問題
問50
ある事業者において、情報資産のライフサイクルに従って実施される情報セキュリティ監査を行うことになった。この対象として、最も適切なものはどれか。
- 情報資産を管理している情報システム
- 情報システム以外で保有している情報資産
- 情報システムが保有している情報資産
- 保有している全ての情報資産
[出典:ITパスポート試験 平成31年度春期 問50]
正解
正解は「エ」です。
解説
正解は「エ 保有している全ての情報資産」です。情報セキュリティ監査の目的は、組織が持つ情報資産全体が、定められたセキュリティ方針や基準に沿って適切に保護されているかを確認することにあります。情報資産とは、データ、システム、ネットワーク機器、紙の書類、従業員の知識など、企業活動において価値を持つすべての情報を指します。これらの情報資産が、生成されてから利用、保管、最終的に廃棄されるまでのライフサイクル全体にわたって、セキュリティ対策が適切に実施され、その効果が維持されているかを客観的に評価するのが情報セキュリティ監査です。
例えば、会社の顧客データがパソコンのシステムに保存されているだけでなく、紙の顧客リストとしてキャビネットに保管されていたり、営業担当者の頭の中にあったりする場合も情報資産とみなされます。情報システム内のデータだけを監査対象にしてしまうと、システム外の物理的な情報や人的な情報といった重要な資産が見落とされ、セキュリティリスクが残る可能性があります。
そのため、情報資産の漏えいや改ざん、紛失といったリスクを網羅的に特定し、組織全体の情報セキュリティレベルを向上させるためには、情報資産のライフサイクル全体に関わるすべての資産を監査対象とすることが最も適切です。これにより、潜在的なリスクを洗い出し、適切な対策を講じることが可能になります。
ア(情報資産を管理している情報システム):
情報システムは重要な情報資産の一部ですが、情報資産はシステム内に限らず、紙媒体や従業員の知識なども含まれるため、これだけでは監査対象として不十分です。
イ(情報システム以外で保有している情報資産):
情報システム以外の情報資産も監査対象ですが、情報システム自体が持つ資産も含まれるため、これだけでは網羅性に欠けます。
ウ(情報システムが保有している情報資産):
これも情報システム内の一部を指すため、紙媒体や人の知識など、システム外の情報資産が見落とされてしまいます。
難易度
この問題は、情報セキュリティ監査の基本的な目的と対象範囲を理解していれば、比較的容易に正解できるでしょう。情報資産という言葉が指す範囲を正しく把握しているかがポイントとなります。実務経験がない方でも、テキストで情報セキュリティの基本的な考え方を学んでいれば、選択肢の中から最も包括的なものを選ぶことができるはずです。常識的な視点から考えても、セキュリティ対策は全体を網羅する必要がある、と判断しやすい問題です。
用語補足
情報セキュリティ監査:
組織の情報資産が適切に保護されているか、情報セキュリティ対策がルール通りに実施され、効果的に機能しているかを独立した立場の専門家が評価・検証することです。例えば、会社の重要な書類やデータがきちんと管理されているか、鍵がかかっているか、パスワードは複雑かなどをチェックするようなイメージです。
情報資産:
企業や組織にとって価値のある情報全般を指します。具体的には、顧客データ、技術情報、財務データ、業務システム、ネットワーク機器、さらには紙の書類や従業員の持つ知識なども含まれます。会社にとって大切な「情報」と、その情報を扱う「もの」すべてが情報資産です。
ライフサイクル:
情報資産が生まれてから、利用され、保管され、最終的に破棄されるまでの一連の流れや段階を指します。例えば、新しい顧客情報が入力されて(生成)、日々の業務で使われ(利用)、データベースに保存され(保管)、不要になったら削除される(廃棄)までの一生のようなものです。
情報システム:
情報を処理・管理するための仕組みの総称です。コンピュータ、ソフトウェア、ネットワーク、データベースなどが組み合わさってできています。例えば、会社の顧客管理システムや在庫管理システムなどがこれに当たります。
対策
この問題では、「情報セキュリティ監査の対象」というテーマに対して、情報資産の定義とそのライフサイクル全体を理解しているかが重要です。情報資産は、情報システム内のデータだけでなく、紙媒体、従業員の知識、物理的な設備など、組織が保有するあらゆる価値ある情報とそれを支えるものを指すという認識を持つことがポイントです。監査は、これらの資産全体を網羅的に評価することで、初めて実効性のあるセキュリティ対策へとつながることを覚えておきましょう。
