問題
テクノロジ系
問94 情報セキュリティ対策を,"技術的セキュリティ対策","人的セキュリティ対策"及び "物理的セキュリティ対策" に分類したとき,"物理的セキュリティ対策" の例として,適切なものはどれか。
選択肢
- ア機密情報の取扱いに関して,罰則を含めた規則を制定し,これを遵守させるために,関係者に定期的な教育を実施する。
- イ被災によるシステム障害が発生してもサービスを継続できるように,遠隔地にバックアップシステムを用意する。
- ウますます方法が巧妙化されるサイバー攻撃による被害を防ぐために,サイバー攻撃の方法や対策に関する情報を従業員に周知する。
- エマルウェアによる被害を防ぐために,マルウェア対策ソフトを導入し,定義ファイルを常に最新に保つ。
解説
正解:イ
概要
この問題は,情報セキュリティ対策を技術的・人的・物理的に分類し,物理的セキュリティ対策の例を問うものです。各分類と具体例の対応を正しく理解することがポイントです。
正解の理由
物理的セキュリティ対策とは,情報資産を物理的な脅威(火災・水害・盗難・破壊など)から守るための手段です。遠隔地にバックアップシステムを用意することは,被災による物理的な損害に備えた対策であり,物理的セキュリティ対策に分類されます。イが正解です。
各選択肢の解説
ア(×): 規則の制定と定期的な教育の実施は,「人的セキュリティ対策」の説明です。
イ(〇): 遠隔地へのバックアップシステムの設置は,物理的リスク(被災)への対策であり,物理的セキュリティ対策です。
ウ(×): サイバー攻撃の方法や対策に関する情報を従業員に周知することは,「人的セキュリティ対策」の説明です。
エ(×): マルウェア対策ソフトの導入と定義ファイルの最新化は,「技術的セキュリティ対策」の説明です。
3つの分類
・技術的セキュリティ対策: ファイアウォール,マルウェア対策ソフト,暗号化
・人的セキュリティ対策: 教育・訓練,規則の制定,セキュリティポリシーの周知
・物理的セキュリティ対策: 入退室管理,施錠,CCTV,バックアップサイトの設置
ポイント
三つの分類は試験頻出です。特に「遠隔地バックアップ」が物理的対策である点,「教育・研修」が人的対策である点を覚えましょう。