情報処理安全確保支援士 2011年 春期 午後1 問02
ソフトウェア資産管理に関する次の記述を読んで、設問1~5に答えよ。
C社は、従業員数400名の広告代理店である。C社では、主にテレビ、雑誌、新聞などのマスメディアの広告枠の販売並びに広告の企画及び制作を行っている。C社のすべてのサーバとPCは、ネットワークで接続されている。C社の情報システム部のT部長は、ソフトウェアライセンス(以下、ライセンスという)に対する反行為が、最近、社会問題になっているという話を聞き、ライセンスに関する社内外の状況を整理して報告するよう、部下のU主任に指示した。U主任の報告は図1のとおりである。
〔ライセンスの実態調査〕
T部長は、U主任の報告を踏まえて、C社における保有ライセンスと、ソフトウェアのインストールの詳細な状況を次のような手順で調査することにした。
(1)各部門の購入履歴から、各部門で購入したソフトウェアの名称、保有ライセンス数などを調査し、保有ライセンス一覧表を作成する。
(2)ソフトウェアをインストールしたときにOSに記録されるソフトウェアの識別情報(以下、インストール情報という)を利用して、PC上にインストールされているソフトウェアを把握し、使用ソフトウェアー覧表を作成する。
(3)保有ライセンス一覧表と使用ソフトウェアー覧表を突き合わせる。
なお、サーバ上のソフトウェアのライセンスは適切に管理できていることから、今回の調査はPC上のソフトウェアだけを対象とすることにした。また、ライセンス料不要のものとOSは、調査の対象外とした。
U主任が調査した結果、各部門で使用実態に比べて十分な数のライセンスを保有していることが確認できた。ただし、ソフトウェアの使用数に比べて保有ライセンス数がかなり多い部門も存在していた。このようなライセンスの中には、他部門が購入を予定しているものも含まれていた。
〔ソフトウェア資産管理ツールの導入〕
U主任は、①インストール情報が記録されないソフトウェアがあることや、インストール情報を書き換えてソフトウェアの存在を隠ぺいするツールがインターネット上に存在していることなどから、インストール情報による調査では把握できないソフトウェアが、使用ソフトウェア一覧表以外にもインストールされているおそれがあるとT 部長に報告した。そこで、T 部長は、ソフトウェア資産管理ツール(以下、管理ツールという)の導入を経営陣に提案し、承認を得て実行に移した。管理ツールは、保有ライセンスとソフトウェアの使用状況を管理するためのものであり、管理サーバに導入するサーバプログラムと、PC に導入するエージェントで構成されている。管理ツールの主な機能を表1に、管理サーバ上に保存される情報を表2にそれぞれ示す。
〔管理ツールの活用〕
管理ツールを導入して1か月たったある日、新種のウイルスが急速に感染を拡大しているという情報が入ってきた。そのウイルスは、PC用のあるソフトウェアの脆弱性を悪用して感染するもので、そのソフトウェアに特定のセキュリティパッチを適用すれば感染しないというものであった。T部長が管理ツールの機能を確認したところ、表1中の機能で、該当するセキュリティパッチの適用状況を把握できることが判明した。C社では、管理ツールの機能を活用して、このウイルスの感染を未然に防ぐことができた。
その1週間後、T部長は、開発元のセキュリティパッチ提供が終了したソフトウェアの利用が問題になっているという記事を見た。管理ツールには、インストール情報の一部として、ソフトウェアのバージョン(セキュリティパッチの情報を含む)を管理する機能がある。T部長は、この機能を活用して、開発元のセキュリティパッチ提供が終了したソフトウェアを抽出できるのではないかと考え、早速、活用を開始することにした。
