応用情報技術者 2021年 春期 午前2 問58
問題文
情報セキュリティ管理基準 (平成28年)を基に、情報システム環境におけるマルウェア対策の実施状況について監査を実施した。判明したシステム運用担当者の対応状況のうち、監査人が、指摘事項として監査報告書に記載すべきものはどれか。
選択肢
ア:Webページに対して、マルウェア検出のためのスキャンを行っている。
イ:マルウェア感染によって被害を受けた事態を想定して、事業継続計画を策定している。
ウ:マルウェア検出のためのスキャンを実施した上で、組織として認可していないソフトウェアを使用している。(正解)
エ:マルウェアに付け込まれる可能性のある脆弱性について情報収集を行い、必要に応じて修正コードを適用し、脆弱性の低減を図っている。
情報システム環境におけるマルウェア対策の監査指摘事項【午前2 解説】
要点まとめ
- 結論:組織で認可していないソフトウェアの使用は監査指摘事項となる。
- 根拠:情報セキュリティ管理基準では、許可されていないソフトウェアの使用はリスク要因であり、適切な管理が求められる。
- 差がつくポイント:単なるスキャン実施や事業継続計画策定は評価されるが、管理不備による未承認ソフトの使用は重大な問題とされる。
正解の理由
選択肢ウは「マルウェア検出スキャンは実施しているが、組織で認可していないソフトウェアを使用している」とあります。
これは、マルウェア対策の基本である「許可されたソフトウェアのみを使用する」という管理策に違反しており、リスク管理の観点から監査指摘が必要です。
他の選択肢は適切な対策や計画策定を示しており、指摘事項には該当しません。
これは、マルウェア対策の基本である「許可されたソフトウェアのみを使用する」という管理策に違反しており、リスク管理の観点から監査指摘が必要です。
他の選択肢は適切な対策や計画策定を示しており、指摘事項には該当しません。
よくある誤解
マルウェアスキャンを実施していれば問題ないと考えがちですが、未承認ソフトの使用は根本的なリスク要因であり、見逃せません。
事業継続計画の策定は重要ですが、直接的なマルウェア対策の不備とは異なります。
事業継続計画の策定は重要ですが、直接的なマルウェア対策の不備とは異なります。
解法ステップ
- 問題文の「監査報告書に記載すべき指摘事項」を確認する。
- 各選択肢の対応状況が基準に照らして適切かを判断する。
- マルウェア対策の基本原則(許可されたソフトウェアの使用)を思い出す。
- 選択肢ウが管理不備を示しているため指摘事項と判断する。
選択肢別の誤答解説
- ア: Webページのマルウェアスキャンは適切な対策であり、指摘事項ではない。
- イ: マルウェア感染を想定した事業継続計画の策定は評価される。
- ウ: 未承認ソフトの使用は管理不備であり、監査指摘が必要。
- エ: 脆弱性情報の収集と修正コード適用は適切な対策である。
補足コラム
情報セキュリティ管理基準では、マルウェア対策として「ホワイトリスト方式」のソフトウェア管理が推奨されています。
これは、組織が認可したソフトウェアのみを使用許可し、未知や未承認のソフトウェアの使用を禁止することでリスクを低減します。
監査ではこの管理策の遵守状況が重要視されます。
これは、組織が認可したソフトウェアのみを使用許可し、未知や未承認のソフトウェアの使用を禁止することでリスクを低減します。
監査ではこの管理策の遵守状況が重要視されます。
FAQ
Q: マルウェアスキャンをしていれば未承認ソフトの使用は問題ないですか?
A: いいえ。スキャンは検出手段の一つですが、未承認ソフトの使用はリスク管理の根本的な問題です。
A: いいえ。スキャンは検出手段の一つですが、未承認ソフトの使用はリスク管理の根本的な問題です。
Q: 事業継続計画はマルウェア対策に含まれますか?
A: 事業継続計画は感染後の対応策であり、直接のマルウェア予防対策とは区別されます。
A: 事業継続計画は感染後の対応策であり、直接のマルウェア予防対策とは区別されます。
関連キーワード: マルウェア対策、情報セキュリティ管理基準、ソフトウェア管理、監査指摘事項、脆弱性管理
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!