問題
問6
A社は従業員200名の電子機器メーカーである。東京に本社があり、新潟に工場がある。
A社では、ファイルサーバを図1のように運用している。
A社はISMS認証を取得しており、最高情報セキュリティ責任者(CISO)を中心に情報セキュリティに取り組み、定期的に、情報セキュリティリスクアセスメントを行っている。今般、ISMS認証基準がJIS Q 27001:2023に改正されたことを受け、情報セキュリティリーダーのBさんは、新基準への移行審査に向けて準備することになった。改正によって新たに追加された情報セキュリティ管理策について、Bさんは情報システム部の担当者に取組状況を確認し、その評価結果を表1にまとめた。
Bさんは、移行審査前の内部監査で、内部監査室から表1の項番1に関するファイルサーバの運用について何点か質問を受け、表2のとおり回答した。
設問 表2中の 【 a1 】 ~ 【 a3 】 に入れるべき字句の適切な組合せを、aに関する解答群の中から選べ。
[出典:基本情報技術者試験 令和7年度(科目B) 問6]
正解
正解は「ク」です。
解説
この問題はA社のファイルサーバ運用に関する内部監査での想定質問への適切な回答内容を選ぶ問題です。正解は「ク 火曜日の正午, 4.50, CISO)」です。
はじめに、目標復旧時点と目標復旧時間について解説します。
災害時の目標:RPOとRTO
まず、災害などでシステムが停止してしまったときに、「どこまでデータを戻すか」と「いつまでに業務を再開するか」という目標が決められています。
- 目標復旧時点(RPO:Recovery Point Objective)
- これは「災害が起こった時に、どの時点のデータまで復旧させるか」という目標です。
- 例えば、RPOが72時間と設定されていれば、「障害が発生する72時間前(3日前)の状態までデータを復元できるようにしておこう」という意味になります。
- A社の場合、RPOは72時間です。もし金曜日の正午に障害が発生したら、その72時間前である「火曜日の正午」の状態までデータを復元できる必要があります。
- 目標復旧時間(RTO:Recovery Time Objective)
- これは「災害が起こってから、いつまでに業務を再開するか」という目標です。
- 例えば、RTOが120時間と設定されていれば、「災害から120時間後(5日後)までには業務を再開しよう」という意味になります。
これらの目標は、事業がどれだけ停止しても大丈夫かという事業影響度分析(BIA)という分析結果に基づいて定められます。
上記より、a1ですが目標復旧時点(RPO)を72時間に設定すると、もし金曜日の正午に障害が発生した場合には、72時間前(3日前)の「火曜日の正午」の状態までデータを復旧できることが求められます。よって、金曜日の障害時に復元が必要なバックアップは火曜日のものとなり、a1は「火曜日の正午」となります。
a2は、バックアップリストア時間に関する記述です。設問文では「これまでフルバックアップからのリストアには平均して4時間、1回の増分バックアップからは平均して0.25時間かかっている」と記載されており、フルバックアップ+増分バックアップ(週次+2回)の場合、4+(2×0.25)=4.5時間となります。よってa2には4.50が入ります。
a3は監査確認者に関する部分です。ISMS規格において情報セキュリティ管理策の承認者は最高情報セキュリティ責任者(CISO)が適任であるため、a3にはCISOが入ります。以上より、「ク」が正解となります。
ア(月曜日の正午, 4.25, CISO):
リストア時間が4.25時間は誤りです。フルバックアップと増分バックアップから計算すると4.50時間が正しいです。
イ(月曜日の正午, 4.25, 情報システム部の担当者):
リストア時間と監査確認者の両方が誤りです。承認者はCISOである必要があります。
ウ(月曜日の正午, 4.25, 内部監査室長):
監査室長は承認者ではありません。リストア時間の数値も誤っています。
エ(月曜日の正午, 4.50, CISO):
一見正しいように見えますが、これは正解の「ク」と同一内容のため、本来エが「ク」なら誤りですが、画像では「ク」が正解とされています。
オ(月曜日の正午, 4.50, 情報システム部の担当者):
承認者がCISOでない点が誤りです。
カ(火曜日の正午, 4.25, 情報システム部の担当者):
障害発生日を火曜日としているのは誤りです。正しくは月曜日です。
キ(火曜日の正午, 4.25, 内部監査室長):
火曜日を選んでいるため障害発生日が誤りです。監査室長も承認者ではありません。
ケ(火曜日の正午, 4.50, 情報システム部の担当者):
火曜日としているため誤りです。また承認者も不適切です。
コ(火曜日の正午, 4.50, 内部監査室長):
火曜日と監査室長の選択がともに誤りです。
難易度
この問題の難易度は「やや易しい」です。問題文や図表が多いため複雑に見えますが、バックアップ運用やリストア時間、承認者の役割といった基本的な情報セキュリティ管理の知識があれば十分に解けます。計算もシンプルです。
用語補足
フルバックアップ:
全てのデータを丸ごとコピーして保管する方法です。たとえば、会社の全社員の資料を1から全てコピーして倉庫に保管するイメージです。
増分バックアップ:
前回のバックアップから追加・変更されたデータだけを保存する方法です。日記帳の昨日以降に書いた部分だけをコピーするようなものです。
CISO(Chief Information Security Officer):
最高情報セキュリティ責任者です。会社の情報セキュリティ対策の責任者であり、重要な承認や管理を行います。
ISMS(情報セキュリティマネジメントシステム):
企業の情報セキュリティ管理の仕組みです。情報を守るための仕組みやルールを規格化したものです。
解法のポイント
この問題を解くには、バックアップ運用の基本やCISOなどの役割を事前に理解しておくことが重要です。バックアップの種類や取得・復元時間、責任者の承認範囲など、情報セキュリティマネジメントの基本用語と仕組みを整理しておきましょう。