定期人事異動を2か月後に控えたある日、T部長は人事異動のときのライセンス管理手順に問題がないかを確認することにした。C社では、人事異動に伴い、異動前に使用していたPCを異動前の部門に残していく場合と、PCを異動後の部門に持っていく場合がある。PC管理情報を更新するとともに、PCを異動前の部門に残していく場合には、使用ライセンス登録機能で、使用ライセンス情報のPC利用者名を次の利用者に更新する。PCを異動後の部門に持っていく場合には、使用ライセンス登録機能で、使用ライセンス情報の利用者所属部門を更新するとともに、業務内容の変更に伴って新たに必要となるソフトウェアがあればPCにインストールし、使用ライセンス登録機能で使用ライセンス情報に追加登録する。
T部長は、②異動後の部門にPCを持っていく場合にPC上と管理ツール上でそれぞれ更に実施すべきことがあると考え、手順に項目を追加することにした。
〔管理ツール運用上の問題点の改善〕
管理ツールを導入して1年後、保有ライセンス情報を不正に登録されると、ライセンス管理がうまく機能しないおそれがあることが分かった。現状では、管理ツール利用者が自分自身で利用するソフトウェアであっても保有ライセンス情報を登録できる
一方、登録された保有ライセンスが購入されたライセンスであるかどうかをC社では確認していない。このため、T部長は、管理ツール利用者は、自分自身が利用するソフトウェアの保有ライセンス情報を登録できないようにする運用方針を経営陣に提案し、承認を得て実行に移した。その後、C社では、管理ツールを活用して順調にライセンス管理を行っている。
設問1:
図1中のa〜cに入れる適切な字句をそれぞれ答えよ。
模範解答
a:アップグレード
b:損害賠償
c:著作権
解説
解答の論理構成
-
図1の(2)には「旧バージョンのライセンス保持者だけに許諾される○○ライセンス」が登場します。旧バージョン所有者が新バージョンを安価に入手できる仕組みは“アップグレードライセンス”が定番であり、他に該当する一般名称はありません。したがって
→ a=「アップグレード」 -
図1の(3)では、ライセンス契約違反を犯した場合「正規のライセンス料のほかに○○金や訴訟費用を請求される」旨が示されています。違反によって発生した損害を回復させる金銭は“損害賠償金”が法的用語として最適です。
→ b=「損害賠償」 -
同じく図1の(3)の後半に「海賊版の使用、許諾ライセンス数を超えるインストールなどが○○法に違反すると指摘された事例」という説明があります。海賊版使用や不正コピーを規制する根拠法は“著作権法”です。
→ c=「著作権」
以上より、
a:アップグレード
b:損害賠償
c:著作権
a:アップグレード
b:損害賠償
c:著作権
誤りやすいポイント
- aで「アップデート」と解答してしまう
“アップデート”は無償・有償を問わず小規模な修正を意味し、旧版所持を条件とした優待販売のライセンス形態とは異なります。 - bを「違約金」とする
違約金は契約であらかじめ定める金銭。著作権侵害の民事責任として請求されるのは通常“損害賠償金”です。 - cに「不正コピー防止法」など架空・限定的な法を挙げる
ソフトウェアの複製権・公衆送信権などを定め、侵害を禁じる一般法は“著作権法”です。
FAQ
Q: アップグレードライセンスとアカデミックライセンスの違いは?
A: 前者は「旧バージョンを保有していること」が購入条件、後者は「教育機関に所属していること」が購入条件です。割引対象者・前提条件がまったく異なります。
A: 前者は「旧バージョンを保有していること」が購入条件、後者は「教育機関に所属していること」が購入条件です。割引対象者・前提条件がまったく異なります。
Q: ライセンス違反で刑事責任を問われるケースもありますか?
A: 悪質な海賊版流通や大量コピーは著作権法の「侵害罪」に該当し、刑事罰(懲役・罰金)の対象となる場合があります。
A: 悪質な海賊版流通や大量コピーは著作権法の「侵害罪」に該当し、刑事罰(懲役・罰金)の対象となる場合があります。
Q: 損害賠償額はどのように算定されるのですか?
