情報セキュリティマネジメント 平成28年春期 午前問7

午前問7

IPA"組織における内部不正防止ガイドライン"にも記載されている,組織の適切な情報セキュリティ対策はどれか。
  • インターネット上のWebサイトへのアクセスに関しては,コンテンツフィルタ(URLフィルタ)を導入して,SNS,オンラインストレージ,掲示板などへのアクセスを制限する。
  • 業務の電子メールを,システム障害に備えて,私用のメールアドレスに転送するよう設定させる。
  • 従業員がファイル共有ソフトを利用する際は,ウイルス対策ソフトの誤検知によってファイル共有ソフトの利用が妨げられないよう,ウイルス対策ソフトの機能を一時的に無効にする。
  • 組織が使用を許可していないソフトウェアに関しては,業務効率が向上するものに限定して,従業員の判断でインストールさせる。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

"組織における内部不正防止ガイドライン"は、組織が管理する情報と情報システムに対する内部不正の防止、および不正行為発生時の早期発見と拡大防止のための体制の整備を推進するためのガイドラインです。
07.gif/image-size:141×200
このガイドラインは、用語の定義と関連する法律の説明、および10の観点から示された30項目の対策で構成されています。この設問の管理策については「(12)ネットワーク利用のための安全管理」の頁(P.38)に記述されていて、以下の4つが対策のポイントとして挙げられています。
  1. PC 等の情報機器には、組織内で許可されたソフトウェア以外のもの(例えば、ファイル共有ソフト等)をインストールして利用することを禁止します。利用を許可するソフトウェアは、組織内で決定します。利用者から新たに利用申請があったソフトウェアは、利用させてもよいか判断することが必要です。
  2. Web アクセスに関しては、コンテンツフィルタを導入して、SNS 及びアップローダー、掲示版等へのアクセスを制限することが望まれます。
  3. 電子メールに関しては、業務のメールを個人のメールアドレスに転送する設定になっていないかを確認することが望まれます。また、外部宛のメール送信を再確認する機能や上司に承認を要求する機能、及び添付ファイル等が暗号化されていないと送信できないメールシステム等を導入することで、誤送信による情報漏えいの対策を講じることが望まれます。
  4. PC 等の情報機器を守るために、ウイルス対策ソフトの導入やパッチ適用等の一般的なセキュリティ対策を実施します
各選択肢をガイドラインに照らし合わせることで適切か否かを判断します。
  • 正しい。Webアクセスに関しては、コンテンツフィルタを導入して、SNS及びアップローダー、掲示版等へのアクセスを制限することが望まれます。
  • 電子メールに関しては、情報が外部に意図せずに漏えいすることを防ぐために業務のメールを個人のメールアドレスに転送する設定になっていないかを確認することが望まれます。
  • PC等の情報機器には、組織内で許可されたソフトウェア以外のもの(例えば、ファイル共有ソフト等)をインストールして利用することを禁止します。また情報機器を守るためにウイルス対策ソフトは一時的でも無効にすべきではありません。
  • 利用者から新たに利用申請があったソフトウェアを利用させてもよいかは、従業員の判断ではなく組織で判断することが求められます。
参考URL: IPA 組織における内部不正防止ガイドライン(PDF)
 https://www.ipa.go.jp/files/000044615.pdf
ファイル共有ソフト
インターネット上で不特定多数コンピュータ間でファイル(データ)をやり取りできるソフトウェア。WinnyやShareなどが代表例である。ファイル共有ソフトの使用による著作権侵害や、コンピュータウイルス感染、企業(組織)からの情報漏えい事故が大きな問題となっている。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop