「情報セキュリティマネジメント試験」(セスペ)でよく取り上げられる「組織における内部不正防止ガイドライン」(https://www.ipa.go.jp/security/fy24/reports/insider/) の物理的管理の観点に含まれる内部不正対策(8)から(11)までの4項目を見ていきます。
(8)物理的な保護と入退管理
【概要】
- 重要情報や情報システムを壁や入退管理策によって保護する。
【想定されるリスク】
- 特に、重要情報の格納装置及び記録媒体は、破壊されると業務が継続できなくなる恐れがあるため、入退室管理が厳しいサーバルーム等で厳重に保護する。
【補足】
物理的対策の例は、以下です。
- 入退室の際にICカードや生体認証を行う
- 入退室の記録を取る
- 監視カメラで監視する
- エリア(領域)を分ける。例えば、宅配業者は立ち入れる領域を明確にする
(9)情報機器及び記録媒体の資産管理及び物理的な保護
【概要】
- PC及び外部記録媒体は、盗難や紛失等がないように管理・保護する。
- 不要になった情報機器を処分する際には、重要情報が完全消去されていることを確認する。
- 盗難や、不十分な削除のまま処分することで、重要情報が漏えいする。
【補足】
具体的な管理策として、以下があります。
- 定期的に資産の有無を確認する
- 重要な情報機器は入退室管理が厳しいサーバ室に設置する
- ノートパソコンはセキュリティワイヤーで固定する
- 使用しない場合は棚や机等に施錠保管する
- USBメモリ等の記憶媒体を処分する場合は、ツールを使っての完全消去や、物理的に破壊する
過去問(平成28年春セマネ午前問17)を見てみましょう。
一見難しそうですが、実は簡単です。データを第三者から見られないようにすればいいのです。アの圧縮や、イのマスタブートレコードの消去、エのファイル名の変更といった対策では、データは見られてしまいます。ウのように、全領域を上書きすべきです。
【正解】 ウ
(10)情報機器及び記録媒体の持出管理
【概要】
- ノートPCやモバイル機器、USBメモリ及びCD-R等の記録媒体を外に持ち出す場合、持ち出しの承認及び記録等を管理する。
【想定されるリスク】
- 許可なく重要情報を持ち出されて、重要情報が漏えいする。
【補足】
部門管理者の承認を得ることが必要です。
過去問(平成18年秋SU午後Ⅰ問2)では、社外のノートパソコン(NPC)の利用に関して、次のようなシステム利用規程が記載されています。