ぼくの全チ全ノウ

Publish: 2024/2/11
Last Update: -

# 午後2(R5)を解く - 問2

令和5年度の午後2問題を解いてみます。


# 過去問


# 章に分解する

  • 設問ア

    • あなたが携わった個別システム化計画におけるシステムリスク対応方針の立案において、対象としたサービス個別システムの概要を、事業特性とともに800字以内で述べよ。

  • 設問ラベル化

    • 第一章 対象サービスと個別システムの概要
    • 1.1 対象としたサービス
    • 1.2 個別システムの概要

  • 設問イ

    • 設問アで述べた個別システムにおいて、あなたはどのようなシステムリスク対応方針を立案したか。想定したインシデントとインパクトを明らかにし、立案に当たり工夫した点とともに、800字以上1,600字以内で具体的に述べよ。

  • 設問ラベル化

    • 第二章 システムリスク対応方針の立案
    • 2.1 想定したインシデントとインパクト
    • 2.2 立案に当たり工夫した点

  • 設問ウ

    • 設問イで述べたシステムリスク対応方針について、あなたは事業部門と経営層にどのような提案を行い、承認を得たか。事業部門と経営層から指摘を受けて改善したこととともに、600字以上1,200字以内で具体的に述べよ。

  • 設問ラベル化

    • 第三章 システムリスク対応の提案と指摘を受けて改善したこと
    • 3.1 事業部門と経営層に行った提案
    • 3.2 指摘を受けて改善したこと


# 論文案

# 設問ア

第一章_対象としたサービスと個別システムの概要__
1.1_対象としたサービス____________
_A社はコンビニエンスストア(以下、コンビニという
)を全国展開する大手小売企業である。百貨店や食品ス
ーパーといった小売事業の他、自社内で銀行の仕組みも
提供している。__________________
_A社は、消費者の日用品を販売するコンビニ店舗を国
内に広く展開していることから、国内の重要な生活イン
フラとして継続的に安定したサービスの提供が求められ
る。その一方、A社はすでに多くの地域への出店を果た
しており、国内事業は飽和状態にある。A社は、新たな
付加価値のあるサービスを開発して、収益を拡大する方
針を打ち立てた。_________________
1.2_個別システムの概要____________
_新たな付加価値を提供するサービスの開発という方針
を受け、私は自社のコンビニの規模を活かし、電子決済
サービスの開発を検討した。スマートフォンの普及率が
高まっていることや、電子決済の需要が高まっているこ
とを考慮して、専用のアプリで決済を行えるようにする
ことを考えた。また、銀行の事業を営んでいる点でも、
既存の事業との親和性が高いと考えた。_______
_ただし、このような個別システムの開発、運営に際し
ては、消費者の資産に直結する仕組みであることもあり、
自社のセキュリティポリシーに基づいてサイバー攻撃に
よる決済情報の改ざん、不正アクセス、個人情報漏えい
などのリスクを適切に扱う必要があると考えた。___
_私はA社のITストラテジストとして、このようなセ
キュリティリスクを低減しつつ、新しい事業を推進する
ため、次のようなシステムリスクの対応方針を立案した。

# 設問イ

第二章_システムリスク対応方針の立案_______
2.1_想定したインシデントとインパクト_____
_これまで述べた通り、新しい電子決済システムは消費
者の資産に直結する金融の仕組みであるため、高い水準
でのセキュリティ管理が求められるという特性がある。
万が一にインシデントが発生した場合、自社の経営に与
えるインパクトは非常に大きいと考えている。なぜなら
ば、仮に問題が起きるとブランドイメージに対する影響
が考えられ、収益の主軸であるコンビニ事業にも波及す
ると考えたからである。また、小売事業の特性上、他社
コンビニへのスイッチングコストが低く、消費者の信頼
が得られないと、顧客離れが発生するというインパクト
が考えられる。__________________
2.2_立案に当たり工夫した点__________
_私は新しい電子決済サービスの展開に際し、セキュリ
ティを専門とする担当部署と連携し、金融システムに関
するセキュリティガイドラインに準ずるセキュリティ対
策を行い、システムリスクを低減するための対策を行う
こととした。具体的には、次の3つの観点で一定のセキ
ュリティを担保することとした。__________
①予防対策____________________
_不正ログイン被害の対策として、認証および認可の厳
格化を行い、アプリ利用者がログインする際にワンタイ
ムパスワードを使った多要素認証を必須とすることとし
た。契約者には専用の物理トークンを配布し、自分のト
ークンを有する者だけがログインできるようにした。_
②発生時対策___________________
_万が一に問題があった時に備え、迅速な情報共有のた
めの緊急連絡システムを構築し、ITセキュリティの担
当者とスピーディに連携するための連絡体制を整備した。
③復旧対策____________________
_復旧を迅速に行えるよう、バックアップの取得頻度や、
その実効性が確保されることが重要である。そこで、定
期的にリカバリの訓練を行うことを定め、バックアップ
の実効性を確認できる体制と取ることとした。____
_私は、これらのセキュリティ強化施策を実施すること
で、新しい電子決済サービスのシステムリスクを低減で
きると考えた。これらリスク対策を説明資料に整理し、
事業化の提案説明とともに経営層へ説明を行うこととし
た。

# 設問ウ

第三章_システムリスク対応の提案と指摘を受けて改善
したこと_____________________
3.1_事業部門と経営層におこなった提案_____
_私は、新しいサービスの展開に先立って、事業部門に
対して、事業の収益性が高まるというメリットを伝えた
上で、一方で定期的なリカバリ訓練や有事の際に状況を
取りまとめてITセキュリティ担当へ連携する必要があ
ることを説明した。結果、新しいサービスのオペレーシ
ョンが増加するものの、既存の体制で対応できることか
ら、快諾を得た。_________________
_次に、新たな電子決済サービスの提案について経営層
へ提案を行った。その際、システムリスクについてIT
セキュリティ部門と連携して立案した対策を行うことで、
少なくとも業界水準のリスク対策ができるため、事業を
進める上で十分な対策効果があることを説明した。また、
リスク低減を行う際の費用については、試作の準備、実
行、体制の維持や強化で見込まれるコストをITセキュ
リティ部門と試算し、新サービスから得られる収益と比
べてまかなうことができることを説明した。説明の結果、
多要素認証およびリカバリ訓練に関してはまずますの評
価を得た。一方、インシデント発生時の体制整備につい
ては、机上の空論とならないよう、その実効性を確保す
ることが課題となった。______________
3.2_指摘を受けて改善したこと_________
_経営層からのフィードバックを受け、私はインシデン
ト発生を想定した対応訓練を定期的に行うことで実効性
を確保することを考えた。具体的には、ITセキュリテ
ィ担当部署と連携し、実際に発生しうるインシデント事
例の調査、訓練シナリオの作成、訓練の実行を行い、継
続的な改善を行う計画とした。訓練の結果は、経営層も
参加する社内の情報セキュリティ委員会の場で毎年報告
を行い、残課題を翌年度の改善施策につなげることとし
た。_______________________
_これらインシデント対応訓練を行う場合、社内の人件
費が増加するため、その増加分について試算を行い、改
めて経営層への説明を実施した。その結果、電子決済サ
ービスの実行について承認を得ることができた。
ー以上ー

以上