A 社は従業員 600 名の投資コンサルティング会社である。東京の本社には,情報システム部,監査部などの管理部門があり,関西に B 支店がある。B 支店の従業員は 10 名である。
B 支店では,情報システム部が運用管理しているファイルサーバを使用しており,顧客情報を含むファイルを一時的に保存する場合がある。その場合,ファイルのアクセス権は,当該ファイルを保存した従業員が最小権限の原則に基づいて設定する。今年,B 支店では,従業員にヒアリングを行い,ファイルのアクセス権がそのとおりに設定されていることを確認した。
〔自己評価の実施〕
A 社では,1 年に 1 回,監査部が各部門に,評価項目を記載したシート(以下,自己評価シートという)を配布し,自己評価の実施と結果の提出を依頼している。
B 支店で情報セキュリティリーダーを務める C 氏は,監査部から送付されてきた自己評価シートに従って,職場の状況を観察したり,従業員にヒアリングしたりして評価した。自己評価シートの評価結果は図 1 の判定ルールに従って記入する。C 氏が作成した B 支店の評価結果を表 1 に示す。
・評価項目どおりに実施している場合:“OK”
・評価項目どおりには実施していないが,代替コントロールによって,“OK”の場合と同程度にリスクが低減されていると考えられる場合:“(OK)”(代替コントロールを具体的に評価根拠欄に記入する。)
・評価項目どおりには実施しておらず,かつ,代替コントロールによって評価項目に関するリスクが抑えられていないと考えられる場合:“NG”
・評価項目に関するリスクがそもそも存在しない場合:“NA”
図1 評価結果の判定ルール
表1 B 支店の評価結果(抜粋)
No.
評価項目
評価結果
評価根拠
10
(省略)
OK
(省略)
19
ファイルサーバ上の顧客情報のアクセス権は最小権限の原則に基づいて設定されている。
a
25
(省略)
OK
(省略)
設問 表 1 中の a に入れる字句はどれか。解答群のうち,最も適切なものを選べ。
a に関する解答群
評価結果
評価根拠
ア
OK
アクセス権の設定状況が適切であることを確認した。
イ
OK
アクセス権を適切に設定するルールが存在することを確認した。
ウ
OK
ファイルサーバは情報システム部が運用管理している。
エ
NA
顧客情報をファイルサーバに保存することは禁止されている。
問題本文
A 社は従業員 600 名の投資コンサルティング会社である。東京の本社には,情報システム部,監査部などの管理部門があり,関西に B 支店がある。B 支店の従業員は 10 名である。 B 支店では,情報システム部が運用管理しているファイルサーバを使用しており,顧客情報を含むファイルを一時的に保存する場合がある。その場合,ファイルのアクセス権は,当該ファイルを保存した従業員が最小権限の原則に基づいて設定する。今年,B 支店では,従業員にヒアリングを行い,ファイルのアクセス権がそのとおりに設定されていることを確認した。 〔自己評価の実施〕 A 社では,1 年に 1 回,監査部が各部門に,評価項目を記載したシート(以下,自己評価シートという)を配布し,自己評価の実施と結果の提出を依頼している。 B 支店で情報セキュリティリーダーを務める C 氏は,監査部から送付されてきた自己評価シートに従って,職場の状況を観察したり,従業員にヒアリングしたりして評価した。自己評価シートの評価結果は図 1 の判定ルールに従って記入する。C 氏が作成した B 支店の評価結果を表 1 に示す。 ・評価項目どおりに実施している場合:“OK” ・評価項目どおりには実施していないが,代替コントロールによって,“OK”の場合と同程度にリスクが低減されていると考えられる場合:“(OK)”(代替コントロールを具体的に評価根拠欄に記入する。) ・評価項目どおりには実施しておらず,かつ,代替コントロールによって評価項目に関するリスクが抑えられていないと考えられる場合:“NG” ・評価項目に関するリスクがそもそも存在しない場合:“NA” 図1 評価結果の判定ルール 表1 B 支店の評価結果(抜粋) 設問 表 1 中の a に入れる字句はどれか。解答群のうち,最も適切なものを選べ。 a に関する解答群