問題
問94
情報セキュリティ対策を、”技術的セキュリティ対策”、”人的セキュリティ対策” 及び “物理的セキュリティ対策” に分類したとき、”物理的セキュリティ対策” の例として、適切なものはどれか。
- 機密情報の取扱いに関して、罰則を含めた規則を制定し、これを遵守させるために、関係者に定期的な教育を実施する。
- 被災によるシステム障害が発生してもサービスを継続できるように、遠隔地にバックアップシステムを用意する。
- ますます方法が巧妙化されるサイバー攻撃による被害を防ぐために、サイバー攻撃の方法や対策に関する情報を従業員に周知する。
- マルウェアによる被害を防ぐために、マルウェア対策ソフトを導入し、定義ファイルを常に最新に保つ。
[出典:ITパスポート試験 令和8年度 問94]
正解
正解は「イ」です。
解説
正解は「イ」です。物理的セキュリティ対策とは、建物や設備といった「目に見える形あるもの」を守るための対策や、地震・火災・洪水などの天災からシステムを物理的に保護するための工夫を指します。
たとえるなら、家を守る際に「泥棒が入らないように頑丈な鍵をかける」ことや「火災に備えて耐火金庫を設置する」といった物理的な設備投資にあたります。選択肢イの「遠隔地にバックアップシステムを用意する」ことは、特定の場所が震災や火災などで物理的に壊滅してしまったとしても、別の離れた場所にあるシステムを使って事業を継続できるようにするための対策です。建物自体が物理的に使えなくなるリスクを想定し、地理的な距離をとって予備を配置するという物理的な手段を用いているため、物理的セキュリティ対策に分類されます。
このように、コンピュータの中身であるデータだけでなく、それらが設置されている場所やハコそのものの安全性を確保することが物理的セキュリティ対策の重要な役割なのです。
ア(機密情報の取扱いに関して、罰則を含めた規則を制定し教育を実施する。):
規則の制定や従業員への教育は「人的(組織的)セキュリティ対策」です。人の意識や行動を管理することで事故を防ぐ手法です。
ウ(サイバー攻撃の方法や対策に関する情報を従業員に周知する。):
情報の周知や知識の共有も「人的セキュリティ対策」に分類されます。従業員のリテラシー向上を通じてリスクを低減する取り組みだからです。
エ(マルウェア対策ソフトを導入し、定義ファイルを常に最新に保つ。):
ソフトウェアやシステムによる防御は「技術的セキュリティ対策」です。IT技術を駆使してコンピュータウイルスなどの脅威を遮断する対策です。
難易度
セキュリティ対策の3分類(物理的・人的・技術的)はITパスポート試験における頻出のテーマであり、それぞれの定義を正しく理解していれば得点しやすい問題です。「物理的」という言葉が、建物の鍵や場所の移動など「実体として形に見えるもの」に関わっているというイメージを持つことが正解への近道です。ITの専門知識がなくても日常的な感覚で絞り込みやすいため、確実に正解しておきたい一問です。
用語補足
物理的セキュリティ対策:
建物への入退室管理や耐震設備など、物理的な損害を防ぐ対策です。例えば「サーバー室のドアに指紋認証ロックを付けること」がこれに当たります。
人的セキュリティ対策:
教育や就業規則を通じて、人のミスや不正による漏洩を防ぐ対策です。例えば「情報の持ち出しルールを記載した誓約書に従業員からサインをもらうこと」が該当します。
技術的セキュリティ対策:
暗号化やファイアウォールなど、IT技術を用いた対策です。例えば「他人のパソコンからデータを覗かれないように、ファイルにパスワードをかけること」がこれに当たります。
バックアップシステム:
メインのシステムが故障した際に備えて用意しておく予備の仕組みです。料理で例えると「包丁が欠けた時のための予備の包丁」のように、緊急時に代わりを務める存在です。
対策
対策のポイントは、3つの分類を「何を使って守るか」で整理することです。「設備や場所なら物理的」「人の心や教育なら人的」「ITシステムやソフトなら技術的」と覚えましょう。今回の「遠隔地バックアップ」は、単なるデータのコピー(技術的)ではなく、物理的な拠点を分散させるという「場所」の概念が含まれるため物理的対策と判断します。紛らわしい選択肢を比較して分類する練習を行いましょう。
