応用情報技術者試験 応用情報技術者試験 平成31年度春期 午前 問60: 事務所の物理的セキュリティ対策について，JIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）に基づいて情報セキュリティ監査を実施した。判

問題本文

事務所の物理的セキュリティ対策について，JIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）に基づいて情報セキュリティ監査を実施した。判明した状況のうち，監査人が監査報告書に指摘事項として記載すべきものはどれか。

選択肢

• ア.外部からの荷物の受渡しは，サーバ室などの情報処理施設にアクセスすることなく荷物の積降ろしができる場所で行っている。
• イ.機密性の高い情報資産が置かれている部屋には，入室許可を得た者が共通の暗証番号を入力して入室している。
• ウ.機密性の高い情報資産が置かれる部屋は，社員以外の者の目に触れる場所を避けて設けている。
• エ.取引先との打合せは，社員が業務を行っている執務室から分離された場所であって，かつ，機密性の高い情報資産が置かれていない場所で行っている。

正解

イ. 機密性の高い情報資産が置かれている部屋には，入室許可を得た者が共通の暗証番号を入力して入室している。

解説

物理的セキュリティ対策のうち問題がある状況(指摘事項)を選ぶ問題である。指摘事項とは改善が必要な不備のことである。入室許可者が“共通の”暗証番号を使うと、誰がいつ入室したかを個人ごとに特定できず、暗証番号の漏えい時の影響も大きいため、入退室管理として不備があり指摘すべきである。よってイが正解である。他の選択肢はいずれも適切な物理的対策であり、指摘の必要はない。

選択肢ごとの解説

• ア.荷物の受渡しを情報処理施設にアクセスせずに行えるようにするのは適切な対策(受渡場所の分離)であり、指摘事項ではない。
• イ.共通の暗証番号での入室は、個人ごとの入退室の記録・追跡ができず漏えい時の影響も大きい不備であり、指摘事項として記載すべきなので正しい。
• ウ.機密情報を置く部屋を外部の者の目に触れない場所に設けるのは適切な対策であり、指摘事項ではない。
• エ.取引先との打合せを執務室から分離し機密情報のない場所で行うのは適切な対策であり、指摘事項ではない。