サンプル問題 [科目B]問52

 A社は,複数の子会社を持つ食品メーカーであり,在宅勤務に適用するPCセキュリティ規程(以下,A社PC規程という)を定めている。
 A社は,20XX年4月1日に同業のB社を買収して子会社にした。B社は,在宅勤務できる日数の上限を週2日とした在宅勤務制度を導入しており,全ての従業員が利用している。
 B社は,A社PC規程と同様の規程を作成して順守することにした。B社は,自社の規程の作成に当たり,表1のとおりA社PC規程への対応状況の評価結果を取りまとめた。
52.png
 評価結果のうち,A社PC規程を満たさない項番については,必要な追加対策を実施することによって,情報セキュリティリスクを低減することにした。


設問 表1中の項番4について,B社が必要な追加対策を実施することによって低減できる情報セキュリティリスクは次のうちどれか。低減できるものだけを全て挙げた組合せを,解答群の中から選べ。ここで,項番3,5への追加対策は実施しないものとする。
  1. B社で許可していないアプリケーションソフトウェアが保存されている外部記憶媒体がNPCに接続された場合に,当該NPCがマルウェア感染する。
  2. 外部記憶媒体がNPCに接続された場合に,当該外部記憶媒体に当該NPC内のデータを保存して持ち出される。
  3. マルウェア付きのファイルが保存されている外部記憶媒体がNPCに接続された場合に,当該NPCがマルウェア感染する。
  4. マルウェアに感染しているNPCに外部記憶媒体が接続された場合に,当該外部記憶媒体がマルウェア感染する。

  • (一),(ニ)
  • (一),(ニ),(三)
  • (一),(ニ),(四)
  • (一),(三)
  • (一),(四)
  • (ニ),(三)
  • (ニ),(四)
  • (三),(四)
正解 問題へ
分野:情報セキュリティマネジメントの計画・要求事項
カテゴリ:情報資産に関する要求事項
解説
設問にあるとおり表1の項番4に対する追加対策を考慮すればよく、項番3、5は考慮しなくてもいい条件です。このように問題文だけではなく設問もよく読んで、問われていることをよく理解しましょう。また、注1)などの記載は当問題でも過去問題でも、重要なヒントが埋め込まれていますので、見落とさないように注意しましょう。

注1)で、B社は外部記憶媒体上のアプリケーションソフトウェア及びファイルをNPCにコピーすることを許可しているので、一切アクセスできない状態と比較して考えられる情報セキュリティリスクを解答します。すなわち、外部記憶媒体→NPCの方向だけ考えれば良く、逆方向のNPC→外部記憶媒体は無視できます。
  1. 適切。autorun.infというファイルが保存された外部記憶媒体は、接続した際に任意の実行ファイルを自動で起動するようになります。アプリケーションのコピーを許可していると、接続しただけで外部記憶媒体のマルウェアがNPCにコピーされ、マルウェア感染してしまうリスクがあります。
  2. 不適切。NPC上のファイルを外部記憶媒体にコピーすることは許可されていないので、セキュリティリスクはありません。
  3. 適切。外部記憶媒体からNPCへのファイルのコピーが許可されているので、マルウェア付きのファイルがコピーされ、マルウェア感染してしまうリスクがあります。
  4. 不適切。NPC上のアプリケーションを外部記憶媒体にコピーすることは許可されていないので、セキュリティリスクはありません。
したがって「(一),(三)」の組合せが適切です。

Pagetop