問題本文
情報セキュリティの対策を,技術的セキュリティ対策,人的セキュリティ対策及び物理的セキュリティ対策の三つに分類するとき,物理的セキュリティ対策に該当するものはどれか。
選択肢
- ア.従業員と守秘義務契約を結ぶ。
- イ.電子メール送信時にディジタル署名を付与する。
- ウ.ノートPCを保管するときに施錠管理する。
- エ.パスワードの変更を定期的に促す。
正解
ウ. ノートPCを保管するときに施錠管理する。
解説
情報セキュリティ対策の3分類(技術的・人的・物理的)を問う問題. 情報セキュリティ対策はISMSの枠組み等で(1)技術的対策(暗号化,アクセス制御,ファイアウォール,アンチウイルス等),(2)人的対策(教育,守秘義務契約,意識付け),(3)物理的対策(入退室管理,施錠,監視カメラ,耐震免震等)の3つに分類される. 本問はノートPCの施錠保管が問われ,鍵をかけて物理的に持ち去りや不正利用を防ぐ施策は物理的セキュリティ対策の典型. 守秘義務契約は人的対策,電子署名・パスワード変更は技術的対策に分類される. 各分類の典型例と境界を押さえ,対策内容から所属を正しく判定することが鍵となる.
選択肢ごとの解説
- ア.誤り(人的対策). 従業員と守秘義務契約(秘密保持契約)を結ぶのは,従業者の意識・責任を明確化する人的セキュリティ対策に分類される. 法的義務を契約で課すことで人的要因による情報漏えいを抑止する施策であり,物理的対策(物・場所の対策)とは分類が異なる選択肢.
- イ.誤り(技術的対策). 電子メール送信時にデジタル署名を付与するのは暗号技術を利用した完全性・真正性確保策で,技術的セキュリティ対策に分類される. ソフトウェア機能による改ざん防止・送信者検証が主目的で,物理的対策とは別カテゴリの取り組みに該当する選択肢.
- ウ.正解. ノートPCを保管するときに施錠管理するのは,物理的に持ち去りや不正利用を防ぐ典型的な物理的セキュリティ対策. キャビネット施錠やセキュリティワイヤ・耐タンパー筐体など,物・場所を対象とした対策に該当し,設問の物理的対策の例として最も適切な選択肢となる.
- エ.誤り(技術的対策). パスワードの定期変更を促すのは認証情報の管理を強化する技術的セキュリティ対策(運用面ではあるがアクセス制御強化に該当). 物理的に何かを保護する取り組みではなく認証強度の維持策で,物理的対策のカテゴリには含まれない. 分類の取り違えに注意.
ITパスポート 2015年 (平成27年 秋期) の過去問一覧へ戻る・問51