サンプル問題 [科目B]問57
問57
A社は従業員600名の投資コンサルティング会社である。東京の本社には,情報システム部,監査部などの管理部門があり,関西にB支店がある。B支店の従業員は10名である。
B支店では,情報システム部が運用管理しているファイルサーバを使用しており,顧客情報を含むファイルを一時的に保存する場合がある。その場合,ファイルのアクセス権は,当該ファイルを保存した従業員が最小権限の原則に基づいて設定する。今年,B支店では,従業員にヒアリングを行い,ファイルのアクセス権がそのとおりに設定されていることを確認した。
〔自己評価の実施〕
A社では,1年に1回,監査部が各部門に,評価項目を記載したシート(以下,自己評価シートという)を配布し,自己評価の実施と結果の提出を依頼している。
B支店で情報セキュリティリーダーを務めるC氏は,監査部から送付されてきた自己評価シートに従って,職場の状況を観察したり,従業員にヒアリングしたりして評価した。自己評価シートの評価結果は図1の判定ルールに従って記入する。C氏が作成したB支店の評価結果を表1に示す。
設問 表1中のaに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
B支店では,情報システム部が運用管理しているファイルサーバを使用しており,顧客情報を含むファイルを一時的に保存する場合がある。その場合,ファイルのアクセス権は,当該ファイルを保存した従業員が最小権限の原則に基づいて設定する。今年,B支店では,従業員にヒアリングを行い,ファイルのアクセス権がそのとおりに設定されていることを確認した。
〔自己評価の実施〕
A社では,1年に1回,監査部が各部門に,評価項目を記載したシート(以下,自己評価シートという)を配布し,自己評価の実施と結果の提出を依頼している。
B支店で情報セキュリティリーダーを務めるC氏は,監査部から送付されてきた自己評価シートに従って,職場の状況を観察したり,従業員にヒアリングしたりして評価した。自己評価シートの評価結果は図1の判定ルールに従って記入する。C氏が作成したB支店の評価結果を表1に示す。
- 評価項目どおりに実施している場合:"OK"
- 評価項目どおりには実施していないが,代替コントロールによって,"OK"の場合と同程度にリスクが低減されていると考えられる場合:"(OK)"(代替コントロールを具体的に評価根拠欄に記入する。)
- 評価項目どおりには実施しておらず,かつ,代替コントロールによって評価項目に関するリスクが抑えられていないと考えられる場合:"NG"
- 評価項目に関するリスクがそもそも存在しない場合:"NA"
設問 表1中のaに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
分類
情報セキュリティマネジメントの運用・継続的改善 » 情報セキュリティの意識向上
正解
ア
解説
A社のB支店がファイルサーバへのアクセス権を自己評価し、評価項目ファイルサーバ上の顧客情報のアクセス権が最小権限の原則に基づいて設定されているか、適切な評価結果と評価根拠を選択する問題です。問題文には「ファイルのアクセス権は,当該ファイルを保存した従業員が最小権限の原則に基づいて設定する。今年B支店では従業員にヒアリングを行い,ファイルのアクセス権がそのとおりに設定されていることを確認した」と解答根拠がはっきりと記載されています。選択肢の中から適切な解答を選ぶ国語問題と言っても良いでしょう。
最小権限の原則とは、ユーザやプログラムに必要最低限のアクセス権限のみ与え、不正アクセスやマルウェア感染などの被害を少なくすることを目的として行われることを言います。
最小権限の原則とは、ユーザやプログラムに必要最低限のアクセス権限のみ与え、不正アクセスやマルウェア感染などの被害を少なくすることを目的として行われることを言います。
- 正しい。最小権限の原則に基づいてファイルのアクセス権がそのとおりに設定されているので、評価結果は"OK"、評価根拠は"アクセス権の設定状況が適切であることを確認した"となります。
- 誤り。ルールが存在することを確認するだけでは不足しており、設定状況が適切であることを確認しなければなりません。
- 誤り。問題文には「ファイルのアクセス権は,当該ファイルを保存した従業員が最小権限の原則に基づいて設定する」とあります。評価根拠が問題の状況と一致しないので不適切です。
- 誤り。問題文には「情報システム部が運用管理しているファイルサーバを使用しており,顧客情報を含むファイルを一時的に保存する場合がある」とあります。リスクは存在するため"NA"は不適切です。