ITパスポート 2015年 秋期 問51
問題文
情報セキュリティの対策を、技術的セキュリティ対策、人的セキュリティ対策及び物理的セキュリティ対策の三つに分類するとき、物理的セキュリティ対策に該当するものはどれか。
選択肢
ア:従業員と守秘義務契約を結ぶ。
イ:電子メール送信時にディジタル署名を付与する。
ウ:ノートPCを保管するときに施錠管理する。(正解)
エ:パスワードの変更を定期的に促す。
🔒 解説は解答すると表示されます
物理的セキュリティ対策に該当するものはどれか【ITパスポート 解説】
正解の理由
物理的セキュリティ対策とは、建物や設備、機器そのものを物理的に守る対策です。例えば施錠(鍵で閉める)、入退室管理、監視カメラ、防火設備などが該当します。したがって、ノートPCを保管するときに施錠管理する行為は、直接「物」を鍵などで保護するため、物理的対策に当たります。ここでは選択肢の中で物理的な保護を行っている ウ が正解です。
(用語補足)
- 物理的セキュリティ対策:建物や機器を物理的に守る対策。
- 人的セキュリティ対策:社員の行動や運用で情報漏えいを防ぐ対策(教育や契約など)。
- 技術的セキュリティ対策:暗号化や認証、ファイアウォールなど、IT技術で守る対策。
解法ステップ
- 問題文で「技術的」「人的」「物理的」の三分類を確認する。
- 各選択肢の動作が「物を直接守る行為」か、「人の行動や契約」か、「IT的な技術や暗号化」かを判別する。
- 「施錠管理」「鍵」「入退室」「監視」は物理的だと判断し、それを選ぶ。
具体的には:
- 「鍵で閉める」「保管場所を施錠する」→ 物理的。
- 「契約を結ぶ」「教育する」「促す」→ 人的(運用・ルール)。
- 「ディジタル署名」「暗号化」「システム制御」→ 技術的。
選択肢別の誤答解説
-
ア: 従業員と守秘義務契約を結ぶ。
→ これは人的セキュリティ対策です。守秘義務契約(非開示契約、NDA:秘密情報を守るための契約)は人の行動に対するルールや責任を明確にする手段で、物理的な施錠ではありません。 -
イ: 電子メール送信時にディジタル署名を付与する。
→ これは技術的セキュリティ対策です。ディジタル署名は暗号技術を使って送信者の本人性と改ざんの有無を確認する仕組みで、IT技術による保護です。 -
ウ: ノートPCを保管するときに施錠管理する。
→ これが物理的セキュリティ対策です。ノートPC(物理的な機器)を鍵で保護することは、まさに物理的な防護策に該当します。 -
エ: パスワードの変更を定期的に促す。
→ これは人的対策(運用の一環)に入ります。定期的な変更を「促す」ことは教育やルール運用の側面が強く、システムが自動的に変更を強制する設定なら技術的な側面もありますが、ここは「促す」と表現されているため人的対策と判断します。
よくある誤解
-
「パスワードの変更は技術的対策では?」
→ システムで強制的に変更させる設定(技術)と、単に従業員に変更を促す(人的)の違いがあります。問題文の表現をよく読むことが重要です。 -
「ハードウェアトークン(物理的な認証デバイス)は物理的対策?」
→ ハードウェアトークンは物としては物理的ですが、使い方は認証という技術的役割を持ちます。どちらに分類するかは文脈次第なので、問題文の意図(「物を守るか」「認証するか」)を確認します。
補足コラム
物理的セキュリティは最も直感的で分かりやすい対策です。例えば:
- 社員証カードで入退室を管理する→ 物理的(+技術的にID管理する場合あり)
- サーバ室に鍵をかけてアクセスを制限する→ 物理的
- 消火設備や耐震対策も、情報資産を守る点で物理的セキュリティに含まれます。
日常業務での覚え方:情報を守るための対策を「誰が」「何で」「どこで」行っているかで分けると良いです。
- 誰(人)→ 人的、何で(技術)→ 技術的、どこで(場所・設備)→ 物理的。
FAQ
Q1: 鍵付きのキャビネットに書類を入れるのはどの分類ですか?
A1: 物理的セキュリティ対策です。書類(物)を施錠で保護しています。
A1: 物理的セキュリティ対策です。書類(物)を施錠で保護しています。
Q2: 二要素認証(パスワード+スマホアプリ)はどれに入りますか?
A2: 主に技術的セキュリティ対策です。スマホアプリやワンタイムパスワードは認証技術にあたります。ただし、スマホ自体を「物」として保護する要素(紛失対策)は物理的な側面を持ちます。
A2: 主に技術的セキュリティ対策です。スマホアプリやワンタイムパスワードは認証技術にあたります。ただし、スマホ自体を「物」として保護する要素(紛失対策)は物理的な側面を持ちます。
Q3: 「促す」と「強制する」の違いは重要ですか?
A3: はい。問題では用語の違いが分類に影響します。「促す」は人的運用、「強制する」は技術的設定の場合が多いです。
A3: はい。問題では用語の違いが分類に影響します。「促す」は人的運用、「強制する」は技術的設定の場合が多いです。
関連キーワード: 情報セキュリティ、物理的セキュリティ、人的セキュリティ、技術的セキュリティ、施錠管理、守秘義務契約、ディジタル署名、パスワード管理、入退室管理、暗号化

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

