応用情報技術者 2019年 春期 午前2 問60
問題文
事務所の物理的セキュリティ対策について,JIS Q 27001:2014(情報セキュリティ管理策の実践のための規範)に基づいて情報セキュリティ監査を実施した。判明した状況のうち、監査人が監査報告書に指摘事項として記載すべきものはどれか。
選択肢
ア:外部からの荷物の受渡しは、サーバ室などの情報処理施設にアクセスすることなく荷物の積降ろしができる場所で行っている。
イ:機密性の高い情報資産が置かれている部屋には、入室許可を得た者が共通の暗証番号を入力して入室している。(正解)
ウ:機密性の高い情報資産が置かれる部屋は、社員以外の者の目に触れる場所を避けて設けている。
エ:取引先との打合せは、社員が業務を行っている執務室から分離された場所であって、かつ、機密性の高い情報資産が置かれていない場所で行っている。
事務所の物理的セキュリティ対策について【午前2 解説】
要点まとめ
- 結論:機密性の高い情報資産の部屋に共通の暗証番号で入室している場合は、監査報告書に指摘すべき重大なセキュリティリスクです。
- 根拠:JIS Q 27001:2014では、物理的アクセス制御において個別認証や適切なアクセス管理が求められており、共通暗証番号は不適切とされます。
- 差がつくポイント:共通暗証番号の使用は、誰が入室したかの追跡が困難であり、内部不正や情報漏洩のリスクを高めるため、監査で必ず指摘される重要なポイントです。
正解の理由
イの「機密性の高い情報資産が置かれている部屋に共通の暗証番号で入室している」は、アクセス管理の基本原則に反しています。個別認証がなければ、誰が入室したか特定できず、セキュリティ事故発生時の原因追及や責任の所在が不明確になります。JIS Q 27001:2014の物理的及び環境的セキュリティ管理策において、適切なアクセス制御は必須であり、共通暗証番号は不十分な管理策と判断されます。
よくある誤解
共通暗証番号は運用が簡単で便利なため安全性が確保されていると誤解されがちですが、実際にはアクセス履歴の管理が困難であり、セキュリティ上の大きな弱点となります。
解法ステップ
- 問題文の「JIS Q 27001:2014に基づく監査」と「物理的セキュリティ対策」に注目する。
- 各選択肢の物理的アクセス管理の状況を確認する。
- アクセス制御の適切さをJIS Q 27001の要求事項と照らし合わせる。
- 共通暗証番号の使用が不適切であることを理解し、指摘事項として記載すべきと判断する。
- 他の選択肢は適切な管理策や問題がないため除外する。
選択肢別の誤答解説
- ア:荷物の受渡しを情報処理施設にアクセスせずに行うのは、物理的セキュリティの分離として適切であり問題なし。
- イ:共通暗証番号の使用はアクセス管理の不備であり、監査指摘事項となる。
- ウ:機密性の高い情報資産の部屋を社員以外の目に触れない場所に設置するのは適切な物理的セキュリティ対策である。
- エ:取引先との打合せを機密性の高い情報資産がない分離場所で行うのは情報漏洩防止の観点から適切である。
補足コラム
JIS Q 27001:2014の物理的及び環境的セキュリティ管理策では、アクセス制御の強化が重要視されています。具体的には、個別認証の導入や入退室記録の管理、不要なアクセス権限の排除などが求められます。共通暗証番号はこれらの要件を満たさず、内部不正や情報漏洩のリスクを高めるため、監査で必ず指摘されるポイントです。
FAQ
Q: なぜ共通暗証番号はセキュリティ上問題なのですか?
A: 共通暗証番号は誰でも知っているため、入室者の特定ができず、不正アクセスの追跡や責任の所在が不明確になります。
A: 共通暗証番号は誰でも知っているため、入室者の特定ができず、不正アクセスの追跡や責任の所在が不明確になります。
Q: 個別認証以外にどんな物理的アクセス制御が有効ですか?
A: 生体認証やICカード認証、入退室ログの記録・監視カメラの設置などが効果的です。
A: 生体認証やICカード認証、入退室ログの記録・監視カメラの設置などが効果的です。
関連キーワード: 物理的セキュリティ、アクセス制御、JIS Q 27001, 情報セキュリティ監査、暗証番号管理
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!