基本情報技術者試験「データ持ち出し承認」の問題
K社では、機密データを社外へ持ち出す際の手続が定まっておらず、各自の判断で外部媒体やクラウドへ自由にコピーして持ち出している。持ち出しに伴う漏えいリスクを組織として下げる運用上の対策として、最も適切なものはどれか。
ア持ち出しを事前申請・承認制とし、対象・目的・保護方法を記録して統制する。
イ持ち出し時は十分注意するよう、年1回の研修で社員へ呼びかける。
ウ持ち出した媒体を紛失した際の報告窓口を設け、発覚後に速やかに動けるようにしておく。
エ社外で使う端末へウイルス対策ソフトを入れ、マルウェア感染による流出を防ぐ。
正解
ア.持ち出しを事前申請・承認制とし、対象・目的・保護方法を記録して統制する。
原因は『持ち出しが各自の判断に委ねられ統制が無い』ことである。機密データの持ち出しを事前申請・承認制にし、何を・何のために・どう保護して持ち出すかを記録・統制すれば、不要・不適切な持ち出しを抑止し、持ち出し状況を把握できるため、組織としてリスクを下げられる。原因の運用不備に直接対応する。
?選択肢ごとの解説
ア ○原因は『持ち出しが各自の判断に委ねられ統制が無い』ことである。機密データの持ち出しを事前申請・承認制にし、何を・何のために・どう保護して持ち出すかを記録・統制すれば、不要・不適切な持ち出しを抑止し、持ち出し状況を把握できるため、組織としてリスクを下げられる。原因の運用不備に直接対応する。
イ ×研修での呼びかけは個人の注意に依存し、年1回では徹底性に欠け、統制の仕組み自体を作らないため確実性が低い。
ウ ×紛失時の報告窓口は事後対応であり、無秩序な持ち出しという原因を是正せず、漏えいを未然に減らす効果は限定的である。
エ ×ウイルス対策ソフトはマルウェア感染対策で、許可なく機密を持ち出す行為そのものを統制する手段ではない。
✎くわしく
情報の持ち出しリスクは『誰が・何を・どう持ち出すか』を組織が把握・統制できていないことに起因する。申請・承認・記録という管理プロセスを設けることで、必要性の審査と事後追跡が可能になり、無秩序な持ち出しを抑止できる。技術策(暗号化やウイルス対策)はこの統制の上で補完的に効く。
✓本番での押さえどころ
試験のコツ
持ち出しが各自の自由判断という運用不備なら、事前申請・承認・記録による統制が根本対策。注意喚起や事後窓口は補助にとどまる。
覚え方
持ち出しは『申請して許可を得る』。自由放任を、申請・承認・記録の流れで縛る。
よくある誤り
注意喚起(イ)や事後の報告窓口(ウ)を選ぶ。原因が『統制プロセスの不在』である以上、申請・承認制の確立が根本対策である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0167