基本情報技術者 2018年 秋期 午前(科目A) 問59
問題文
外部保管のために専門業者に機密情報を含むバックアップ媒体を引き渡す際の安全性について、情報セキュリティ監査を実施した。その結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。
選択肢
ア:委託元責任者が、一定期間ごとに、専門業者における媒体保管状況を確認する契約を結んだ上で引き渡している。
イ:委託元責任者が、専門業者との間で、機密保持条項を盛り込んだ業務委託契約を結んだ上で引き渡している。
ウ:委託元担当者が、専用の記録簿に、引渡しの都度、日付と内容を記入し、専門業者から受領印をもらっている。
エ:委託元担当者が、バックアップ媒体を段ボール箱に入れ、それを専門業者に引き渡している。(正解)
バックアップ媒体の外部保管で監査報告に記載すべき事項【午前2 解説】
要点まとめ
- 結論:バックアップ媒体を段ボール箱でそのまま専門業者に引き渡す行為は、改ざん検知や機密保持が不十分で監査指摘に該当します。
- 根拠:監査は管理上の欠陥を指摘する役割があり、封緘・封印、暗号化、チェーンオブカストディの欠如は重大な管理不足です。
- 差がつくポイント:封緘・封印の有無、暗号化適用、受領証跡とチェーン管理、保管場所の物理的管理やSLAの具体性を必ず確認してください。
正解の理由
正解:エ
段ボール箱での引渡しは、物理的保護が脆弱で封印や改ざん検知手段がなく、第三者による閲覧や改ざんのリスクが高い状態です。監査人は管理上の欠陥(コントロール不足)を報告書に記載すべきであり、選択肢エはその典型的な不備を示しています。対照的に他の選択肢(ア・イ・ウ)は契約・定期確認・受領記録など適切な管理措置を示しており、指摘事項とはなりにくいです。
段ボール箱での引渡しは、物理的保護が脆弱で封印や改ざん検知手段がなく、第三者による閲覧や改ざんのリスクが高い状態です。監査人は管理上の欠陥(コントロール不足)を報告書に記載すべきであり、選択肢エはその典型的な不備を示しています。対照的に他の選択肢(ア・イ・ウ)は契約・定期確認・受領記録など適切な管理措置を示しており、指摘事項とはなりにくいです。
よくある誤解
- 契約や受領印があれば物理梱包は問題ない:契約や記録は重要ですが、物理的保護や改ざん検知が欠けていれば別途指摘されます。
- 受領印=完全なチェーンオブカストディではない:受領印は証跡の一部ですが、封印管理・正当性確認・保管環境の管理も必要です。
- 監査は単に指摘するだけでなく、リスクレベルを評価して是正を促します:問題の深刻度に応じ具体的な改善提案が求められます。
解法ステップ
- 問題文で「監査人が指摘事項として監査報告書に記載すべきものはどれか」を確認する(=管理上の不備を指摘する選択)。
- 各選択肢について「管理策が十分か」「機密性・完全性・可用性の保護がなされているか」を評価する。
- 契約や定期確認、受領記録があるものは管理策が整っているため指摘対象になりにくいと判断する。
- 物理梱包のみで保護がないものを不備(指摘事項)と判断して選択する。
選択肢別の誤答解説
- ア:委託元が定期的に保管状況を確認する契約を結んでいる点は監査上の管理策であり、指摘事項にはなりにくい。定期確認が実効性を持つならむしろ優良。
- イ:機密保持条項を含む業務委託契約は法的保護や責任明確化が図られるため、監査では通常の管理策として評価される。
- ウ:引渡しの都度記録簿に記入し受領印をもらう運用はチェーンオブカストディの証跡として有効で、監査での指摘対象になりにくい(ただし記録の保全や改ざん防止も要確認)。
- エ:段ボール箱での引渡しは封緘・封印、改ざん検知、物理的保護が欠如しており監査指摘に該当するため正解。封筒や箱だけでは保護が不十分です。
補足コラム
外部保管時の実務的な対策例:
- 暗号化(媒体単位の暗号化により機密性を技術的に担保)
- 封緘・封印(タムパーエビデントシールで改ざん検知)
- チェーンオブカストディ記録(引渡しから保管、返却までの一連の記録)
- 受領証跡と定期的な現場監査(SLAや物理的保管条件の遵守確認)
- 専門業者のアクセス管理・侵入検知・環境管理の評価(外部評価や監査)
これらを組み合わせることで、監査での指摘を避けつつ実効的なリスク低減が図れます。
FAQ
Q1:契約に「機密保持」があれば段ボールで渡しても問題ありませんか?
A1:いいえ。契約は重要ですが技術的・物理的対策がなければ現実的なリスクは残ります。監査は運用実態を重視します。
A1:いいえ。契約は重要ですが技術的・物理的対策がなければ現実的なリスクは残ります。監査は運用実態を重視します。
Q2:受領印があればチェーンオブカストディは十分ですか?
A2:受領印は証跡の一部ですが、封緘や保管環境、改ざん検知が無ければ不十分です。総合的な証跡管理が必要です。
A2:受領印は証跡の一部ですが、封緘や保管環境、改ざん検知が無ければ不十分です。総合的な証跡管理が必要です。
Q3:監査人はどの程度具体的な改善を要求しますか?
A3:監査報告は欠陥の重大度と改善事項を示します。一般に改善案(封印、暗号化、SLA修正など)も併記されることが多いです。
A3:監査報告は欠陥の重大度と改善事項を示します。一般に改善案(封印、暗号化、SLA修正など)も併記されることが多いです。
関連キーワード: バックアップ媒体、外部保管、チェーンオブカストディ、暗号化、封緘・封印、受領証跡、改ざん検知、物理セキュリティ、SLA、監査報告
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!