• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

セマネ試験直前猛特訓

トイレにあったUSBメモリー、持ち主を探そうとパソコンにつなぐのはセキュリティ違反?

左門 至峰 2017/02/14 日経NETWORK
出典:書籍「やさしくわかるセマネの教科書」pp.307-310
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

 「情報セキュリティマネジメント試験」(セスペ)でよく取り上げられる「組織における内部不正防止ガイドライン」(https://www.ipa.go.jp/security/fy24/reports/insider/) の物理的管理の観点に含まれる内部不正対策(8)から(11)までの4項目を見ていきます。

(8)物理的な保護と入退管理

【概要】

  • 重要情報や情報システムを壁や入退管理策によって保護する。

【想定されるリスク】

  • 特に、重要情報の格納装置及び記録媒体は、破壊されると業務が継続できなくなる恐れがあるため、入退室管理が厳しいサーバルーム等で厳重に保護する。

【補足】

 物理的対策の例は、以下です。

  • 入退室の際にICカードや生体認証を行う
  • 入退室の記録を取る
  • 監視カメラで監視する
  • エリア(領域)を分ける。例えば、宅配業者は立ち入れる領域を明確にする

(9)情報機器及び記録媒体の資産管理及び物理的な保護

【概要】

  • PC及び外部記録媒体は、盗難や紛失等がないように管理・保護する。
  • 不要になった情報機器を処分する際には、重要情報が完全消去されていることを確認する。
【想定されるリスク】
  • 盗難や、不十分な削除のまま処分することで、重要情報が漏えいする。

【補足】

 具体的な管理策として、以下があります。

  • 定期的に資産の有無を確認する
  • 重要な情報機器は入退室管理が厳しいサーバ室に設置する
  • ノートパソコンはセキュリティワイヤーで固定する
  • 使用しない場合は棚や机等に施錠保管する
  • USBメモリ等の記憶媒体を処分する場合は、ツールを使っての完全消去や、物理的に破壊する

 過去問(平成28年春セマネ午前問17)を見てみましょう。

[画像のクリックで拡大表示]

 一見難しそうですが、実は簡単です。データを第三者から見られないようにすればいいのです。アの圧縮や、イのマスタブートレコードの消去、エのファイル名の変更といった対策では、データは見られてしまいます。ウのように、全領域を上書きすべきです。

【正解】 ウ

(10)情報機器及び記録媒体の持出管理

【概要】

  • ノートPCやモバイル機器、USBメモリ及びCD-R等の記録媒体を外に持ち出す場合、持ち出しの承認及び記録等を管理する。

【想定されるリスク】

  • 許可なく重要情報を持ち出されて、重要情報が漏えいする。

【補足】

 部門管理者の承認を得ることが必要です。

 過去問(平成18年秋SU午後Ⅰ問2)では、社外のノートパソコン(NPC)の利用に関して、次のようなシステム利用規程が記載されています。

[画像のクリックで拡大表示]

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る