情報セキュリティマネジメント試験情報＆徹底解説

組織における内部不正防止ガイドラインは、組織が管理する情報と情報システムに対する内部不正の防止、および不正行為発生時の早期発見と拡大防止のための体制の整備を推進するためのガイドラインです。

このガイドライン(第5版)は、用語の定義と関連する法律の説明、および10の観点から示された33項目の対策で構成されています。この設問の管理策については「ネットワーク利用のための安全管理」のページに記述されていて、以下の5つが対策のポイントとして挙げられています。

1. PC等の情報機器には、組織内で許可されたソフトウェア以外のもの（例えば、ファイル共有ソフト等）をインストールして利用することを禁止する。利用を許可するソフトウェアやオンラインストレージは、組織内で決定する。
2. Webアクセスに関しては、コンテンツフィルターを導入して、SNS 及びアップローダー、掲示版等へのアクセスを制限することが望ましい。
3. 電子メールに関しては、業務のメールを個人のメールアドレスに転送する設定になっていないかを確認することが望ましい。
4. 無線LANの利用に関しては、役職員の私用スマートフォンによるテザリングや工事の要らない無線LANモデムなどで、許可なく組織外部に接続することを禁止する。
5. PC等の情報機器を守るために、マルウェア対策機能や不正サイトへの接続をブロックする機能を備えたセキュリティ対策ソフトの導入やパッチ適用等の一般的なセキュリティ対策を実施する。

各選択肢をガイドラインに照らし合わせることで適切か否かを判断していきます。

• 正しい。SNS、アップローダー、掲示版等にアクセスできるようになっていると、重要情報がアップロードされたり書き込まれたりして漏えいするおそれがあります。このため、上記のように危険のあるサイトへのWebアクセスに関しては、コンテンツフィルターを導入して制限することが推奨されます。
• 業務用のメールを私用のメールアドレスに転送できるようになっていると、機密情報の漏えいにつながる可能性があるため制限することが推奨されます。
• ファイル共有ソフトの利用は、機密情報の漏えいにつながるおそれがあるため禁止しなければなりません。また、情報機器をマルウェア等から守るために、セキュリティ対策ソフトは常時有効にしなければなりません。
• 利用者から新たに利用申請があったソフトウェアやオンラインストレージの利用可否は、従業員ではなく組織が決定しなければなりません。

^※ファイル共有ソフト … インターネット上で不特定多数コンピュータ間でファイル(データ)をやり取りできるソフトウェア。WinnyやShareなどが代表例である。ファイル共有ソフトの使用による著作権侵害や、コンピュータウイルス感染、企業(組織)からの情報漏えい事故が大きな問題となっている