問題

問59 情報システムのセキュリティコントロールを予防、検知、復旧の三つに分けた場合、復旧に該当するものはどれか。

ア オペレータとプログラマの職務分離
イ コンティンジェンシープラン
ウ パスワードの利用
エ メッセージ認証

マネジメント系>サービスマネジメント>サービスマネジメント>サービスマネジメント構築

解説と解答

 情報システムにおけるセキュリティコントロールの予防とは、組織、物理環境、情報システムなどの脆弱な部分に対して、あらかじめ十分なセキュリティ対策を行うことです。検知とは、不正アクセスや内部犯罪の発生を速やかに発見・通知し、その原因や影響範囲の特定に必要な情報を取得・保全することです。復旧とは、セキュリティ上の問題が発生した場合に、情報システムやネットワークを正常な状態に復旧させることです。

 それぞれの選択肢を確認しましょう。

 選択肢アの「オペレータとプログラマの職務分離」は、「予防」に該当します。プログラマが実運用環境に直接触れられないようにすることで、システムの不正利用を防ぎます。

 選択肢イの「コンティンジェンシープラン」とは、起こりうる不測の事態、特に最悪の事態を想定して立てる計画や対処法のことで、「復旧」に該当します

 選択肢ウの「パスワードの利用」は、「予防」と「検知」に当たります。パスワードの利用により、システムへの不正侵入の予防と、不正なパスワードが入力された場合の検知を可能にします。

 選択肢エの「メッセージ認証」は、メッセージが正当な送信者から送られていることと改ざんがないことを確認する技術のことで、「検知」に該当します。

 以上より正解は、選択肢イです。

城田 比佐子、関谷 昌太
アイティ・アシスト インストラクタ
ITに関するコンサルティングや教育を実施するアイティ・アシストのインストラクタ。新入社員研修やプロマネ育成研修をはじめ、基本情報技術者試験、応用情報技術者試験、プロジェクトマネージャ試験などの試験対策研修の実績も豊富。著書に「3週間完全マスター 基本情報技術者 2010年版」などがある。