情報セキュリティマネジメント試験 過去問解説
サイバーセキュリティ経営ガイドラインとは?情報セキュリティマネジメント試験 平成29年度秋期 午前 問1を解説
情報セキュリティマネジメント試験 平成29年度秋期 午前 問1は、サイバーセキュリティ経営ガイドラインに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
経済産業省と IPA が策定した“サイバーセキュリティ経営ガイドライン(Ver 1.1)”に従った経営者の対応はどれか。
この問題の出題ポイント
- サイバーセキュリティ経営ガイドラインの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア緊急時における最高情報セキュリティ責任者(CISO)の独断専行を防ぐために,経営者レベルの権限をもたない者を CISO に任命する。
- イサイバー攻撃が模倣されることを防ぐために,自社に対して行われた攻撃についての情報を外部に一切提供しないよう命じる。
- ウサイバーセキュリティ人材を確保するために,適切な処遇の維持,改善や適切な予算の確保を指示する。正解
- エビジネスパートナとの契約に当たり,ビジネスパートナに対して自社が監査を実施することやビジネスパートナのサイバーセキュリティ対策状況を自社が把握することを禁止する。
正解
ウ: サイバーセキュリティ人材を確保するために,適切な処遇の維持,改善や適切な予算の確保を指示する。
解説
サイバーセキュリティ経営ガイドラインは、経営者が認識すべき3原則と、CISO等に指示すべき重要10項目を示した文書である。経営者にはリーダーシップによる対策推進、必要な資源(予算・人材)の確保、ビジネスパートナを含めたサプライチェーン全体の対策、適切な情報共有などが求められる。正解はウで、人材確保のために適切な処遇や予算の確保を指示することはガイドラインの趣旨に合致する。
なぜ他の選択肢が違うのか
ア
誤り。CISO には組織横断的に対策を統括できるよう、経営者レベルの権限を与えるべきであり、権限をもたない者の任命は不適切である。
イ
誤り。ガイドラインは攻撃情報を関係機関や業界と共有し、被害拡大防止に役立てることを推奨しており、情報を一切提供しないのは趣旨に反する。
ウ(正解)
正しい。サイバーセキュリティ人材の確保・育成のため、適切な処遇や予算を確保することは、ガイドラインが経営者に求める重要項目である。
エ
誤り。サプライチェーン全体のセキュリティ確保のため、ビジネスパートナの対策状況の把握や監査はむしろ実施すべきで、禁止は不適切である。
解き方の整理
サイバーセキュリティ経営ガイドラインの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。