応用情報技術者試験平成31年春午前問60 解説付き過去問

問題

事務所の物理的セキュリティ対策について、JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)に基づいて情報セキュリティ監査を実施した。判明した状況のうち、監査人が監査報告書に指摘事項として記載すべきものはどれか。

外部からの荷物の受渡しは、サーバ室などの情報処理施設にアクセスすることなく荷物の積降ろしができる場所で行っている。

機密性の高い情報資産が置かれている部屋には、入室許可を得た者が共通の暗証番号を入力して入室している。

機密性の高い情報資産が置かれる部屋は、社員以外の者の目に触れる場所を避けて設けている。

取引先との打合せは、社員が業務を行っている執務室から分離された場所であって、かつ、機密性の高い情報資産が置かれていない場所で行っている。

この問題は、事務所の物理的セキュリティ対策の一環として情報セキュリティ監査を行う際の適切な対応事項に関するものです。重点はJIS Q 27002:2014に基づいた適切な対策の確認と、その監査報告書への記載です。

外部からの荷物受渡しの対策
外部からの荷物受渡しをサーバ室などの情報処理施設にアクセスせずに行うことは、物理的セキュリティ対策として正しいアプローチです。これにより、不正アクセスのリスクを減少させることができますが、監査報告書に指摘事項として記載するべきではありません。
共通暗証番号の使用問題
機密性の高い情報資産が置かれている部屋へのアクセスに共通の暗証番号を使用することは、セキュリティ上の大きな問題です。個別の認証がないことで、誰がいつ入室したかの追跡が困難になり、内部からの情報漏洩リスクを高めます。この点は監査報告書において指摘事項として記載すべきです。
取引先との打合せ場所の対策
取引先との打合せを社員が業務を行っている執務室から分離された場所で行っていることは、情報漏洩のリスクを防ぐための適切な措置です。この対策により、機密性の高い情報資産が外部の人々に露出することなく安全が保たれますが、これも監査報告書の指摘事項とはなりません。

したがって、共通の暗証番号を使用して機密性の高い情報資産が置かれている部屋に入室する行為が監査報告書に指摘事項として記載すべき重要な問題です。これは、個別の認証の欠如がセキュリティリスクを引き起こすためです。