応用情報技術者試験令和3年春午前問58 解説付き過去問

問題

情報セキュリティ管理基準(平成28年)を基に、情報システム環境におけるマルウェア対策の実施状況について監査を実施した。判明したシステム運用担当者の対応状況のうち、監査人が、指摘事項として監査報告書に記載すべきものはどれか。

Webページに対して、マルウェア検出のためのスキャンを行っている。

マルウェア感染によって被害を受けた事態を想定して、事業継続計画を策定している。

マルウェア検出のためのスキャンを実施した上で、組織として認可していないソフトウェアを使用している。

マルウェアに付け込まれる可能性のある脆(ぜい)弱性について情報収集を行い、必要に応じて修正コードを適用し、脆弱性の低減を図っている。

この問題は、情報セキュリティ管理においてマルウェア対策の適切な実施を監査し、問題点を特定するケースを想定しています。ここでは、特に組織のセキュリティポリシー違反が問題とされています。

マルウェア対策の基本
マルウェア対策には、防御手段としてのスキャンが基本です。これにはウイルススキャンや不審な活動の監視が含まれます。組織が定めるセキュリティポリシーに従ってスキャンを実施することは、基本中の基本とされています。
認可されていないソフトウェアの使用
組織で認可していないソフトウェアを使用することは、大きなリスクを伴います。未認可ソフトウェアはセキュリティ検証が不十分である可能性が高く、マルウェア感染のリスクを意図せずに高めてしまいます。この選択肢は、マルウェア対策を講じているものの、認可されていないソフトウェアを使用しているという点で、重要なセキュリティポリシー違反を示しています。
他の選択肢について
他の選択肢では、マルウェア検出の実施、事業継続計画の策定、脆弱性情報の収集と修正の適用という適切な対策が施されています。これらは基本的にはセキュリティ管理の観点から望ましい行動であり、監査報告書で特に指摘すべき問題とはならないでしょう。

したがって、組織のセキュリティポリシーに反して認可されていないソフトウェアを使用している点が最も重要な指摘事項として監査報告書に記載すべきです。この行為は、組織全体のセキュリティリスクを高める可能性があるため、非常に重要な問題点となります。