情報セキュリティ

基本情報技術者試験媒体管理」の問題

情報セキュリティ情報セキュリティ難易度:normal
T社では、私物を含む任意のUSBメモリを業務PCに自由に接続でき、社員が大容量の機密ファイルを無断で持ち出したり、外部で拾ったメモリを接続してマルウェアに感染したりする事故が起きている。これらのリスクをまとめて下げる技術的対策として、最も適切なものはどれか。
USBメモリの業務利用を禁じる旨を就業規則へ明記し、全社員から誓約書を取る。
機密ファイルを開く際にパスワード入力を求め、権限のない者の閲覧を抑止する。
持ち出し用のUSBメモリを総務部に集約し、貸し出すたびに台帳へ記録していく。
業務PC側で接続できる機器を制限し、許可外の媒体への書出しをできなくする。
正解
業務PC側で接続できる機器を制限し、許可外の媒体への書出しをできなくする。

事故の共通原因は『任意のUSBメモリを自由に接続・書出しできる』点である。デバイス制御で業務PCのUSB接続を統制し、許可された機器以外の使用と外部媒体への書出しを技術的に制限すれば、機密の無断持ち出しと不審な媒体の接続によるマルウェア感染の両方を、人の遵守意識に依存せず確実に防げる。原因に直接対応している。

?選択肢ごとの解説

ア ×就業規則への明記と誓約は規範を示すだけで技術的な強制力がなく、悪意や不注意による接続を実際には止められない。
イ ×ファイルのパスワード保護は無断閲覧を一部抑止するが、許可された者による持ち出しや不審媒体の接続による感染は防げない。
ウ ×持ち出し用USBの集約・貸出記録は持ち出しの一部統制になるが、私物USBの自由な接続という根本は残り感染も防げない。
エ ○事故の共通原因は『任意のUSBメモリを自由に接続・書出しできる』点である。デバイス制御で業務PCのUSB接続を統制し、許可された機器以外の使用と外部媒体への書出しを技術的に制限すれば、機密の無断持ち出しと不審な媒体の接続によるマルウェア感染の両方を、人の遵守意識に依存せず確実に防げる。原因に直接対応している。

くわしく

可搬媒体は情報持ち出しとマルウェア持込みの両方の経路になる。規程や運用での統制は人の遵守に依存し抜け穴が残るため、デバイス制御により接続・書出しを技術的に強制することが最も確実である。技術的対策が問われている点を読み取ることが重要である。

本番での押さえどころ

試験のコツ

USB・可搬媒体で持ち出しと感染の両方が論点かつ『技術的対策』なら、デバイス制御による接続・書出しの制限が正解。

覚え方

USBは『出入口を技術で塞ぐ』。鍵をかけずに注意書きだけ貼っても、扉は開いてしまう。

よくある誤り

規程化(ア)や貸出管理(ウ)といった運用策を選びがちだが、問いは『技術的対策』であり、人の遵守に依存しない強制力のある手段が求められている点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0032

【基本情報技術者試験】媒体管理の問題 — 解答・解説|ukamiru 過去問