情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度春期 午前 問7: IPA “組織における内部不正防止ガイドライン”にも記載されている，組織の適切な情報セキュリティ対策はどれか。

問題本文

IPA “組織における内部不正防止ガイドライン”にも記載されている，組織の適切な情報セキュリティ対策はどれか。

選択肢

• ア.インターネット上の Web サイトへのアクセスに関しては，コンテンツフィルタ（URL フィルタ）を導入して，SNS，オンラインストレージ，掲示板などへのアクセスを制限する。
• イ.業務の電子メールを，システム障害に備えて，私用のメールアドレスに転送するよう設定させる。
• ウ.従業員がファイル共有ソフトを利用する際は，ウイルス対策ソフトの誤検知によってファイル共有ソフトの利用が妨げられないよう，ウイルス対策ソフトの機能を一時的に無効にする。
• エ.組織が使用を許可していないソフトウェアに関しては，業務効率が向上するものに限定して，従業員の判断でインストールさせる。

正解

ア. インターネット上の Web サイトへのアクセスに関しては，コンテンツフィルタ（URL フィルタ）を導入して，SNS，オンラインストレージ，掲示板などへのアクセスを制限する。

解説

内部不正防止では，情報の持出し経路を技術的に制限することが有効とされる。コンテンツフィルタで SNS・オンラインストレージ・掲示板などへのアクセスを制限すれば情報の外部流出経路を絞れるため，アが適切で正解である。

選択肢ごとの解説

• ア.URL フィルタで情報持出しにつながるサイトへのアクセスを制限することは内部不正防止に有効であり，正しい。
• イ.業務メールを私用アドレスへ転送させると情報が組織の管理外へ流出する経路となり，内部不正を助長するため不適切である。
• ウ.ウイルス対策ソフトを一時的に無効化するとマルウェア感染リスクが高まり，セキュリティ対策として不適切である。
• エ.許可されていないソフトウェアを従業員判断でインストールさせると脆弱性やマルウェア混入の温床となり，不適切である。