情報セキュリティマネジメント試験(SG)の「情報セキュリティ啓発・組織運営」分野のオリジナル予想問題を6問、正解と解説つきで無料公開しています。登録なしで読めます。
※ 本サービスは各試験の実施団体とは関係のない非公式の学習サービスで、掲載問題は出題範囲に基づく独自作成(オリジナル)です。
技術では防げない“人と組織”のリスクに取り組む分野です。事故の多くは人的要因から起こります。
どんなに技術で固めても、パスワードの使い回しや添付ファイルの誤送信、不注意な持ち出しといった人的ミス・内部不正は防ぎきれません。だからこそ教育・訓練(標的型メール訓練など)で意識を高め、規程やルールを整備して守らせることが重要になります。
組織運営の観点では、入退室管理やクリアデスク・クリアスクリーンといった物理的セキュリティ、業務を任せる委託先・サプライチェーンの管理も範囲です。「ルールを作る→周知・教育する→守られているか点検する」というサイクルで人的リスクを下げます。
クリアデスク・クリアスクリーンの目的として最も適切なものはどれか。
正解イ。クリアデスクは机上に機密書類を放置しないこと,クリアスクリーンは離席時に画面をロックすること。人的・物理的な情報漏えいを防ぐ基本対策。
標的型攻撃メール訓練(疑似攻撃メールの送付)を実施する主な目的はどれか。
正解ウ。訓練の目的は,従業員の気づきと正しい初動(開かない・報告する)を定着させること。人的対策(セキュリティ教育)の一環。
内部不正を防ぐための「職務分掌」に該当するものはどれか。
正解エ。職務分掌は,相互牽制が働くように権限・作業を複数人に分けること。申請者と承認者を分けるのが典型。権限集中やID共有は不正の温床。
情報漏えい対策のルールとして最も適切なものはどれか。
正解ウ。クリアデスクの考え方。離席・退社時に機密書類を施錠保管し,廃棄時はシュレッダーで判読不能にすることで,のぞき見・持出し・ごみからの漏えいを防ぐ。
情報漏えいリスクを抑えてBYODを許可する対策として最も適切なものはどれか。
正解イ。BYODはMDMで一元管理し,パスコード強制・紛失時の遠隔ロック/ワイプ・業務データと私的データの分離などを行うことでリスクを抑える。無制限利用や保護なしは漏えいリスクが高い。
標的型攻撃メールへの組織的な備えとして,適切でないものはどれか。
正解ア(適切でないもの)。不審メールは個人判断で処理せず,速やかに報告窓口へ連絡することで組織として被害拡大を防ぎ,ほかの従業員にも注意喚起できる。報告窓口の整備・訓練・教育はいずれも有効な対策。