規定されていないが、原則として高い専門性や倫理性を有している外部の情報セキュリティ監査人に監査を委ねるべきである。
SSLは、公開かぎ暗号、共通かぎ暗号、ハッシュ関数のすべてを使っており、安全性が高いので利用すべきである。
WebサーバでSSLを使えば、データは暗号化されているので、ファイルサーバは、ファイアウォールで保護する必要はない。
アルゴリズムが公開されている暗号方式は、解読される危険があるので、できれば使わない方がよい。
公開かぎ暗号ではブロック暗号が使われ、共通かぎ暗号ではストリーム暗号が使われるので、状況に応じて使い分けるのがよい。
RADIUSサーバによってユーザ認証を行うことができる。
ファイアウォールDMZ(DemilitarizedZone)に設置するのが望ましい。
プロキシサーバのキャッシュ機能によって、パケットを暗号化することができる。
ワンタイムパスワード方式では、端末側に同期のためのハードウェアが必要である。