- 午後Ⅱ(小論文)でいつもつまづいている
- 小論文のネタを探している
- 合格者のアドバイスを受けたい
プロジェクトマネージャ試験の午後Ⅱの小論文を作成してみました。小論文のネタ探しや午後Ⅱ対策の参考にしてもらえるとうれしいです。
問題文および設問
具体的な問題はIPAにてご確認ください。
解答例
設問ア
1.プロジェクトの概要と特徴
1.1.プロジェクトの目的と規模
私が担当したプロジェクトは、金融機関向けの顧客管理システムを刷新するもので、既存システムから新システムへ約20万件の顧客データを移行することが目的だった。私は本プロジェクトにプロジェクトマネージャとした参画した。
移行対象の顧客データには氏名、住所、取引履歴などの機密性の高い情報があるため、システム開発とデータ移行のプロセスを進める中で、情報セキュリティリスクを適切に管理することが課題であった。
1.2.情報セキュリティリスクの特定
1)データ移行時のリスク
データ移行時には、新システムに適したデータ構造へ変更を行う必要があったが、この作業は主に開発環境で実施されていた。
このため、開発環境で顧客情報を一時的に保持する場面があり、協力会社のメンバも開発環境にアクセス可能であったため、顧客情報の漏えいや改ざんのリスクがあった。
2)接続確認テスト時の不正アクセスリスク
接続確認テストでは、既存の稼働システムに対して新システムが正しく接続できるかを検証するため、財務情報を含む実際のデータを参照する必要があった。この段階では、アクセス権限の管理が十分に行われておらず、複数のメンバが財務情報にアクセス可能な状態であったため、不正アクセスや情報漏洩が懸念された。顧客や組織の信用にかかわるため、これらのリスクを適切に評価し、運営面および技術面での予防策が必須であった。
(636文字)
設問イ
2.運営面の予防策とメンバへの周知
2.1.運営面の予防策
プロジェクト内で重要データ取り扱いルールが徹底されていないと、管理不備による重大な信用リスクにつながるため、運営面の予防策では、「誰が」「何を」「どのように」取り扱うかを明確化することを重要と考えた。
具体的には、下記の2点の予防策をとることにした。
1)個人情報保護に関する役割分担の明確化
データ移行の際に個人情報が取り扱われることから、情報の取り扱いに関して、まず明確な役割分担を策定した。具体的には、顧客情報を扱うのはセキュリティ研修を受けた社員のみとし、協力会社のメンバはアクセス不可とした。
また、顧客情報の加工や変換のために専任チームをアサインし、開発環境ではなく「ステージング環境」で加工・変換を行うことにした。機密情報にアクセスできる環境と、要員を制限することで、漏えいや改ざんのリスクを低減する狙いがあった。
2)アクセス権限と操作ログの管理
接続確認テスト時には、アクセス権限の制限を厳格に定義し、財務情報へのアクセスはプロジェクトリーダーからの承認を得たメンバのみとした。特にPLとPMでの二重承認の手順を導入し、アクセス者を限定することで不正アクセスを防ぐ工夫を行った。
また、操作ログを取得・保管することにより、万が一の問題発生時に原因究明を迅速に行えるようにした。
2.2.メンバへ周知方法
1)手順書とマニュアルの整備
プロジェクトメンバが情報セキュリティ予防策を正しく理解・実行できるよう、手順書とマニュアルを整備した。
特に、情報の取り扱いに関するガイドラインとして「個人情報保護マニュアル」や「アクセス権限管理手順書」を作成し、各メンバが具体的な作業手順を理解できるようにした。
2)定期的なセキュリティ研修
定期的にセキュリティ研修を実施し、特にデータ移行の際や接続確認テストの前に、研修を受けたメンバのみが作業できる体制を構築した。
研修では、リスクの具体的な内容や対応手順を作成した手順書とマニュアルを使って繰り返し説明することで、メンバの意識を高めるとともに、実際の手順や注意点を実演し、理解を深めるようにした。
情報セキュリティに関する周知徹底の工夫として、例えば、予防策の理解度を確認するために、研修や説明会後にフォローアップの機会を設けた。メンバが予防策に関して疑問を抱えたまま、プロジェクトを進行しないよう配慮したためである。
(1066文字)
設問ウ
3.モニタリングの仕組みと発見された問題の対処
3.1.モニタリングの仕組み
情報セキュリティに関するリスクは早期に検知し対処することが重要であると考え、下記2点の仕組みを導入した。
1)定期的なレビューと監査
プロジェクトの進行中に情報セキュリティ対策の遵守状況を確認するため、週次のレビュー会議を実施することにした。
会議では、各メンバの操作ログを確認し、特にアクセス権限や実際の操作に関する違反がないかをチェックする手法を採用した。
操作ログを基に、アクセス状況をモニタリングすることで、セキュリティ対策の実効性を評価することが狙いであった。
また、レビューや監査のプロセスを定期的に行うことで、情報セキュリティの意識が日常的に根付くことを期待した。
2)自己チェックリストの活用
メンバ自身が予防策を遵守しているかを確認できるように、自己チェックリストを配布した。
チェックリストには「個人情報取り扱いにおける確認事項」や「アクセス権限管理の遵守状況」などを含め、作業前に必ず確認するようにした。メンバの自己管理を促し、セキュリティ意識を高める狙いがあった。
また、自己チェックリストの活用は、メンバによる自発的にセキュリティ対策への取り組みを習慣化すると言った、長期的な効果も期待していた。
3.2.発見された問題とその対処
1)問題の発見と原因究明
週次のレビュー会議中の操作ログ確認により、アクセス権限を持たないメンバが誤って財務情報にアクセスした形跡を発見した。
原因究明の結果、操作権限の設定作業にミスがあり、本来個人情報にのみアクセス可能にするべきところを、財務情報へのアクセス権限も付与していた。
すぐに権限設定の修正と、アクセスしたメンバへのヒアリングを行った。当該メンバはアクセスした意識もなく、情報漏洩の形跡もなかったことから、意図したアクセスではなくたまたまアクセスできてしまったものと判断した。
2)対処策と再発防止策
根本原因の分析のため、なぜなぜ分析を行った。
具体的には、当事者以外にPMOのメンバーをメンターとして参加する会議を開催して、原因を掘り下げていくようにした。
会議の場では、特に原因を人に紐づけるのではなく、仕組みやルールにあることを協調するように配慮した。往々にして犯人捜しになりがちであるため、当事者が率直な意見を出せなくなる事態を避ける狙いがあった。
根本原因分析の結果、権限設定の方法が煩雑であることにより、人為ミスが発生しやすい状況であることが判明した。そこで、権限設定用のツールを作成し、設定作業を半自動化した。
(1141文字)
まとめ
自分自身の論文のネタにするためには、サンプル論文はいくらあってもよいと思います。
このブログに記載したサンプル論文が役に立つとうれしいです。
参考図書
自分が受験したときに使用した参考図書は、下記の旧版です。
「最速の論述対策」で、回答文章のモジュール化と章立ての基本テクニックを学び、「合格論文の書き方」で自分の経験でモジュール化できなかった部分の補強を行い、過去問で実際に手書きの練習をしました。
上記はプロジェクトマネージャ試験の対策本ですが、ITサービスマネージャ試験でも通用する内容です。
コメント