ITパスポート 2009年 秋期 問56
問題文
情報セキュリティポリシに関する記述のうち、適切なものはどれか。
選択肢
ア:企業のセキュリティポリシは、会社法の規定に基づき、株主総会で承認を得なければならない。
イ:企業のセキュリティポリシは、導入するシステムごとに定義する必要がある。
ウ:セキュリティポリシ策定の要因となっている情報システムの脆弱性を対外的に公表しなければならない。
エ:目標とするセキュリティレベルを達成するために、遵守すべき行為及び判断についての考え方を明確にすることが必要である。(正解)
🔒 解説は解答すると表示されます
情報セキュリティポリシに関する記述のうち、適切なものはどれか。【ITパスポート 解説】
正解の理由
エの記述「目標とするセキュリティレベルを達成するために、遵守すべき行為及び判断についての考え方を明確にすることが必要である。」は、情報セキュリティポリシ(セキュリティポリシー:組織が守るべき情報の取り扱いや方針)として求められる内容を正しく表しています。
セキュリティポリシーは組織の「方針」です。つまり、どのような目標(例:機密性の確保、可用性の維持)を目指すかを示し、目標を達成するために組織や従業員がどのように振る舞うべきか(遵守すべき行為や判断の方針)を明確にします。これはポリシーの本質であり、エが適切です。
セキュリティポリシーは組織の「方針」です。つまり、どのような目標(例:機密性の確保、可用性の維持)を目指すかを示し、目標を達成するために組織や従業員がどのように振る舞うべきか(遵守すべき行為や判断の方針)を明確にします。これはポリシーの本質であり、エが適切です。
(用語)脆弱性(ぜいじゃくせい): システムやソフトウェアの「弱点」。悪用されると情報漏えいや不正アクセスの原因になる。
解法ステップ
- 問題文の主語を確認する:対象は「企業のセキュリティポリシ(方針)」である。
- ポリシーの役割を思い出す:方針(何を目指すか・守るべき考え方)を示すものか、法的手続きや技術的詳細かを区別する。
- 各選択肢を「ポリシーの役割」と照らし合わせる:
- ポリシーは会社の最高意思決定機関での承認が必須か? → 一般的にそうではない。
- ポリシーはシステムごとに定義するか? → 組織全体の方針が基本で、個別に詳細ルール(基準・手順)は作る。
- 脆弱性は外部に必ず公表するか? → 必要ではなく、公開は慎重(「責任ある開示」という考え方)。
- これらを踏まえて、エがポリシーの本質を述べていると判断する。
選択肢別の誤答解説
ア: 企業のセキュリティポリシは、会社法の規定に基づき、株主総会で承認を得なければならない。
- 誤り。セキュリティポリシーは企業内部の方針文書であり、会社法で株主総会の承認を必ず求められるものではありません。重要な経営方針は取締役会や経営陣の決定で策定されることが多いですが、法律で「株主総会承認が必須」とは定められていません。
イ: 企業のセキュリティポリシは、導入するシステムごとに定義する必要がある。
- 誤り。セキュリティポリシーは組織全体の基本方針です。個々のシステムについては「標準(スタンダード)」「手順(プロシージャ)」や「運用ルール」で詳細を定めます。ポリシー=上位、手順=下位、という階層を意識しましょう。
ウ: セキュリティポリシ策定の要因となっている情報システムの脆弱性を対外的に公表しなければならない。
- 誤り。脆弱性(弱点)を無条件に公表することは危険です。多くの場合はまず修正し、その後必要に応じて公表します。一般に「責任ある開示(Responsible Disclosure)」という考え方があり、当事者間で調整してから公表するのが適切です。ポリシーが「必ず公表せよ」と要求することは通常ありません。
エ: 目標とするセキュリティレベルを達成するために、遵守すべき行為及び判断についての考え方を明確にすることが必要である。
- 正解。ポリシーはまさに「何を達成するか」と「それを達成するための行動指針(どう判断・行動するか)」を示します。
よくある誤解
- ポリシーは細かい操作手順を書くものだ:誤り。ポリシーは方針(何を守るか)を示し、具体的な操作は手順書やガイドラインで定めます。
- セキュリティに関する決定は必ず法的承認が必要だ:誤り。重要事項は経営層が決めますが、法律で株主総会承認が必須という規定は通常ありません。
- 脆弱性を公開すればユーザの信頼になる:一概にそうとは限りません。公開タイミングや方法を誤ると、悪用を招く危険があります(責任ある開示が重要)。
補足コラム
セキュリティ文書の階層(イメージ):
- セキュリティポリシー(Policy):組織が守るべき基本方針。経営の意思表明に相当。
- 標準(Standard):ポリシーを実現するための必須要件(例:パスワードは最低8文字、複雑性を要求)。
- ガイドライン(Guideline):推奨される行動。柔軟性がある(例:バックアップの推奨頻度)。
- 手順(Procedure):実行手順・作業手順。担当者が実際に行う操作を書く。
責任ある開示(Responsible Disclosure)について:
- 脆弱性は発見者が開発者やベンダーに報告し、修正期間を与えてから公表するのが一般的です。これにより、修正前に悪意ある第三者に悪用されるリスクを下げます。
簡単なポリシー例(1文):
「当社は顧客情報の機密性を最優先とし、不正アクセスおよび情報漏えいを防止するために必要な体制と行動を全社員が遵守する。」
FAQ
Q1: 誰がセキュリティポリシーを作るのですか?
A1: 経営層が方針を示し、情報システム部門やリスク管理部門が実務で策定・運用します。社員への周知と教育も重要です。
A1: 経営層が方針を示し、情報システム部門やリスク管理部門が実務で策定・運用します。社員への周知と教育も重要です。
Q2: ポリシーはどのくらいの頻度で見直すべきですか?
A2: 少なくとも年1回、あるいは重大な技術・法令の変更やインシデント発生時に見直します。
A2: 少なくとも年1回、あるいは重大な技術・法令の変更やインシデント発生時に見直します。
Q3: ポリシーは外部に公開すべきですか?
A3: 企業によって異なります。顧客向けに概要を公開することは信頼につながりますが、詳細(内部手順や未修正の脆弱性)は公開しないのが一般的です。
A3: 企業によって異なります。顧客向けに概要を公開することは信頼につながりますが、詳細(内部手順や未修正の脆弱性)は公開しないのが一般的です。
Q4: ポリシーと規程(ルール)の違いは何ですか?
A4: ポリシーが「何を目指すか(Why)」なら、規程や手順は「どうやって守るか(How)」を示します。
A4: ポリシーが「何を目指すか(Why)」なら、規程や手順は「どうやって守るか(How)」を示します。
関連キーワード: セキュリティポリシー、脆弱性、責任ある開示、標準(スタンダード)、ガイドライン、手順(プロシージャ)、コンプライアンス、情報管理、リスクマネジメント

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

