基本情報技術者試験 ap-2021r03h-a 午前 問58: 情報セキュリティ管理基準（平成28年）を基に，情報システム環境におけるマルウェア対策の実施状況について監査を実施した。判明したシステム運用担当者の対応状況のうち

問題本文

情報セキュリティ管理基準（平成28年）を基に，情報システム環境におけるマルウェア対策の実施状況について監査を実施した。判明したシステム運用担当者の対応状況のうち，監査人が，指摘事項として監査報告書に記載すべきものはどれか。

選択肢

• ア.Webページに対して，マルウェア検出のためのスキャンを行っている。
• イ.マルウェア感染によって被害を受けた事態を想定して，事業継続計画を策定している。
• ウ.マルウェア検出のためのスキャンを実施した上で，組織として認可していないソフトウェアを使用している。
• エ.マルウェアに付け込まれる可能性のある脆弱性について情報収集を行い，必要に応じて修正コードを適用し，脆弱性の低減を図っている。

正解

ウ. マルウェア検出のためのスキャンを実施した上で，組織として認可していないソフトウェアを使用している。

解説

指摘事項とは、監査の判断基準（管理基準）に照らして問題があり、改善が必要な事項である。マルウェア対策では、組織が認可していないソフトウェアの使用を禁止することが基本であり、スキャンを実施していたとしても認可外のソフトウェアを使っていれば管理基準違反となるため、これを指摘事項とする選択肢ウが正解である。他の選択肢は適切なマルウェア対策であり、指摘の対象にはならない。

選択肢ごとの解説

• ア.Webページに対してマルウェア検出スキャンを行うのは適切な対策であり、問題ではないため指摘事項にはならない。
• イ.マルウェア感染を想定して事業継続計画を策定するのは望ましい備えであり、指摘事項にはならない。
• ウ.スキャンを実施していても、組織が認可していないソフトウェアの使用は管理基準に反する不適切な行為であり、改善が必要なため指摘事項として正解である。
• エ.脆弱性情報を収集して修正コードを適用し脆弱性を低減するのは適切な対策であり、指摘事項にはならない。