問題
問80 “コンピュータ不正アクセス対策基準”に適合しているものはどれか。
ア 監視効率を向上させるためにすべてのネットワークを相互接続する。
イ 業務上必要な場合は,利用者IDを個人間で共有して使用できる。
ウ システム管理者が,すべての権限をもつ利用者IDを常に使用できる。
エ 組織のセキュリティ方針を文書化し,定期的に研修を開催する。
解説と解答
コンピュータ不正アクセス対策基準とは,経済産業省が,情報システムへの不正なアクセスの予防,発見,防止,復旧,再発予防などをすることを目的に策定した基準です。つまり,コンピュータの利用が許可されていない人が利用した結果として,情報漏えいなどの各種問題が発生しないように企業や組織あるいは個人が実行すべき対策についてまとめたものです。コンピュータ不正アクセス対策基準では,不正アクセスをさせないために,接続ネットワークの限定,IDやパスワードの管理方法,アクセス権限や教育・研修といった内容についてまとめられています。また,セキュリティ方針(セキュリティポリシー)を文書化し,定期的な研修を開催することについても触れられています。よって正解は,選択肢エです。
それ以外の選択肢について見てみましょう。
選択肢アについて。複数のネットワークを接続するということはそれだけたくさんの利用者がいることになり,不正アクセスの機会も増えることになります。また,コンピュータ不正アクセス対策基準の整備管理項目内に「ネットワークを介して外部からアクセスできる通信経路及びコンピュータは,必要最小限にすること」とあります。
選択肢イについて。利用者IDを共通で持ってしまうと,だれがアクセスしたのか判断できなくなってしまいます。また,コンピュータ不正アクセス対策基準のシステムユーザ管理の項目に「ユーザIDは,個人単位に割り当て,パスワードを必ず設定すること」とあります。さらに,パスワード及びユーザID管理の項目に「ユーザIDは,複数のシステムユーザで利用しないこと」とあります。
選択肢ウについて。システム管理者であっても,システムを管理する仕事をしている利用者に過ぎません。必要以上の業務外のデータへのアクセスは不正アクセスとなります。たとえば,システム管理者がある特定の人物の給与振込口座番号や振込金額を知らなくてもシステム管理の仕事に影響はありません。コンピュータ不正アクセス対策基準のコンピュータ管理の項目にも「コンピュータを管理するために与えられた最上位の権限によるコンピュータの利用は,必要最小限にすること」とあります。
アイティ・アシスト 代表取締役
