予想問題vol.12 問37

問37

“コンピュータ不正アクセス対策基準”に適合しているものはどれか。
  • 監視効率を向上させるためにすべてのネットワークを相互接続する。
  • 業務上必要な場合は,利用者 ID を個人間で共有して使用できる。
  • システム管理者が,すべての権限をもつ利用者 ID を常に使用できる。
  • 組織のセキュリティ方針を文書化し,定期的に研修を開催する。
  • [出典]
  • 基本情報技術者 H21春期 問80

分類

ストラテジ系 » 法務 » セキュリティ関連法規

正解

解説

コンピュータ不正アクセス対策基準は、コンピュータ不正アクセスによる被害の予防,発見,再発防止などについて,組織及び個人が実行すべき対策をとりまとめたものです。基準は、システムユーザ基準、システム管理者基準、ネットワークサービス事業者基準及びハードウェア・ソフトウェア供給者基準の4つから構成されています。
システムユーザ基準
システムを利用する者が実施すべき対策についてまとめたもので、27項目からなる。
システム管理者基準
システムユーザの管理並びにシステム及びその構成要素の導入、維持、保守等の管理を行う者が、実施すべき対策についてまとめたもので、58項目からなる。
ネットワーク事業者サービス基準
ネットワークを利用して、情報サービス及びネットワーク接続サービスを提供する事業者が実施すべき対策についてまとめたもので、27項目からなる。
ハードウェア・ソフトウェア供給者基準
ハードウェア及びソフトウェア製品の開発、製造、販売等を行う者(以下「ハードウェア・ソフトウェア供給者」とする。)が、実施すべき対策についてまとめたもので、24項目からなる。
この選択肢の事例を基準に当てはめて考えてみると、
  • システム管理者基準(4)設備管理の項に、「ネットワークを介して外部からアクセスできる通信経路及びコンピュータは、必要最小限にすること。」及び「システムの利用形態等に応じて、ネットワークを分離すること。」とあるのでセキュリティ面から不適切な事例と判断できます。
  • システムユーザ基準(1)パスワード及びユーザID管理の項に「ユーザIDは、複数のシステムユーザで利用しないこと。」とあり、IDの共有は不適切です。
  • システム管理者基準(1) 管理体制の整備の項に「システム管理者の権限は、業務を遂行する上で必要最小限にすること。」及び、(2) システムユーザ管理の項では「システムユーザの登録は、必要な機器に限定し、システムユーザの権限を必要最小限に設定すること。」としていることから不適切な事例と判断できます。
  • 正しい。システム管理者基準(1)管理体制の整備の項に「システムのセキュリティ方針を確立し、周知・徹底すること。」とあり、(7) 情報収集及び教育の項では、「システムユーザに、セキュリティ教育を随時実施すること。」とする基準があります。
参考リンク: コンピュータ不正アクセス対策基準
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop