情報セキュリティマネジメント試験の令和7年度の公開問題(科目 A・B)を解こう。
今回のテーマは、「クラウドサービスが利用できなくなったときに、自社や顧客に与える影響の大きさについて、可用性に関する重要度を評価する。」である。
令和7年度 情報セキュリティマネジメント試験 公開問題 科目 A・B 問13
問13
A 社は従業員 300 名の IT サービス企業であり,ヘルプデスク業務のアウトソーシングサービスを提供している。A 社はオンプレミスのシステムを所有しておらず,顧客向けサービスのほか,社内業務でもクラウドサービスを利用している。A 社では,各従業員に PC 及びスマートフォンを貸与している。スマートフォンは勤怠管理などの社内業務だけに利用している。
A 社では,クラウドサービスについての可用性に関する重要度の評価(以下,可用性に関する重要度の評価を可用性評価という)を本来実施すべきであったが,実施できていなかった。そこで,A 社の情報セキュリティリーダーである B 主任が,表 1 のとおり,A 社がリスク評価で用いる可用性評価の基準を用いて可用性評価を実施することになった。
B 主任は A 社が利用しているクラウドサービスについて可用性評価を実施し,利用方法及び可用性に関する重要度を表 2 のとおりまとめた。
B 主任は,表 2 の内容を A 社の情報セキュリティ委員会に報告し,可用性に関する重要度が適切であることの承認を得た。
答えを確認する
正解は ク です。
A社では、表1の通り、可用性に関する重要度を3段階で評価している。
表2の電子メールおよび人事・労務管理について、それぞれの利用方法から評価していく。
「電子メール」は、ヘルプデスク利用者(顧客)からの問い合わせの受付と回答に利用されている。
したがって、サービスが利用できなくなると、顧客対応に直ちに支障をきたすため、重要度は「2」が妥当である。
一方、「人事・労務管理」は、マイナンバーを含む人事情報の管理や労務管理という社内向けの業務に利用されている。このため、サービスを利用できなくなると、影響を受けるのはA社のみで、顧客には影響しない。
また、「人事・労務管理」は、スマートフォンを用いた勤怠管理など、日常的に利用されている業務に関わっている。
これらが停止すれば、自社の業務に直ちに影響がある。
このため、重要度は「1」と判断するのが、妥当である。
クが正解である。
(解法のポイント)
落ち着いて当てはめていけば容易に正解できるだろう。
コメント