問題
問89
セキュリティを保つべきサーバルームの運用例として、適切なものはどれか。
- 管理を容易にするために、入退室に使用するIDカードは個人ごとではなく部署ごとに発行する。
- 全従業員や来訪者に所在が分かるように、入口に室名表示をする。
- 入退室の情報が漏えいすることを防止するために、入退室の記録は取らない。
- 不正行為を防止するために、監督者がいないときはサーバ室で作業させない。
[出典:ITパスポート試験 平成28年度春期 問89]
正解
正解は「エ」です。
解説
サーバルームは、企業の重要な情報システムが稼働している場所です。そのため、高いセキュリティが求められます。正解の「不正行為を防止するために、監督者がいないときはサーバ室で作業させない。」という運用は、不審な行動やデータ改ざんなどの不正を防ぐための基本的な対策です。一人で作業する状況では、万が一の不正行為があった場合にそれを発見したり、責任の所在を特定したりすることが非常に難しくなります。
例えば、銀行の金庫室に一人で入ることを許さないのと同じように、監視の目が届く状況での作業を徹底することで、情報の漏洩やシステムの破壊といったリスクを最小限に抑えることができます。これは、いわゆる「ダブルチェック」や「複数人での作業」という考え方に近く、信頼性を高めるために不可欠な運用方法と言えるでしょう。
ア(管理を容易にするために、入退室に使用するIDカードは個人ごとではなく部署ごとに発行する。):
IDカードを個人ごとではなく部署ごとに発行すると、誰がいつ入退室したかを特定できなくなり、セキュリティレベルが低下します。個人認証が基本です。
イ(全従業員や来訪者に所在が分かるように、入口に室名表示をする。):
サーバルームの入口に室名表示をすると、外部の攻撃者に対して重要な施設であることを知らせてしまい、物理的な侵入のリスクを高めます。秘匿性が重要です。
ウ(入退室の情報が漏えいすることを防止するために、入退室の記録は取らない。):
入退室の記録を取らないと、不審な侵入や不正行為があった際に追跡調査ができず、情報漏洩や不正の原因究明が困難になります。記録はセキュリティ対策の基本です。
難易度
この問題の難易度は、ITパスポート試験の初心者の方でも取り組みやすい中程度だと思います。サーバルームのセキュリティ運用に関する常識的な判断が問われます。重要な情報が保管されている場所であるため、不正アクセスや情報漏洩を防ぐための基本的な考え方を理解していれば、正解を導き出すことは比較的容易です。
用語補足
サーバルーム:
サーバルームとは、企業や組織の重要なコンピュータサーバーやネットワーク機器が集中して設置されている部屋のことです。温度や湿度、電源などを厳重に管理し、物理的なセキュリティ対策が施されています。例えば、会社の心臓部にある、重要なデータやシステムが動いている部屋だと思ってください。
セキュリティ:
セキュリティとは、情報やシステム、財産などを、不正なアクセス、破壊、漏洩、改ざんなどから保護することです。例えば、自宅の鍵をかけることや、パソコンにパスワードを設定するのもセキュリティ対策の一種です。
不正行為:
不正行為とは、ルールや法律に反する行動や、許可されていない操作を行うことです。情報セキュリティの文脈では、システムへの不正侵入、データの盗用や改ざんなどが該当します。例えば、他人の家の玄関の鍵を開けて入ることや、会社の書類を勝手に持ち出すことなどが不正行為にあたります。
監督者:
監督者とは、ある作業や活動が適切に行われているかを確認し、指導する責任を持つ人のことです。セキュリティの文脈では、重要な作業が行われる際に、不正やミスがないかを見守る役割を担います。例えば、テスト中に先生が見回って、生徒がカンニングしないか監視するような役割です。
対策
この問題のポイントは、サーバルームという機密性の高い場所の物理的セキュリティに関する常識的な判断力です。入退室管理や監視体制など、不正を防ぐための基本的な考え方を理解しているかが問われます。問題文を読み、各選択肢がセキュリティレベルを向上させるのか、それとも低下させるのかを冷静に判断することが重要です。特に、複数人での作業や記録の重要性を意識しましょう。
