情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成31年度春期 午前Ⅰ 問22: 事務所の物理的セキュリティ対策について，JIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）に基づいて情報セキュリティ監査を実施した。判

問題本文

事務所の物理的セキュリティ対策について，JIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）に基づいて情報セキュリティ監査を実施した。判明した状況のうち，監査人が監査報告書に指摘事項として記載すべきものはどれか。

選択肢

• ア.外部からの荷物の受渡しは，サーバ室などの情報処理施設にアクセスすることなく荷物の積降ろしができる場所で行っている。
• イ.機密性の高い情報資産が置かれている部屋には，入室許可を得た者が共通の暗証番号を入力して入室している。
• ウ.機密性の高い情報資産が置かれる部屋は，社員以外の者の目に触れる場所を避けて設けている。
• エ.取引先との打合せは，社員が業務を行っている執務室から分離された場所であって，かつ，機密性の高い情報資産が置かれていない場所で行っている。

正解

イ. 機密性の高い情報資産が置かれている部屋には，入室許可を得た者が共通の暗証番号を入力して入室している。

解説

物理的セキュリティでは、入退室を個人単位で識別・記録できることが重要。入室許可者が共通の暗証番号を使い回すと、誰が入室したか特定できず、漏えい時に責任追跡もできない。JIS Q 27002の観点から不備であり、監査人が指摘すべき状況としてイが正解。ア・ウ・エはいずれも望ましい管理策である。共通鍵・共通番号の使い回しは識別性を損なう典型的な弱点である。

選択肢ごとの解説

• ア.情報処理施設に立ち入らず荷物を授受できる搬出入場所の設置は適切な管理策で、指摘事項ではない。
• イ.共通の暗証番号での入室は個人を識別・追跡できず管理上不適切で、指摘すべき事項として正解。
• ウ.重要な部屋を外部の目に触れない場所に設けるのは適切な配慮で、指摘事項ではない。
• エ.打合せを執務室と分離し機密資産のない場所で行うのは適切な対策で、指摘事項ではない。