問題
問88
情報セキュリティ対策を、「技術的セキュリティ対策」、「人的セキュリティ対策」及び「物理的セキュリティ対策」に分類したとき、「物理的セキュリティ対策」の例として、適切なものはどれか。
- 業務に関係のない掲示板やSNSなどへの従業員による書き込み、閲覧を防止するために、Webサーバへのアクセスログを取得し、必要に応じて通信を遮断する。
- サーバ室、執務室などの場所ごとにセキュリティレベルを設定し、従業員ごとのアクセス権が付与されたICカードで入退室管理を行う。
- 従業員の採用時には、守秘義務に関する契約書を取り交わし、在籍中は機密情報の取扱いに関する教育、啓発を実施する。
- 退職者が、在籍中のアカウントを用いた不正アクセスを行わないように、従業員の退職時にアカウントを削除する。
[出典:ITパスポート試験 令和7年度 問88]
スポンサーリンク
正解
正解は「イ」です。
解説
情報セキュリティ対策は、攻撃や漏えいのリスクを防ぐために「技術的」「人的」「物理的」という3つの側面から実施されます。そのうち「物理的セキュリティ対策」とは、物理的な手段を用いて情報資産への不正なアクセスや破壊、盗難などから保護する対策です。
本問において正解である「サーバ室や執務室にセキュリティレベルを設定し、ICカードで入退室管理を行う」は、建物や部屋への物理的なアクセスを制限する施策であり、まさに物理的セキュリティ対策の代表例です。人の入退室をICカードで制御することで、許可された者のみが重要な設備や情報資産に近づけるようになります。
一方で、通信の遮断やログ管理は「技術的対策」、教育や契約は「人的対策」、退職者のアカウント削除は「技術的・人的対策」の一環に該当します。そのため、これらは物理的セキュリティ対策ではありません。
ア(アクセスログ取得や通信遮断):
これはシステム上のアクセス制御や監視を行う「技術的セキュリティ対策」に該当します。
ウ(契約書や教育の実施):
これは従業員の意識や行動を管理する「人的セキュリティ対策」の代表例です。
エ(退職時のアカウント削除):
アカウント管理はシステム操作で行われるため「技術的対策」に分類される内容です。
難易度
この問題は、情報セキュリティ対策の3分類を正確に理解していれば容易に解けます。分類に迷いやすい部分もあるため、基本的な対策内容を具体例と一緒に覚えておくことが必要です。難易度は「やや易しい」と言えます。
スポンサーリンク
用語補足
物理的セキュリティ対策:
建物や部屋の鍵、ICカード、監視カメラ、入退室管理など、物理的手段で情報資産へのアクセスを制限する対策です。
人的セキュリティ対策:
契約書の締結、教育・啓発活動、モラル向上など、人の行動や認識を通じて情報漏えいを防ぐための対策です。
対策
情報セキュリティ対策を分類ごとに理解し、それぞれに該当する具体例を覚えることが重要です。「技術的」「人的」「物理的」のいずれかを問う問題は頻出であり、具体例が問われるため、丸暗記ではなく意味の理解が求められます。
