ITパスポート 2014年 秋期 問80
問題文
物理的セキュリティ対策の不備が原因となって発生するインシデントの例として、最も適切なものはどれか。
選択肢
ア:DoS攻撃を受け、サーバが停止する。
イ:PCがコンピュータウイルスに感染し、情報が漏えいする。
ウ:社員の誤操作によって、PC内のデータが消去される。
エ:第三者がサーバ室へ侵入し、データを盗み出す。(正解)
🔒 解説は解答すると表示されます
物理的セキュリティ対策の不備が原因となって発生するインシデントの例【ITパスポート 解説】
正解の理由
正解は エ です。選択肢の中で「第三者がサーバ室へ侵入し、データを盗み出す」は、鍵や入退室管理、監視カメラなどの物理的な防御が不十分なために直接発生する被害です。物理的セキュリティとは、建物・部屋・機器そのものを守る対策を指します。第三者が実際に現場に入り込めると、ハードディスクの取り外しやサーバの持ち出しなどでデータが物理的に奪われます。したがって、物理的セキュリティの不備が原因の代表例として最も適切です。
用語メモ:サーバ室(サーバを置く専用の部屋)、物理的セキュリティ(ロックや入退室管理など、実際の場所や機器を守る対策)
解法ステップ
- 「物理的セキュリティ対策」の意味を確認する
- 「物理的」=実際の場所や機器そのものを守ること(鍵、出入り口、監視カメラ、警備員など)。
- 各選択肢がどの種類の原因かを整理する
- ネットワーク攻撃、マルウェア感染、人的ミス、物理的侵入のどれかに分類する。
- 物理的原因に該当する選択肢を選ぶ
- 「第三者がサーバ室へ侵入し、データを盗み出す」は物理的侵入そのものなので正解と判断する。
選択肢別の誤答解説
-
ア: DoS攻撃を受け、サーバが停止する。
- DoS(Denial of Service:サービス不能攻撃)はネットワークやサーバの資源を過剰に使わせる攻撃で、主に通信やソフトウェア側の対策(ファイアウォール、負荷分散)が必要です。物理的な侵入ではなく論理的/ネットワークの問題です。
-
イ: PCがコンピュータウイルスに感染し、情報が漏えいする。
- コンピュータウイルス(悪意あるプログラム)はメールや外部媒体、ウェブ経由で広がることが多く、ウイルス対策ソフトや適切な設定、教育といった論理的対策が中心です。物理的セキュリティの不備が直接の原因とは言えません(ただし、物理的に感染メディアを放置されると関係することはある)。
-
ウ: 社員の誤操作によって、PC内のデータが消去される。
- これは人的ミス(オペレーショナルリスク)です。教育、作業手順、バックアップによって防ぐもので、鍵や入退室管理といった物理的対策が主原因ではありません。
-
エ: 第三者がサーバ室へ侵入し、データを盗み出す。
- 実際の場所へ不正に入ることで機器や媒体を直接奪う典型的な物理的セキュリティ侵害です。したがって物理的対策の不備が原因として最も適切です。
よくある誤解
-
「物理的=鍵だけ」の誤解
- 物理的セキュリティは鍵だけでなく、入退室ログ、IDバッジ、監視カメラ、警報、機器の盗難防止(ラッチやラックの施錠)など多層的な対策を含みます。
-
「すべての情報漏えいはネット経由だ」と考える誤解
- USBやハードディスクの持ち出し、サーバの盗難など、直接持ち出されるケースもあります。オフィスやサーバ室の管理が甘いと簡単に持ち出されます。
-
「人的ミスは物理的対策で防げない」という誤解
- 完全には防げませんが、入退室管理で誰がいつ入ったかを記録することは、内部犯行や誤操作の原因追及や抑止に役立ちます。
補足コラム
物理的セキュリティでよく使われる対策(例)
- 入退室管理:IDカードや生体認証で入室を制限する。
- 監視カメラ(CCTV):不審な行動を記録・監視。CCTVは Closed-Circuit Television の略で監視用のビデオシステムです。
- 鍵と施錠:サーバラックや部屋の施錠。鍵の管理ポリシーも重要。
- 環境管理:温度・湿度管理、消火設備(火災対策)で機器の故障を防ぐ。
- 持ち出し管理:USBや外付け機器の使用制限、媒体の持ち出し手続き。
- バックアップと暗号化:万が一盗難が起きてもデータを守る。物理的盗難に対する最後の防壁になります。
情報の「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」という観点でも、物理的対策は機密性と可用性の確保に直結します。
FAQ
Q1: DoS攻撃は物理的セキュリティと関係ありますか?
A1: 一般にはネットワークやサーバの負荷を狙う論理的攻撃なので直接は関係しません。ただし、物理的に回線機器を切られる(ケーブルを切断される)と可用性が損なわれるため、物理面の保護も重要です。
A1: 一般にはネットワークやサーバの負荷を狙う論理的攻撃なので直接は関係しません。ただし、物理的に回線機器を切られる(ケーブルを切断される)と可用性が損なわれるため、物理面の保護も重要です。
Q2: 社員の不正持ち出しは物理的セキュリティの問題ですか?
A2: はい。内部の人間による持ち出し(内部犯行)は入退室管理や持ち出し手続き、監視の不備と関連します。物理的対策と組織的対策(権限管理・監査)が必要です。
A2: はい。内部の人間による持ち出し(内部犯行)は入退室管理や持ち出し手続き、監視の不備と関連します。物理的対策と組織的対策(権限管理・監査)が必要です。
Q3: 小さなオフィスでも物理的対策は必要ですか?
A3: 必要です。規模が小さくてもラップトップやUSBなどで情報が持ち出せます。基本的な施錠、バックアップ、機器の管理は必須です。
A3: 必要です。規模が小さくてもラップトップやUSBなどで情報が持ち出せます。基本的な施錠、バックアップ、機器の管理は必須です。
関連キーワード: 物理的セキュリティ、サーバ室、入退室管理、監視カメラ、アクセス制御、DoS(Denial of Service)、コンピュータウイルス、バックアップ、機密性、内部犯行

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