A: 侵害により失われた正規ライセンス料、逸失利益、調査費用などを根拠に開発元が請求し、最終的には和解または裁判所の判断で確定します。
A: 侵害により失われた正規ライセンス料、逸失利益、調査費用などを根拠に開発元が請求し、最終的には和解または裁判所の判断で確定します。
関連キーワード: アップグレードライセンス、損害賠償金、著作権法、ライセンス契約
設問2:
〔ライセンスの実態調査〕において、部門内だけの調査結果からは把握できないが、全社としての調査結果から把握できることは何か。25字以内で述べよ。
模範解答
遊休ライセンスを全社で有効利用する可能性
解説
解答の論理構成
-
まず部門別の調査結果
引用: 「各部門で使用実態に比べて十分な数のライセンスを保有していることが確認できた。」
→ 各部門“単独”では不足がないと判断できる。 -
しかし部門間のバラつき
引用: 「ソフトウェアの使用数に比べて保有ライセンス数がかなり多い部門も存在していた。」
→ 余剰ライセンスが発生している部門がある。 -
他部門の需要とのギャップ
引用: 「このようなライセンスの中には、他部門が購入を予定しているものも含まれていた。」
→ 余剰を抱える部門と追加購入を予定する部門が同時に存在する。 -
全社集計の効果
個別部門では見えない「余剰ライセンスを他部門に回せる可能性」が全社レベルで初めて可視化される。
したがって設問の答えは「遊休ライセンスを全社で有効利用する可能性」となる。
誤りやすいポイント
- 「不足を把握できる」と答えてしまう
→ 各部門でも不足は分かるので設問条件に合わない。 - 「ライセンス契約違反の有無」と答える
→ 調査対象外のOSやサーバソフトは含まれておらず論点が異なる。 - 余剰の存在だけを書き、「有効利用」という観点を落とす
→ 設問は“把握できること”を問うため、利活用の視点まで触れる必要がある。
FAQ
Q: 余剰ライセンスがあると分かった時点で違反ではないのですか?
A: 余剰は違反ではなく、コスト最適化のチャンスです。ただし不足は違反リスクになります。
A: 余剰は違反ではなく、コスト最適化のチャンスです。ただし不足は違反リスクになります。
Q: 調査でOSを対象外にしたのはなぜですか?
A: 引用: 「ライセンス料不要のものとOSは、調査の対象外とした。」 OSライセンスは別管理方針があるため、コスト削減効果が小さいことが多いからです。
A: 引用: 「ライセンス料不要のものとOSは、調査の対象外とした。」 OSライセンスは別管理方針があるため、コスト削減効果が小さいことが多いからです。
Q: 遊休ライセンスを再配分する際に注意すべき点は?
A: 契約形態(PC固定/利用者固定など)が再配分を許容しているかを確認し、管理台帳を更新することが必須です。
A: 契約形態(PC固定/利用者固定など)が再配分を許容しているかを確認し、管理台帳を更新することが必須です。
関連キーワード: ソフトウェア資産管理、遊休ライセンス、余剰ライセンス、資産最適化、契約形態
設問3:
〔ソフトウェア資産管理ツールの導入〕において、管理ツールが、本文中の下線①のようなソフトウェアを検出できる理由は何か。40字以内で述べよ。
模範解答
インストール情報が存在しなくても、実行情報は存在するから
解説
解答の論理構成
- 本文では、対象ソフトウェアについて「①インストール情報が記録されないソフトウェアがある」と指摘しています。
- 一方、管理ツールの「実行情報収集機能」は「PC上でソフトウェアが実行されたときに、PCのOSが採取した実行情報を収集し、PCごとの収集実行情報として管理サーバ上に保存する。」と明記されています。
- さらに「ソフトウェア比較機能」は「収集インストール情報又は収集実行情報が、それまでになかった新しい情報の場合には、ライセンス未登録とマーク」します。
- したがって、インストール情報が存在しないソフトウェアであっても、実行時に取得される実行情報が管理サーバに送られ、比較機能で“新しい情報”として検出・マーキングされるため、管理ツールは当該ソフトウェアを把握できます。
- 以上より、模範解答「インストール情報が存在しなくても、実行情報は存在するから」となります。
誤りやすいポイント
- 「インストール情報を拾えない=検出不可能」と早合点し、実行情報の存在を忘れる。
- ソフトウェア比較機能が“両方”の情報を対象にしている点を読み落とす。
- 実行情報は OS が自動で採取するログであり、ユーザが改ざんしにくいことを意識しない。
FAQ
Q: インストール情報と実行情報の両方を収集するメリットは何ですか?
A: インストール情報だけでは①のように記録されないソフトウェアや改ざんされたケースを検出できません。実行情報を併用することで実際の利用状況を把握し、不正・漏れを見逃しにくくなります。
A: インストール情報だけでは①のように記録されないソフトウェアや改ざんされたケースを検出できません。実行情報を併用することで実際の利用状況を把握し、不正・漏れを見逃しにくくなります。
Q: 実行情報が収集されるタイミングはいつですか?
