問題
問88 情報セキュリティ対策を,"技術的セキュリティ対策","人的セキュリティ対策"及び"物理的セキュリティ対策"に分類したとき,"物理的セキュリティ対策"の例として,適切なものはどれか。
選択肢
- ア業務に関係のない掲示板やSNSなどへの従業員による書込み,閲覧を防止するために,Webサーバへのアクセスログを取得し,必要に応じて通信を遮断する。
- イサーバ室,執務室などの場所ごとにセキュリティレベルを設定し従業員ごとのアクセス権が付与されたICカードで入退室管理を行う。
- ウ従業員の採用時には,守秘義務に関する契約書を取り交わし,在籍中は機密情報の取扱いに関する教育,啓発を実施する。
- エ退職者が,在籍中のアカウントを用いた不正アクセスを行わないように,従業員の退職時にアカウントを削除する。
解説
正解:イ
概要
この問題は、情報セキュリティ対策を「技術的」「人的」「物理的」の三つに分類したとき、それぞれの対策の違いを理解しているかを問うものです。特に施設や設備などによる保護である物理的セキュリティ対策を判断することがポイントです。
正解の理由
物理的セキュリティ対策とは、建物や部屋への入退室管理、鍵やICカードによるアクセス制御など、物理的な設備や仕組みで不正アクセスを防ぐ対策です。サーバ室などの場所ごとにセキュリティレベルを設定し、ICカードで入退室を管理する方法は典型的な物理的セキュリティ対策であるため正解です。
各選択肢の解説
ア(×): Webサーバへのアクセスログを取得し、通信を遮断する対策はネットワークやシステムの機能を利用した対策です。このような対策は技術的セキュリティ対策に分類されるため、物理的セキュリティ対策ではありません。
イ(〇): サーバ室や執務室などの場所ごとにセキュリティレベルを設定し、ICカードで入退室を管理する仕組みは建物や設備によって不正侵入を防ぐ対策です。このような対策は物理的セキュリティ対策に該当するため正しいです。
ウ(×): 採用時の守秘義務契約や、在籍中の教育・啓発は従業員の行動や意識に関する対策です。このような対策は人的セキュリティ対策に分類されるため誤りです。
エ(×): 退職時にアカウントを削除して不正アクセスを防ぐ対策は、システムの利用権限を管理する技術的セキュリティ対策です。物理的な設備による対策ではないため誤りです。
ポイント
物理的セキュリティ対策は、建物や設備など物理的な手段で不正侵入を防ぐ対策です。入退室管理や監視カメラ、ICカードによるアクセス制御などが代表例です。