「情報セキュリティマネジメント試験」(セスペ)の出題内容を解説するIPAのWebサイトには、「『組織における内部不正防止ガイドライン』が求めている管理策・対策などを積極的に取り上げます」と書いてあります。なので、試験対策として「組織における内部不正防止ガイドライン」(https://www.ipa.go.jp/security/fy24/reports/insider/)を一通り読んでおくとよいでしょう。
ただ、このガイドラインは全体で約90ページと長く、全部を覚えるのは大変です。ですからまず、ガイドラインの「内部不正防止の基本原則」を把握しておきます。
そして、このガイドラインの4章「内部不正を防ぐための管理のあり方」には、10の観点のもと30項目の内部不正対策を示しています。これを理解しましょう。これで、ガイドライン全体を大まかに把握できます。ガイドラインの内容に関連する過去問題もいくつか取り上げたので、解答しながら読み進めると理解も深まるでしょう。
まずは、基本方針と資産管理(秘密指定、アクセス権指定、アクセス管理等)の観点に含まれる(1)から(7)までの7項目を見ます。
(1)経営者の責任の明確化
このガイドラインには、「役職員」という言葉がよく登場します。役職員は、役員、従業員(契約社員を含む)及び派遣社員等の従業員に準ずる者の総称です。社員と置き換えて読むと、分かりやすいと思います。
【概要】
- 内部不正対策は経営者の責任である。
- 経営者は「基本方針」を策定し、役職員に周知徹底する。
- 経営者は、対策を実施するのためのリソースを確保する。
【想定されるリスク】
- 経営者がリーダーシップをとり、「基本方針」を策定しないと、社内外における経営責任の所在があいまいになり、実効性のある管理体制の整備が困難となる。
【補足】
経営者の責任は、基本方針を作成し周知徹底さえさせれば終わり、ではありません。きちんと運用されているかをモニタリングし、必要に応じて見直すというPDCAサイクルが必要です。
(2)総括責任者の任命と組織横断的な体制構築
【概要】
- 経営者が総括責任者を任命する。
- 組織横断的な管理体制を構築する。
【想定されるリスク】
- 経営者が総括責任者の任命及び実施する対策を承認しないと、必要な予算や人事を割り当てることが難しいことから、実効的な管理体制の構築が困難になる。
【補足】
情報セキュリティ管理体制における意思決定機関として組織横断的な情報セキュリティ委員会を設け、その委員長(総括責任者)を経営者が任命する、ということです。委員長には、情報セキュリティ担当役員などの情報システム部門のトップを指名します。
