問題本文
セキュリティを保つべきサーバルームの運用例として,適切なものはどれか。
選択肢
- ア.管理を容易にするために,入退室に使用するIDカードは個人ごとではなく部署ごとに発行する。
- イ.全従業員や来訪者に所在が分かるように,入口に室名表示をする。
- ウ.入退室の情報が漏えいすることを防止するために,入退室の記録は取らない。
- エ.不正行為を防止するために,監督者がいないときはサーバ室で作業させない。
正解
エ. 不正行為を防止するために,監督者がいないときはサーバ室で作業させない。
解説
サーバルームのセキュリティ運用では,(1)入退室を厳格に管理し記録を残す,(2)IDカードや認証手段は個人単位で発行・運用する,(3)外部から所在を容易に特定されない表示・設置を心掛ける,(4)監督者不在時の単独作業を制限する,などが基本となる. これらは内部不正・物理侵入・情報漏えいといったリスクを抑える物理的セキュリティ対策にあたる. 部署単位のIDカード発行や入退室記録を取らない運用,所在の積極的表示は内部不正の温床や物理侵入リスクを高めるため不適切. 監督者不在時の単独作業を許さない運用が最も適切な選択肢となる.
選択肢ごとの解説
- ア.誤り. 入退室用IDカードを個人ごとではなく部署ごとに発行する運用は,誰がいつ入退室したかという個人単位の追跡記録が困難になり,内部不正発生時の責任追跡が機能しなくなる. サーバルームのセキュリティ運用としては個人単位のID発行が基本であり,部署単位の発行は本問の適切な運用例とはならない.
- イ.誤り. サーバルームの入口に室名表示をして全従業員や来訪者に所在を分かるようにする運用は,本来知る必要のない人にも重要施設の位置を明示することになり,物理的侵入や攻撃のリスクを増大させる. サーバルームの存在は最小限の関係者にのみ知らせるべきで,本選択肢は適切な運用例ではない.
- ウ.誤り. 入退室情報の漏えい防止を理由に入退室の記録を取らないとする運用は,逆に内部不正・物理侵入時の追跡や監査ができなくなり,リスク管理上の重大な欠陥となる. 入退室記録は厳格に管理しつつ保存することがセキュリティ運用の基本であり,本選択肢は不適切である.
- エ.正しい. 不正行為を防止するために監督者がいないときはサーバ室で作業させない運用は,内部者単独による不正操作や事故を抑止する典型的な物理セキュリティ対策である. 監督者の在席・複数人立会いを義務付けることで相互牽制が働き,リスク低減につながるため,本問の適切な運用例として最も適切となる.
ITパスポート 2016年 (平成28年 春期) の過去問一覧へ戻る・問89