A: 「PC上でソフトウェアが実行されたとき」に OS が取得したログがエージェント経由で管理サーバに送信されます。
A: 「PC上でソフトウェアが実行されたとき」に OS が取得したログがエージェント経由で管理サーバに送信されます。
Q: “ライセンス未登録”にマーキングされたらどうすればよいですか?
A: 「使用ライセンス登録機能」で保有ライセンス情報と突き合わせ、余裕があれば割り当て、なければ追加購入やアンインストールなどの対応が必要です。
A: 「使用ライセンス登録機能」で保有ライセンス情報と突き合わせ、余裕があれば割り当て、なければ追加購入やアンインストールなどの対応が必要です。
関連キーワード: インストール情報、実行情報、インベントリ管理、ログ収集、ライセンス未登録
設問4:〔管理ツールの活用〕について、(1)〜(3)に答えよ。
(1)ウイルスの感染を防ぐために、管理ツールの機能をどのように活用したのか。45字以内で述べよ。
模範解答
インストール情報に、特定のセキュリティパッチが含まれていないPCを抽出する。
解説
解答の論理構成
- 原因の把握
- 問題文に「そのウイルスは、PC用のあるソフトウェアの脆弱性を悪用して感染するもので、そのソフトウェアに特定のセキュリティパッチを適用すれば感染しない」とあります。
- 情報の取得手段
- さらに「T部長が管理ツールの機能を確認したところ、表1中の機能で、該当するセキュリティパッチの適用状況を把握できることが判明した」と述べられ、パッチ適用有無を確認できる機能があると明記されています。
- 表1の「インストール情報収集機能」は「PC上のソフトウェアのインストール情報を定期的に収集」すると説明されています。インストール情報にはバージョンやパッチ適用状況も含まれるため、ここから必要なデータを取り出せます。
- 対策の具体化
- 収集したインストール情報を基に「特定のセキュリティパッチが含まれていないPC」を抽出すれば、未適用端末だけを素早く特定できます。
- 期待される効果
- 抽出結果を使い、該当PCにパッチを適用すれば「C社では、管理ツールの機能を活用して、このウイルスの感染を未然に防ぐことができた」と示すように被害を回避できます。
- 以上より模範解答の「インストール情報に、特定のセキュリティパッチが含まれていないPCを抽出する。」が導かれます。
誤りやすいポイント
- 「実行情報収集機能」を選んでしまう
実行情報はソフトウェアが“起動された”記録であり、インストール済みか・パッチがあるかを直接示しません。 - 「ソフトウェア比較機能」で自動的にパッチ判定できると誤解
比較機能は“ライセンス未登録”を検知するのが主目的で、パッチ有無の判定そのものはインストール情報で行います。 - 抽出後の“対処”まで書いてしまう
設問は「どのように活用したのか」を問うため、抽出の行為を示せば十分です。
FAQ
Q: インストール情報には必ずパッチ情報が入っていますか?
A: 問題文の前提として「該当するセキュリティパッチの適用状況を把握できる」と明記されているので、本設問ではインストール情報にパッチ有無が含まれると読み取れます。
A: 問題文の前提として「該当するセキュリティパッチの適用状況を把握できる」と明記されているので、本設問ではインストール情報にパッチ有無が含まれると読み取れます。
Q: 実行情報からパッチの有無を推測することはできますか?
A: 実行情報はソフトウェア起動のログであり、バージョンやパッチ情報を保証するものではありません。パッチ判定にはインストール情報を用いるのが確実です。
A: 実行情報はソフトウェア起動のログであり、バージョンやパッチ情報を保証するものではありません。パッチ判定にはインストール情報を用いるのが確実です。
Q: ソフトウェア比較機能は今回役立たないのですか?
