- 午後Ⅱ(小論文)でいつもつまづいている
- 小論文のネタを探している
- 合格者のアドバイスを受けたい
プロジェクトマネージャ試験の午後Ⅱの小論文を作成してみました。小論文のネタ探しや午後Ⅱ対策の参考にしてもらえるとうれしいです。
問題文および設問
具体的な問題はIPAにてご確認ください。
問題文
問1 システム開発業務における情報セキュリティの確保について
プロジェクトマネージャ(PM)は、システム開発プロジェクトの遂行段階における情報セキュリティの確保のために、個人情報、営業や財務に関する情報などに対する情報漏えい、改ざん、不正アクセスなどのリスクに対応しなければならない。
PMは、プロジェクト開始に当たって、次に示すような、開発業務における情報セキュリティ上のリスクを特定する。
・データ移行の際に、個人情報を開発環境に取り込んで加工してから新システムに移行する場合、情報漏えいや改ざんのリスクがある
・接続確認テストの際に、稼働中のシステムの財務情報を参照する場合、不正アクセスのリスクがある
PMは、特定したリスクを分析し評価した上で、リスクに対応するために、技術面の予防策だけでなく運営面の予防策も立案する。運営面の予防策では、個人情報の取扱時の役割分担や管理ルールを定めたり、財務情報の参照時の承認手続や作業手順を定めたりする。立案した予防策は、メンバに周知する。
PMは、プロジェクトのメンバが、プロジェクトの遂行中に予防策を遵守していることを確認するためのモニタリングの仕組みを設ける。問題が発見された場合には、原因を究明して対処しなければならない。
あなたの経験と考えに基づいて、設問ア~ウに従って論述せよ。
設問ア
あなたが携わったシステム開発プロジェクトのプロジェクトとしての特徴、情報セキュリティ上のリスクが特定された開発業務及び特定されたリスクについて、800字以内で述べよ。
設問イ
設問アで述べたリスクに対してどのような運営面の予防策をどのように立案したか。また、立案した予防策をどのようにメンバに周知したか。重要と考えた点を中心に、800字以上1600字以内で具体的に述べよ。
設問ウ
設問イで述べた予防策をメンバが遵守していることを確認するためのモニタリングの仕組み、及び発見された問題とその対処について、600字以上1200字以内で具体的に述べよ。
解答例
設問ア
1.プロジェクト概要と情報セキュリティリスク
1.1.プロジェクトの概要
私が担当したPMとして参画したのは、アパレルA社の次世代ECサイト構築プロジェクトである。目的は顧客体験向上と売上拡大で、期間18か月、要員約50名、予算3億円規模であった。本プロジェクトには、次の特徴があった。
1)会員情報やカード情報等を大量に取り扱う
2)決済代行やCRM等の多数の外部システムと常時連携する
3)複数ベンダーによる開発体制下で、納期短縮とセキュリティ専門要員不足という制約
これら制約下での情報セキュリティ確保が、PMの責務であった。
1.2.情報セキュリティリスクが特定された開発業務
上記特徴を踏まえ、下記の開発業務にセキュリティリスクがあった。
1)顧客データ移行バッチ処理の開発・テスト
旧サイトの約500万件の顧客データを、新サイトへ移行する処理の開発・テストである。個人情報等を扱うため、以下のリスクがあった。
・個人情報の不正取得・漏えい
開発・テスト環境のデータ、中間ファイルから個人情報が不正取得・漏えいする。匿名化不備による個人特定可能な情報の残存を懸念した。
・個人情報の意図しない改ざん・破壊
プログラムの欠陥や作業ミスで顧客データが改ざん・破壊される。事業継続への影響は甚大である。
2)クレジットカード決済機能の結合テスト
新サイトと外部決済システム間の連携テストである。テスト用カード情報を使用するが、以下のリスクがあった。
・クレジットカード関連情報の漏えい
テスト環境の設定不備やテストデータ管理不備で情報が漏えいする。
・不正アクセス・不正利用
認証情報管理不備等で不正アクセスされ、決済システムが不正操作される。ブランド毀損や金銭的被害を重大リスクと認識した。
(791文字)
設問イ
2.リスクに対する運営面の予防策
技術的対策を補完し、人的要因によるインシデントを防ぐ予防策を立案・周知した。予防策は、本プロジェクトの制約を考慮し、実効性と遵守しやすさを重視した。形骸化を防ぎ、メンバーが納得し自律的に行動できる策であるべきと考えた。
2.1.運営面の予防策の立案
各予防策は、セキュリティ対策を阻害要因とせず、高品質のシステム構築を目指して、自律的行動を促すことが最も重要と考えて、立案にあたった。
1)顧客データ移行バッチ処理の開発・テスト業務における予防策
・データ取り扱い体制の厳格化と役割・責任の明確化
作業担当者を限定し、秘密保持誓約書署名と教育受講を義務化。メンバーのセキュリティリテラシー向上が最重要と考えた。チームにセキュリティ責任者を任命し、遵守状況監督とPMへの報告体制を確立した。
・個人情報取り扱い手順の標準化と証跡管理の徹底
実データ利用は申請承認制とし、アクセスログをレビュー。マスキング処理は手順化し、A社レビュー後、ダブルチェックを必須とした。これはヒューマンエラー防止に不可欠と判断した。作業記録も義務付け、インシデント時の原因究明を可能にした。
・重要データの持ち出し及びローカル保管に関する管理ルールの策定
