あなたは,企業の情報システム部門に所属する管理者であり,社内の情報セキュリティを健全に保つための責務がある。 ある日,業務をしていたら,社員の一人が,社内の情報セキュリティ・ポリシーで禁止されている株の売買を行っていることがわかった。社内の情報システムを担当するあなたが取るべき行動として,不適切な行動が二つある。その組み合わせを選択肢から一つ選びなさい。
(1) 情報セキュリティ・ポリシーに定めてある対応手順に従って,人事部門にポリシー違反の事実を報告し,その社員の上司経由で違反をやめさせる(2) 情報セキュリティ・ポリシーに定めてある対応手順にとらわれることなく,臨機応変に違反者に直接注意し,内々に処理する
(3) アクセスしていた株売買サイトをURLフィルタの禁止リストに登録し,社内ネットワークからそのサイトを利用できないようにする
(4) 情報セキュリティ違反事例として,社内に違反事例を周知する
(5) ポリシー違反の内容をインターネット上にある管理者個人の日記サイトに書く
[選択肢]
a. (1)と(2)
b. (2)と(3)
c. (1)と(4)
d. (3)と(4)
e. (2)と(5)
[解説]
問3の正解は,選択肢eの(2)と(5)の行動です。
(2)の行動は,「情報セキュリティ・ポリシーに定めてある対応手順にとらわれることなく」という文章から,情報セキュリティ・ポリシーに定められた対応手順を逸脱しています。つまり,ポリシー違反者を見逃すことは,それ自体がポリシー違反といえます。そのため,(2)の行動は間違いです。
システム的に社内から株の売買サイトが閲覧できなければこのようなポリシー違反は起こりません。そのため,該当サイトを禁止サイトとして登録するのは正しい対処です。そのため(3)の行動は正しい行動です。
ポリシー違反があったときは,再発防止のためにも社内に周知して情報共有を行うのが望ましいでしょう。そのため,(4)の行動は正しいといえます。
(5)の行動は論外の間違いです。業務上で知り得た社内のポリシー違反の情報を,インターネット上の個人サイトで暴露するわけですから,明らかに正しくない行動です。そのため,この行動も間違いです。
以上より不適切な行動は,選択肢eの(2)と(5)です。
