情報セキュリティマネジメント試験 過去問解説
選択とは?情報セキュリティマネジメント試験 科目B 問57を解説
情報セキュリティマネジメント試験 科目B 問57は、選択に関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
A 社は従業員 600 名の投資コンサルティング会社である。東京の本社には,情報システム部,監査部などの管理部門があり,関西に B 支店がある。B 支店の従業員は 10 名である。 B 支店では,情報システム部が運用管理しているファイルサーバを使用しており,顧客情報を含むファイルを一時的に保存する場合がある。その場合,ファイルのアクセス権は,当該ファイルを保存した従業員が最小権限の原則に基づいて設定する。今年,B 支店では,従業員にヒアリングを行い,ファイルのアクセス権がそのとおりに設定されていることを確認した。 〔自己評価の実施〕 A 社では,1 年に 1 回,監査部が各部門に,評価項目を記載したシート(以下,自己評価シートという)を配布し,自己評価の実施と結果の提出を依頼している。 B 支店で情報セキュリティリーダーを務める C 氏は,監査部から送付されてきた自己評価シートに従って,職場の状況を観察したり,従業員にヒアリングしたりして評価した。自己評価シートの評価結果は図 1 の判定ルールに従って記入する。C 氏が作成した B 支店の評価結果を表 1 に示す。 ・評価項目どおりに実施している場合:“OK” ・評価項目どおりには実施していないが,代替コントロールによって,“OK”の場合と同程度にリスクが低減されていると考えられる場合:“(OK)”(代替コントロールを具体的に評価根拠欄に記入する。) ・評価項目どおりには実施しておらず,かつ,代替コントロールによって評価項目に関するリスクが抑えられていないと考えられる場合:“NG” ・評価項目に関するリスクがそもそも存在しない場合:“NA” 図1 評価結果の判定ルール 表1 B 支店の評価結果(抜粋) 設問 表 1 中の a に入れる字句はどれか。解答群のうち,最も適切なものを選べ。 a に関する解答群
この問題の出題ポイント
- 選択の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア評価結果:OK / 評価根拠:アクセス権の設定状況が適切であることを確認した。正解
- イ評価結果:OK / 評価根拠:アクセス権を適切に設定するルールが存在することを確認した。
- ウ評価結果:OK / 評価根拠:ファイルサーバは情報システム部が運用管理している。
- エ評価結果:NA / 評価根拠:顧客情報をファイルサーバに保存することは禁止されている。
正解
ア: 評価結果:OK / 評価根拠:アクセス権の設定状況が適切であることを確認した。
解説
図1の判定ルールでは,評価項目どおりに実施していれば“OK”とし,評価根拠にはその裏付けを書く。B 支店は今年ヒアリングを行い,顧客情報のアクセス権が最小権限の原則どおりに設定されていることを実際に確認しているので,評価結果は“OK”,根拠は設定状況が適切であることを確認した旨となる。よって選択肢アが正解である。
なぜ他の選択肢が違うのか
ア(正解)
正しい。B 支店は実際の設定状況を確認しており,評価項目どおりに実施していることの直接の裏付けになる。判定ルールの“OK”に対応する根拠として最も適切である。
イ
ルールが存在することは適切に運用されている保証にはならず,実際の設定が原則どおりか確認したことにならない。評価項目の充足を示す根拠として不十分である。
ウ
ファイルサーバを情報システム部が運用管理しているという事実は,個々のファイルのアクセス権が最小権限で設定されているかとは無関係であり,“OK”の根拠にならない。
エ
B 支店は顧客情報を含むファイルを一時的にファイルサーバへ保存しており,保存が禁止されている事実はない。リスクが存在しない(NA)とする前提が誤っている。
解き方の整理
選択の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
科目B の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。