問題
問12
情報セキュリティ監査において、サーバ室への物理的なアクセス管理に関する状況を点検した。監査人が指摘事項として監査報告書に記載すべきものはどれか。
- サーバ室の入退室ログを定期的に確認し、承認されていない入室がないかをチェックしている。
- 清掃業者にサーバ室の鍵を貸し出しているが、貸出記録や返却確認を行っていない。
- 生体認証システムを導入し、登録された担当者のみがサーバ室に入室できるようにしている。
- 監視カメラを設置し、サーバ室への不正な侵入がないかを24時間体制で監視している。
正解
正解は「イ」です。
解説
監査における指摘事項とは、あるべき姿(ルールや基準)と現状との間にギャップがあり、改善が必要な問題点を指します。選択肢の中で、この指摘事項に該当するのはイです。サーバ室は企業の情報資産を守るための重要な場所であり、誰がいつ入退室したかを厳格に管理する必要があります。清掃業者のような外部の人間に入室を許可する場合でも、鍵の貸出記録を取り、返却を確実に確認するのは、アクセス管理の基本です。これを怠っているということは、鍵が不正に複製されたり、紛失したりするリスクを放置していることになり、セキュリティ上の重大な不備と言えます。
したがって、監査人はこの状況を「指摘事項」として監査報告書に記載し、改善を促す必要があります。他の選択肢は、むしろセキュリティ対策が適切に行われている望ましい状況を示しています。
ア(サーバ室の入退室ログを定期…):
ログを確認し、不正がないかをチェックしているのは、適切な運用であり、望ましい状況です。
ウ(生体認証システムを導入し、…):
生体認証の導入は、なりすましを防ぐための高度なセキュリティ対策であり、望ましい状況です。
エ(監視カメラを設置し、サーバ室…):
24時間体制での監視は、不正侵入を抑止・検知するための有効な対策であり、望ましい状況です。
解法のポイント
監査の指摘事項を問う問題では、「何がリスクになるか」「ルールから逸脱していないか」という視点で各選択肢を評価することが重要です。選択肢の中から、明らかに管理がずさんであったり、セキュリティ上の脅威となりうる行為を探します。この問題の場合、「記録がない」「確認していない」といった管理の不備を示すキーワードが含まれている選択肢イが、明らかに問題点であると判断できます。逆に、他の選択肢は「チェックしている」「導入している」など、対策が講じられている肯定的な内容なので、指摘事項にはあたりません。
用語補足
情報セキュリティ監査:
企業や組織の情報セキュリティ対策(ルールや仕組み)が、適切に運用されているかを、独立した第三者の視点で評価することです。家の防犯対策がしっかり機能しているかを、専門家に見てもらうようなイメージです。
物理的アクセス管理:
サーバ室やデータセンターなど、重要な情報資産が保管されている場所への、人の入退室を管理・制限することです。鍵や認証カード、警備員によるチェックなどが含まれます。
指摘事項:
監査の結果、発見された問題点や改善が必要な項目のことです。監査報告書に記載され、経営層や被監査部門に報告されます。
生体認証システム:
指紋、顔、静脈などの、個人に固有の身体的特徴を使って本人確認を行うシステムです。鍵やパスワードのように盗まれたり忘れたりする心配が少ないため、高いセキュリティレベルを実現できます。
