問題
問78
情報セキュリティ対策において、情報を保護レベルによって分類して管理するとき,管理方法として、適切なものだけを全て挙げたものはどれか。
- a 情報に付与した保護レベルは、廃棄するまで変更しない。
- b 情報の取扱い手順は、保護レベルごとに定める。
- c 情報の保護レベルは、組織が作成した基準によって決まる。
- d 保護レベルで管理する対象は、電子データとそれを保存した保存媒体に限定する。
- a, c
- a, d
- b, c
- b, d
[出典:ITパスポート試験 平成30年度秋期 問78]
正解
正解は「ウ」です。
解説
正解はウの「b, c」です。情報セキュリティ対策において、情報を保護レベルによって分類し管理することは非常に重要です。まず、bの「情報の取扱い手順は、保護レベルごとに定める」は正しい記述です。情報の重要度や機密性に応じた保護レベル(例えば「社外秘」や「機密」など)を設定したら、それぞれのレベルに応じた適切な取り扱い方法を具体的に定める必要があります。
例えば、社外秘の書類は鍵のかかる場所に保管し、社外に持ち出す際は上長の許可を得る、といったルールです。次に、cの「情報の保護レベルは、組織が作成した基準によって決まる」も正しい記述です。どのような情報をどの保護レベルに分類するかは、各組織が自社の業務内容や扱う情報の性質に合わせて、独自の基準を策定し、それに基づいて判断していくことになります。これは、セキュリティポリシーと呼ばれる組織の基本的な方針に基づくものです。
ア(a, c):
aの「情報に付与した保護レベルは、廃棄するまで変更しない」が誤りであるため不正解です。情報の保護レベルは、情報のライフサイクル(生成、利用、保存、廃棄)の途中で、その情報を取り巻く状況や価値の変化に応じて変更されることがあります。例えば、プロジェクト終了後に機密情報が公開情報となる場合などです。
イ(a, d):
aの「情報に付与した保護レベルは、廃棄するまで変更しない」とdの「保護レベルで管理する対象は、電子データとそれを保存した保存媒体に限定する」が誤りであるため不正解です。保護レベルは情報のライフサイクル途中で変更される可能性があります。また、保護レベルで管理する対象は、電子データだけでなく、紙媒体の文書や、口頭での情報、記憶している情報など、あらゆる形態の情報資産を含みます。
エ(b, d):
dの「保護レベルで管理する対象は、電子データとそれを保存した保存媒体に限定する」が誤りであるため不正解です。保護レベルで管理する対象は、電子データだけでなく、紙媒体の文書や、口頭での情報など、あらゆる形態の情報資産を含みます。
難易度
この問題は、情報セキュリティマネジメントの基本的な考え方、特に情報の「保護レベル」に関する理解度を問うものです。各記述が情報セキュリティの常識や原則に合致しているかを判断できれば、初心者の方でも解きやすい問題と言えるでしょう。ITパスポート試験の学習においては、情報セキュリティの基本的な用語や概念をしっかりと押さえることが重要になります。
用語補足
情報セキュリティ対策:
情報システムの安全を守るために行う取り組み全般のことです。例えば、会社の重要な書類(情報)を鍵付きのロッカー(セキュリティ対策)に保管して、許可された人しか見られない(機密性)、改ざんされない(完全性)、必要な時にいつでも使える(可用性)ようにすることです。
保護レベル:
情報の重要度や機密性に応じて設定される分類のことです。例えば、「社外秘」や「一般公開」、「極秘」といったラベルを情報に付けることで、どの情報がどれくらい厳重に管理されるべきかを明確にします。
情報の取扱い手順:
情報を扱う際の具体的なルールやガイドラインのことです。例えば、会社の機密情報を閲覧する際はパスワードを入力する、書類を捨てる際はシュレッダーにかける、といった具体的な行動指針を指します。
情報資産:
企業にとって価値のある情報や、その情報を扱うシステム、設備などのことです。例えば、顧客リスト、製品設計図、業務システム、パソコンなどが情報資産にあたります。これらは不正なアクセスや改ざんから守る必要があります。
対策
この問題を解くためのポイントは、情報セキュリティマネジメントシステム(ISMS)における情報の分類と管理に関する基本的な原則を理解することです。特に、情報の保護レベルは、組織の基準に基づいて決定され、それに応じた取り扱い手順が定められるという点を押さえましょう。また、情報資産は電子データに限定されず、紙媒体や口頭の情報も含まれること、保護レベルが情報のライフサイクル途中で変更される可能性があることも理解しておくと、関連問題にも対応できます。
