問題
問87
情報セキュリティ対策を、技術的対策,人的対策及び物理的対策の三つに分類したとき、物理的対策の例として適切なものはどれか。
- PCの不正使用を防止するために、PCのログイン認証にバイオメトリクス認証を導入する。
- サーバに対する外部ネットワークからの不正侵入を防止するために、ファイアウォールを設置する。
- セキュリティ管理者の不正や作業誤りを防止したり発見したりするために、セキュリティ管理者を複数名にして、互いの作業内容を相互チェックする。
- セキュリティ区画を設けて施錠し、鍵の貸出し管理を行って不正な立入りがないかどうかをチェックする。
[出典:ITパスポート試験 平成31年度春期 問87]
正解
正解は「エ」です。
解説
正解は選択肢エです。物理的対策とは、情報資産が置かれている施設や設備そのものを物理的に守るための対策を指します。選択肢エの「セキュリティ区画を設けて施錠し、鍵の貸出し管理を行って不正な立入りがないかどうかをチェックする」という内容は、情報システムやデータが保管されている部屋(サーバールームなど)への不正な侵入を防ぐためのものです。これは、まさに場所や物に対する対策であり、物理的対策の典型的な例と言えます。
例えば、大切な宝物を保管する金庫に鍵をかけ、その鍵を厳重に管理することで、盗難から守るのと同じ考え方です。情報セキュリティでは、技術的な対策だけではなく、物理的な安全を確保することも非常に重要とされています。
ア(PCの不正使用を防止するために、PCのログイン認証にバイオメトリクス認証を導入する。):
これは、指紋や顔認証といった生体情報を使った本人確認であり、技術的な対策に分類されます。
イ(サーバに対する外部ネットワークからの不正侵入を防止するために、ファイアウォールを設置する。):
ファイアウォールは、ネットワーク上の通信を監視・制御するソフトウェアやハードウェアであり、技術的な対策に分類されます。
ウ(セキュリティ管理者の不正や作業誤りを防止したり発見したりするために、セキュリティ管理者を複数名にして、互いの作業内容を相互チェックする。):
これは、人の行動や組織体制に関する対策であり、人的対策または運用上の対策に分類されます。
難易度
この問題は、情報セキュリティ対策の基本的な分類(技術的、人的、物理的)を理解していれば、比較的容易に正解できる問題です。それぞれの対策が具体的にどのようなものかをイメージできれば、迷うことなく正しい選択肢を選べるでしょう。情報セキュリティの入門知識として、重要かつ基礎的な内容なので、初心者の方も取り組みやすいはずです。
用語補足
情報セキュリティ対策:
情報資産(データやシステムなど)を、盗難、改ざん、破壊などの脅威から守るための活動全般です。例えば、自宅の貴重品を金庫に保管したり、鍵をかけたりするのと同じように、大切な情報を守るための取り組みです。
技術的対策:
コンピュータシステムやネットワークの技術を使ってセキュリティを強化する対策です。具体的には、ウイルス対策ソフトの導入、パスワードによる認証、データの暗号化などが挙げられます。ソフトウェアやハードウェアによる保護が中心となります。
人的対策:
情報セキュリティにおいて、「人」の行動や意識に関わる対策です。従業員へのセキュリティ教育、パスワードの適切な管理の徹底、不審なメールを開かないことの周知などが含まれます。人のミスや悪意による情報漏えいを防ぐことを目的としています。
物理的対策:
情報資産が置かれている建物や設備といった物理的な環境に対するセキュリティ対策です。例えば、サーバールームへの入退室管理、監視カメラの設置、ドアの施錠、地震や火災からの保護などが該当します。情報資産そのものがある場所を守ることを目的としています。
対策
この問題のポイントは、情報セキュリティ対策の「技術的」「人的」「物理的」という3つの分類を正確に理解することです。それぞれの対策が具体的にどのような内容を指すのかを把握し、与えられた事例がどの分類に当てはまるかを判断できるようにすることが重要です。日頃から身近なセキュリティ対策をこれらの分類に当てはめて考える練習をすると、理解が深まります。
