平成28年春期試験問題 午前問7

IPA"組織における内部不正防止ガイドライン(第5版)"にも記載されている,組織の適切な情報セキュリティ対策はどれか。

  • インターネット上のWebサイトへのアクセスに関しては,コンテンツフィルター(URLフィルター)を導入して,SNS,オンラインストレージ,掲示板などへのアクセスを制限する。
  • 業務の電子メールを,システム障害に備えて,私用のメールアドレスに転送するよう設定させる。
  • 従業員がファイル共有ソフトを利用する際は,ウイルス対策ソフトの誤検知によってファイル共有ソフトの利用が妨げられないよう,ウイルス対策ソフトの機能を一時的に無効にする。
  • 組織が使用を許可していないソフトウェアに関しては,業務効率が向上するものに限定して,従業員の判断でインストールさせる。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
解説
組織における内部不正防止ガイドラインは、組織が管理する情報と情報システムに対する内部不正の防止、および不正行為発生時の早期発見と拡大防止のための体制の整備を推進するためのガイドラインです。

このガイドライン(第5版)は、用語の定義と関連する法律の説明、および10の観点から示された33項目の対策で構成されています。この設問の管理策については「ネットワーク利用のための安全管理」のページに記述されていて、以下の5つが対策のポイントとして挙げられています。
  1. PC等の情報機器には、組織内で許可されたソフトウェア以外のもの(例えば、ファイル共有ソフト等)をインストールして利用することを禁止する。利用を許可するソフトウェアやオンラインストレージは、組織内で決定する。
  2. Webアクセスに関しては、コンテンツフィルターを導入して、SNS 及びアップローダー、掲示版等へのアクセスを制限することが望ましい。
  3. 電子メールに関しては、業務のメールを個人のメールアドレスに転送する設定になっていないかを確認することが望ましい。
  4. 無線LANの利用に関しては、役職員の私用スマートフォンによるテザリングや工事の要らない無線LANモデムなどで、許可なく組織外部に接続することを禁止する。
  5. PC等の情報機器を守るために、マルウェア対策機能や不正サイトへの接続をブロックする機能を備えたセキュリティ対策ソフトの導入やパッチ適用等の一般的なセキュリティ対策を実施する。
各選択肢をガイドラインに照らし合わせることで適切か否かを判断していきます。
  • 正しい。SNS、アップローダー、掲示版等にアクセスできるようになっていると、重要情報がアップロードされたり書き込まれたりして漏えいするおそれがあります。このため、上記のように危険のあるサイトへのWebアクセスに関しては、コンテンツフィルターを導入して制限することが推奨されます。
  • 業務用のメールを私用のメールアドレスに転送できるようになっていると、機密情報の漏えいにつながる可能性があるため制限することが推奨されます。
  • ファイル共有ソフトの利用は、機密情報の漏えいにつながるおそれがあるため禁止しなければなりません。また、情報機器をマルウェア等から守るために、セキュリティ対策ソフトは常時有効にしなければなりません。
  • 利用者から新たに利用申請があったソフトウェアやオンラインストレージの利用可否は、従業員ではなく組織が決定しなければなりません。
ファイル共有ソフト … インターネット上で不特定多数コンピュータ間でファイル(データ)をやり取りできるソフトウェア。WinnyやShareなどが代表例である。ファイル共有ソフトの使用による著作権侵害や、コンピュータウイルス感染、企業(組織)からの情報漏えい事故が大きな問題となっている

Pagetop