A: 未登録ソフトの検知には有効ですが、パッチ有無の抽出自体はインストール情報が担います。比較機能は必須ではありません。
A: 未登録ソフトの検知には有効ですが、パッチ有無の抽出自体はインストール情報が担います。比較機能は必須ではありません。
関連キーワード: インストール情報収集、セキュリティパッチ、脆弱性、ソフトウェア比較、資産管理
設問4:〔管理ツールの活用〕について、(1)〜(3)に答えよ。
(2)管理ツールの機能を利用して、開発元のセキュリティパッチ提供が終了したソフトウェアを抽出することは、情報セキュリティの観点からどのような意義があるか。45字以内で述べよ。
模範解答
脆弱性が発見されても対処する手段がない、という状況を回避することができる。
解説
解答の論理構成
- 問題文は、管理ツールが「インストール情報の一部として、ソフトウェアのバージョン(セキュリティパッチの情報を含む)を管理する機能」があると明示しています。
- さらに「開発元のセキュリティパッチ提供が終了したソフトウェアの利用が問題になっている」という記述から、パッチ提供が終わったソフトウェアは新たな脆弱性が修正されず放置されるリスクがあると読み取れます。
- つまり、該当ソフトウェアを抽出できれば、利用停止や置換・隔離などの措置を講じることで「脆弱性が放置されたままになる状態」を避けられます。
- したがって「脆弱性が発見されても対処する手段がない、という状況を回避することができる。」という結論になります。
誤りやすいポイント
- 「抽出=即アンインストール」と早合点し、目的を“削除作業の省力化”と書く。実際の意義は“未対処脆弱性を抱えたままにしない”ことです。
- 「パッチ提供終了=サポート終了」と表現し、パッチ有無よりサポートの有無を強調し過ぎる。設問はパッチ適用可否を軸としています。
- 単に「不正コピー防止」といったライセンス管理面の意義を書いてしまう。ここでは情報セキュリティ上の脆弱性対策が問われています。
FAQ
Q: パッチ提供が終了してもアンチウイルスソフトがあれば安全ですか?
A: アンチウイルスは既知マルウェアの検知が中心で、未知の脆弱性悪用を完全に防げません。根本的には脆弱性を含むソフトウェアを排除・更新する方が安全です。
A: アンチウイルスは既知マルウェアの検知が中心で、未知の脆弱性悪用を完全に防げません。根本的には脆弱性を含むソフトウェアを排除・更新する方が安全です。
Q: 抽出後に即座にアンインストールしなければならないのですか?
A: 会社の業務上どうしても必要なら、ネットワーク分離やアクセス権制限など暫定策もあります。ただし長期的には代替ソフトへの移行が推奨されます。
A: 会社の業務上どうしても必要なら、ネットワーク分離やアクセス権制限など暫定策もあります。ただし長期的には代替ソフトへの移行が推奨されます。
Q: 管理ツールのバージョン情報だけでパッチ適用状況を完全に把握できますか?
A: 一般的には把握できますが、手動適用パッチや非公開パッチは検知できない場合があります。定期的な実機確認やベンダー情報の照合も併用しましょう。
A: 一般的には把握できますが、手動適用パッチや非公開パッチは検知できない場合があります。定期的な実機確認やベンダー情報の照合も併用しましょう。
関連キーワード: 脆弱性管理、パッチマネジメント、ソフトウェアライフサイクル、リスクアセスメント
設問4:〔管理ツールの活用〕について、(1)〜(3)に答えよ。
(3)本文中の下線②について、PC上で実施すべきと部長が考えたことは何か。30字以内で述べよ。
模範解答
異動に伴い不要になったソフトウェアを削除する。
解説
解答の論理構成
- 【問題文】では、②異動後の部門にPCを持っていく場合にPC上と管理ツール上でそれぞれ更に実施すべきことがあると指摘しています。
- 直前の手順では
「PCを異動後の部門に持っていく場合には、使用ライセンス登録機能で、使用ライセンス情報の利用者所属部門を更新するとともに、業務内容の変更に伴って新たに必要となるソフトウェアがあればPCにインストールし、使用ライセンス登録機能で使用ライセンス情報に追加登録する。」
と、追加インストールとライセンス登録“だけ”が述べられています。 - ところが異動後の業務では、以前の部門で使っていたソフトウェアが不要になる場合があります。そのまま残すと
① 不要ライセンスが占有され他部門が利用できない
② 脆弱性が放置されセキュリティリスクとなる
③ ライセンス数超過の温床になる
という問題が起こります。 - したがって②の「更に実施すべきこと」として、PC側では「異動に伴い不要になったソフトウェアを削除する」ことが妥当になります。
誤りやすいポイント
- 「管理ツール上」の追加手順(ライセンス返却)と混同し、PC側では何もしないと誤判断する。
- 「不要ソフトの利用停止」だけを答え、具体的な作業(削除・アンインストール)を書かない。
- 管理ツールの機能名を入れた長い文章にし、趣旨がぼやけてしまう。
FAQ
Q: ライセンス違反を防ぐうえで、削除しない場合の実害はありますか?
