基本情報技術者試験の令和7年度の公開問題(科目A)を解こう。
今回のテーマは、「情報セキュリティ管理基準」である。
令和7年度 基本情報技術者試験 科目 A 公開問題 問15
問15
サーバ室の物理的な安全対策の状況について,情報セキュリティ管理基準(平成28 年)に照らして、情報セキュリティ監査を行って判明した状況のうち、監査人が、指摘事項として監査報告書に記載すべきものはどれか。
ア サーバが設置されている施設の無人領域では、営業時間中でも、警報装置が作動するようになっている。
イ サーバ室に非常口、避難器具、導灯などを設置している。
ウ 社外からサーバ室へ直接出入りするドアを設置しているが、出入りを考慮して常時施錠していない。
エ 場所が分からないように、サーバ室の所在を室外に表示していない。
正解:ウ
各肢を検討していこう。
ア 記載すべきでない。(問題なし)
人がいない場所でセンサーやアラームが有効なのは、侵入検知として正しい対策である。
イ 記載すべきでない。(問題なし)
防災・安全管理上の義務であり、セキュリティ基準(可用性や安全確保)に適合している。
ウ 記載すべき。
情報セキュリティ管理基準において、サーバ室のような重要な施設には「物理的区域のセキュリティ」が求められる。
- 入退室管理: 誰がいつ入ったかを記録し、許可された人だけが入れるようにする必要がある。
- 施錠の徹底: 外部と直接つながるドアを「出入りしやすいから」という理由で解錠しておくことは、物理的なセキュリティ(盗難、破壊、不正操作)を放棄しているのと同じす。
サーバ室は機密情報の要である。利便性を優先して施錠しないのは、部外者の侵入を許す重大な不備である。
したがって、監査人は「外部からの不正侵入のリスクがある」として、改善を促すために指摘事項として報告する。
エ 記載すべきでない。(問題なし)
「ここに重要なサーバがあります」と看板を出さないことは、標的になるリスクを下げる一般的な対策である。
コメント