情報セキュリティマネジメント試験(SG)科目A対策 / 全10問
許可された一人が認証を行って扉を通過する際に、後ろから別の許可されていない人物が一緒に入室してしまう「共連れ(ピギーバック)」を防ぐための対策として、最も適切なものはどれか。
共連れは、認証した人に続いて無許可の人が一緒に入る不正です。物理的に一人ずつしか通れないサークルゲート等を使えば、人の善意に頼らず確実に防げるため正解です。記録の事後確認や、カードリーダーの増設・社員証のデザイン変更は、複数人が同時に入ることそのものを止められないため不十分です。
バックアップの「3-2-1ルール」の説明として、最も適切なものはどれか。
3-2-1ルールは「コピーを3つ・媒体を2種類・1つは遠隔地」という覚えやすい指針で、災害や機器故障でデータを失わないための基本です。これにより一か所がやられても他で復旧できます。他の選択肢は世代管理や訓練・確認手順の話で、数字は似ていても3-2-1ルールの定義とは異なります。
「クリアデスク・クリアスクリーン」方針の目的として、最も適切なものはどれか。
クリアデスクは机に書類を放置しない、クリアスクリーンは離席時に画面をロックする方針で、いずれも他人に情報を見られたり持ち去られたりするのを防ぐのが目的です。よって正解は2番です。作業効率・印刷費削減・省電力はそれぞれ別の目的であり、情報漏えい対策としての本来のねらいではありません。
「最小権限の原則(least privilege)」を正しく適用している例はどれか。
最小権限の原則とは、各人に「仕事に必要な分だけ」権限を絞って与える考え方で、万一アカウントが乗っ取られても被害範囲を小さくできます。よって2番が正解です。全員に管理者権限を与える、権限を見直さず放置する、役職だけで一括付与するのは、不要な権限が増えて不正や事故のリスクを高めるため誤りです。
「職務分掌(職務の分離)」によって防ごうとしているリスクとして、最も適切なものはどれか。
職務分掌は、申請者と承認者を別人にするなど一連の作業を複数人で分け、一人だけで不正を完結できないようにする仕組みです。相互チェックが働き不正やミスを見つけやすくなるため、1番が正解です。休暇・処理速度・書類保管はこの仕組みのねらいとは関係がなく、防ごうとしているリスクの説明になっていません。
標的型攻撃メール訓練(疑似的な攻撃メールを社員に送る訓練)の主な目的として、最も適切なものはどれか。
この訓練は、本物そっくりの疑似メールを送って、社員が不審メールに気づけるか、開かずに報告できるかを体験的に身につけてもらうものです。よって3番が正解です。サーバ性能の測定やフィルタの自動改善は目的が違い、社員を罰するのは萎縮や報告隠しを招くため、訓練本来のねらいに反します。
電話で上司や情報システム部門を装い、緊急を装ってパスワードを聞き出そうとする行為への対策として、最も適切なものはどれか。
これはソーシャルエンジニアリングの典型で、人の心理(権威・緊急性)につけ込んでくる手口です。あらかじめ「パスワードは口頭やメールで伝えない」と決め、決められた手順で本人確認すれば防げるため3番が正解です。すぐ実行・例外で教える・発信者番号だけで信用するのは、なりすましを許してしまうため危険です。
従業員が退職する際のアカウント管理として、最も適切なものはどれか。
退職者のアカウントを残すと、本人による不正アクセスや、放置アカウントの乗っ取りに悪用される恐れがあります。退職日に合わせて速やかに無効化し、カード等も回収するのが基本のため2番が正解です。一定期間有効のまま残す・パスワード変更のみ・再就職まで保持するのは、いずれもアカウントが残り続けリスクになるため不適切です。
監査ログ(操作の記録)を取得・管理する際の考え方として、最も適切なものはどれか。
監査ログは「誰が・いつ・何をしたか」を後から追跡し、不正や事故の原因を調べる証拠になります。そのため改ざん・削除を防ぎ、各機器の時刻を合わせて一定期間保存することが重要で、2番が正解です。本人が自由に書き換える・すぐ削除する・記憶や手書きに頼るのは、証拠としての信頼性が失われるため誤りです。
システム管理者などが使う「特権ID(管理者権限を持つアカウント)」の管理方法として、最も適切なものはどれか。
特権IDは何でもできる強力な権限のため、悪用や事故の影響が極めて大きくなります。利用者と目的・時間を絞り、ログを記録して定期的に点検(棚卸し)することで不正を抑止・発見できるため2番が正解です。ID共有・パスワード共通化・見直さず放置は、誰の操作か分からなくなり、漏えい時の被害も広がるため危険です。