紛失・盗難リスク最小化のため、可搬媒体への保存やローカル保管は原則厳禁とした。やむを得ない場合はPM承認と暗号化を必須とし、作業完了後の完全消去と報告を義務付けた。
2)クレジットカード決済機能の結合テスト業務における予防策
・テスト環境へのアクセス統制とアカウント管理の厳格化
担当者毎に固有IDを発行し、メンバー間での共有を禁止した。アカウント情報は台帳管理し、月次棚卸を実施。メンバー異動時は速やかに無効化することにした。不要アカウントの残存リスクの排除を意図したものである。
・テストデータのライフサイクル管理ルールの整備
テスト用ダミーカード番号利用を徹底した。マスキング済みデータの使用は承認制とし、使用後は完全消去と記録を義務付けた。
・インシデント発生時の報告ルール確立
発見時の即時報告ルートを定め、報告様式や連絡先をポータルに掲示した。初期対応の遅れを防ぐため「疑わしい場合はとりあえず報告する」を徹底する雰囲気作りを心掛けた。
2.2.立案した予防策のメンバへの周知方法
周知で最も重要と考えたのは、ルールだけでなく、その必要性やメリットを説明し、メンバーの理解と共感を醸成し、自律的行動を促すことと考えた。
1)業務特性に応じた分科会形式での詳細説明とQ&Aセッションの実施
高リスクの業務を担当するチームを対象に、それぞれの業務に特化したセキュリティルールや作業手順を詳細に説明する分科会を実施した。双方向のコミュニケーションが、ルールの受容性を高め、実効性を確保する上で特に重要であると考えた。
2)情報セキュリティ教育コンテンツの提供と理解度確認テスト及びフィードバック
全メンバー必須のeラーニングに加え、オンライン形式の理解度確認テストを実施し、合格点に達しないメンバーにはPMまたはセキュリティ責任者が個別にフォローアップを行った。この個別対応は、知識の確実な定着とセキュリティ意識の個人差解消に不可欠と判断した。
3)継続的なリマインドと情報共有のためのチャネル整備及び活用
週次のチームリーダー定例会で、セキュリティ関連トピックやヒヤリハット事例を共有し、チーム内での周知徹底を図った。また、プロジェクト共有ポータルサイトに、セキュリティハンドブック、申請様式、Q&A集などを集約し、メンバーが常時参照できる状態にした。これにより、疑問を抱えたまま作業を進めるリスクの低減を狙った。
(1599文字)
設問ウ
3.予防策遵守確認のモニタリングと発見された問題及び対処
予防策遵守とリスク低減のため、多角的にモニタリングすることにした。性弱説に立ち、定期的チェックと相互牽制でルール形骸化を防ぎ、遵守意識を維持向上させることを、基本方針とした。自律的なPDCA体制を目指し、問題発見時は根本原因究明と再発防止することを重視した。
3.1.予防策遵守を確認するためのモニタリングの仕組み
メンバー負担と効果のバランスを考慮し、以下4つの仕組みを運用した。
1)ルール遵守状況のセルフチェックとチームリーダーによるレビュー
主要ルールの遵守チェックリストを週次で配布し自己点検を義務化。リーダーがレビューしPMへ報告。メンバーの内省とリーダーの監督機能強化を狙った。
2)システムログの定期的な監査
重要操作ログをシステム取得し、セキュリティ責任者が週次監査、PMが月次レビューを実施。不正やミス早期発見のため技術的手段として導入し、アラート仕組みも一部活用した。
3)作業場所の物理的セキュリティ状況の不定期巡回点検
PM等が予告なしに月2回程度巡回。クリアデスク、機密書類管理、可搬媒体持込禁止等を目視点検。日常的な緊張感維持とルール形骸化防止を期待した。
4)開発成果物のセキュリティ観点でのサンプリングレビュー
ソースコードや設計書をサンプリングし、セキュリティ機能実装や考慮漏れをレビュー。技術的脆弱性の早期特定と修正によるシステム堅牢性向上を目的とした。
3.2.発見された問題とその対処
月次アカウント棚卸で、契約終了予定のD氏のアカウントが無効化ルール通り早期処理されず、1か月先まで有効になっていたことが発覚。放置すれば退職後の不正アクセス等、重大インシデントの可能性があった。原因は、D氏の契約終了情報の連携遅延、担当者のルール誤認(緊急性認識不足)、棚卸チェック項目不備の複合要因と特定した。
対処として、まずD氏アカウントを最終出社日に即時無効化しPMが確認。再発防止のため、情報連携プロセスを再整備し、協力会社へ早期通知を要請、PMからの迅速な情報共有フローを確立した。次にアカウント管理手順書を改訂し、退職・離任時のアカウント即時無効化ルールと具体的作業手順を明記、全関係者に再周知した。これにより不要なアクセス権限残存リスク低減を意図した。さらに月次アカウント棚卸チェックリストに「退職者リストとの突合による無効化予定日確認」を必須化し、チェック漏れ防止を強化した。この対応を通じ、ルール運用と継続的改善の重要性を再認識した。
(1102文字)
まとめ
自分自身の論文のネタにするためには、サンプル論文はいくらあってもよいと思います。
このブログに記載したサンプル論文が役に立つとうれしいです。
参考図書
自分が受験したときに使用した参考図書は、下記の旧版です。
「最速の論述対策」で、回答文章のモジュール化と章立ての基本テクニックを学び、「合格論文の書き方」で自分の経験でモジュール化できなかった部分の補強を行い、過去問で実際に手書きの練習をしました。
上記はプロジェクトマネージャ試験の対策本ですが、ITサービスマネージャ試験でも通用する内容です。
コメント