A: 旧部門で取得したライセンスが“使用中”として残るため、全社のライセンス残数が減少し、他部門の正規利用を阻害します。結果として超過使用や追加購入コストが発生しかねません。
A: 旧部門で取得したライセンスが“使用中”として残るため、全社のライセンス残数が減少し、他部門の正規利用を阻害します。結果として超過使用や追加購入コストが発生しかねません。
Q: 削除対象を判断する基準は何ですか?
A: 異動先の業務に不要なソフトウェアであること、もしくは異動先で別バージョンが採用されていることを基準にします。部署の標準ソフトウェア一覧と照合すると効率的です。
A: 異動先の業務に不要なソフトウェアであること、もしくは異動先で別バージョンが採用されていることを基準にします。部署の標準ソフトウェア一覧と照合すると効率的です。
Q: 削除後に管理ツールで行う作業は?
A: PC上でアンインストールした後、「使用ライセンス登録機能」で該当ライセンスを解除し、保有ライセンスプールへ戻します。
A: PC上でアンインストールした後、「使用ライセンス登録機能」で該当ライセンスを解除し、保有ライセンスプールへ戻します。
関連キーワード: ソフトウェア資産管理, ライセンス最適化, アンインストール, セキュリティパッチ, 運用手順
設問5:
〔管理ツール運用上の問題点の改善〕において、T部長が提案した運用方針が、保有ライセンス情報の不正登録の対策となる理由は何か。30字以内で述べよ。
模範解答
ライセンスの利用者と登録者の間で相互けん制が働くから
解説
解答の論理構成
- 問題文は、現状として「管理ツール利用者が自分自身で利用するソフトウェアであっても保有ライセンス情報を登録できる」と述べています。
- その結果、「保有ライセンス情報を不正に登録されると、ライセンス管理がうまく機能しないおそれ」が発生します。
- T部長は対策として、「管理ツール利用者は、自分自身が利用するソフトウェアの保有ライセンス情報を登録できないようにする運用方針」を提案しました。
- これにより、ライセンスを実際に使う人と、そのライセンスを登録する人が分離されます。
- 登録者は利用実態を確認しながら登録し、利用者は登録内容を確認できます。両者が互いに監視する形になり、不正登録の抑止力が働きます。
- したがって理由は「ライセンスの利用者と登録者の間で相互けん制が働くから」となります。
誤りやすいポイント
- 「登録操作を禁止=不正がゼロになる」と短絡し、相互チェックという本質を見落とす。
- アクセス制御やログ監査など技術的施策に話を広げ、設問が問う“運用方針の狙い”から逸脱する。
- “けん制”を“監視”や“承認”とだけ説明し、両者が対等に抑止する仕組みを示さない。
FAQ
Q: なぜ「自分以外が登録」するだけで抑止力が高まるのですか?
A: 利用者と登録者が別になることで、どちらか一方が不正を行ってももう一方が気付きやすくなるためです。責任分離の基本的な統制手法です。
A: 利用者と登録者が別になることで、どちらか一方が不正を行ってももう一方が気付きやすくなるためです。責任分離の基本的な統制手法です。
Q: 技術的に登録制限をかければ十分では?
A: 技術的制限だけでは登録者が不正に協力する場合を防げません。運用上の役割分担により人為的チェックを組み込むことで抑止力が高まります。
A: 技術的制限だけでは登録者が不正に協力する場合を防げません。運用上の役割分担により人為的チェックを組み込むことで抑止力が高まります。
Q: 他に有効な運用上の対策はありますか?
A: 登録内容を購買記録と突合する定期監査、登録・利用履歴の自動レポート化などが挙げられます。
A: 登録内容を購買記録と突合する定期監査、登録・利用履歴の自動レポート化などが挙げられます。
関連キーワード: 相互けん制、責任分離、アクセス制御、運用統制、不正防止
