セキュリティ

情報セキュリティ啓発・組織運営の予想問題・解説

情報セキュリティマネジメント試験(SG)の「情報セキュリティ啓発・組織運営」分野のオリジナル予想問題を6問、正解と解説つきで無料公開しています。登録なしで読めます。

※ 本サービスは各試験の実施団体とは関係のない非公式の学習サービスで、掲載問題は出題範囲に基づく独自作成(オリジナル)です。

この分野について

技術では防げない“人と組織”のリスクに取り組む分野です。事故の多くは人的要因から起こります。

どんなに技術で固めても、パスワードの使い回しや添付ファイルの誤送信、不注意な持ち出しといった人的ミス・内部不正は防ぎきれません。だからこそ教育・訓練(標的型メール訓練など)で意識を高め、規程やルールを整備して守らせることが重要になります。

組織運営の観点では、入退室管理やクリアデスク・クリアスクリーンといった物理的セキュリティ、業務を任せる委託先・サプライチェーンの管理も範囲です。「ルールを作る→周知・教育する→守られているか点検する」というサイクルで人的リスクを下げます。

押さえておきたい用語

セキュリティ教育・訓練
意識向上のための研修や標的型メール訓練など。
クリアデスク/クリアスクリーン
離席時に書類・画面から情報を見せないようにする運用。
物理的セキュリティ
入退室管理・施錠など物理的な防御。
委託先管理
外部委託時にセキュリティ水準を契約・点検で担保すること。
内部不正
従業員等による意図的な情報の持ち出し・悪用。
サプライチェーンリスク
取引先経由で波及するセキュリティリスク。

学習のポイント

  • 「技術的・物理的・人的(組織的)」の対策分類を意識する。
  • 内部不正対策は“できない仕組み+見つかる仕組み+抑止”の合わせ技。

予想問題と解説(6問)

  1. 科目A・単一選択

    クリアデスク・クリアスクリーンの目的として最も適切なものはどれか。

    • ディスクの空き容量を増やす
    • 離席時に書類や画面情報を放置せず,のぞき見や持出しによる情報漏えいを防ぐ 正解
    • ネットワーク帯域を節約する
    • PCの電力消費を抑える
    解説

    正解イ。クリアデスクは机上に機密書類を放置しないこと,クリアスクリーンは離席時に画面をロックすること。人的・物理的な情報漏えいを防ぐ基本対策。

  2. 科目A・単一選択

    標的型攻撃メール訓練(疑似攻撃メールの送付)を実施する主な目的はどれか。

    • 従業員のメール処理速度を測定する
    • メールサーバの性能を評価する
    • 従業員が不審なメールを見分け,適切に報告・対処できるようにする 正解
    • スパムフィルタの精度を測る
    解説

    正解ウ。訓練の目的は,従業員の気づきと正しい初動(開かない・報告する)を定着させること。人的対策(セキュリティ教育)の一環。

  3. 科目A・単一選択

    内部不正を防ぐための「職務分掌」に該当するものはどれか。

    • 一人の担当者に全権限を集中させる
    • 全員で同じIDを共有する
    • 承認を省略して効率化する
    • 申請者と承認者を別の担当者に分ける 正解
    解説

    正解エ。職務分掌は,相互牽制が働くように権限・作業を複数人に分けること。申請者と承認者を分けるのが典型。権限集中やID共有は不正の温床。

  4. 科目B・単一選択

    情報漏えい対策のルールとして最も適切なものはどれか。

    • 機密書類は机の上に出したままにしておく
    • 不要になった書類は一般ごみとしてそのまま捨てる
    • 離席・退社時は機密書類を施錠保管し,不要になった書類はシュレッダーで廃棄する 正解
    • 書類は誰でも持ち出せる場所にまとめて保管する
    解説

    正解ウ。クリアデスクの考え方。離席・退社時に機密書類を施錠保管し,廃棄時はシュレッダーで判読不能にすることで,のぞき見・持出し・ごみからの漏えいを防ぐ。

  5. 科目B・単一選択

    情報漏えいリスクを抑えてBYODを許可する対策として最も適切なものはどれか。

    • 特に制限を設けず,私物端末で自由に業務データを扱わせる
    • MDM(モバイルデバイス管理)を導入し,パスコード強制・遠隔ロック/消去・業務データの分離を行う 正解
    • 端末にパスコードを設定しないようにする
    • 紛失しても業務データを消去できないようにしておく
    解説

    正解イ。BYODはMDMで一元管理し,パスコード強制・紛失時の遠隔ロック/ワイプ・業務データと私的データの分離などを行うことでリスクを抑える。無制限利用や保護なしは漏えいリスクが高い。

  6. 科目A・単一選択

    標的型攻撃メールへの組織的な備えとして,適切でないものはどれか。

    • 不審メールを受け取ったら個人で判断して削除し,誰にも報告しない 正解
    • 疑わしいメールの報告窓口と手順を周知する
    • 定期的に訓練メールを送り従業員の対応力を高める
    • 不審な添付やリンクを開かないよう教育する
    解説

    正解ア(適切でないもの)。不審メールは個人判断で処理せず,速やかに報告窓口へ連絡することで組織として被害拡大を防ぎ,ほかの従業員にも注意喚起できる。報告窓口の整備・訓練・教育はいずれも有効な対策。

続きを解いて実力チェック 無料登録で練習モード・本番モード・弱点分析が使えます →