問題
問14
A社では、従業員が自宅のPCからインターネット経由で自社のネットワークに接続して仕事を行うテレワーキングの実施を計画している。A社が定めたテレワーキング運用規程について、情報セキュリティ管理基準(平成28年)に従って監査を実施した。判明した事項のうち、監査人が、指摘事項として監査報告書に記載すべきものはどれか。
- テレワーキング運用規程に従うことを条件に、全ての従業員が利用できる。
- テレワーキングで従業員が使用するPCは、A社から支給されたものに限定する。
- テレワーキングで使用するPCへのマルウェア対策ソフト導入の要不要は、従業員それぞれが判断する。
- テレワーキングで使用するPCを、従業員の家族に使用させない。
[出典:基本情報技術者試験 令和5年度(科目A) 問14]
正解
正解は「ウ」です。
解説
本問は、情報セキュリティ管理基準に基づく監査において、指摘すべき事項を問う問題です。テレワーキング環境では、自宅など社外のネットワーク環境下で業務を行うため、端末のセキュリティ対策が非常に重要になります。
選択肢「ウ」は、マルウェア対策ソフト(ウイルス対策ソフトなど)の導入について、従業員それぞれの判断に委ねている点が問題です。これは企業としてのセキュリティ管理責任を果たしておらず、明確にポリシーとして定めるべき事項です。
情報セキュリティ管理基準では、「情報システムを安全に運用するための基準、手順を文書化し、全従業員に周知し遵守させること」が求められます。よって、ウのように“個人の判断”に依存している状態は、組織としての統制が取れておらず、監査報告書に記載すべき指摘事項となります。
ア(テレワーキング運用規程に従うことを条件に~):
ルールに従うことを前提に全社員が利用できること自体は不適切ではなく、指摘事項には該当しません。
イ(PCはA社から支給されたものに限定):
セキュリティ確保の観点から、会社支給の端末に限定するのは適切な方針です。
エ(PCを家族に使用させない):
業務情報の漏えい防止としては適切な対応であり、監査での指摘事項ではありません。
難易度
この問題は情報セキュリティに関する実務的な知識と、監査の視点を両方問う内容です。企業活動におけるリスク管理の基本的な理解があれば解ける内容であり、難易度は標準的です。ただし選択肢がすべて一見もっともらしく見えるため、読解力と判断力が問われます。
用語補足
テレワーキング:
自宅や外出先など会社以外の場所で業務を行う働き方です。利便性が高い一方、セキュリティリスクにも注意が必要です。
情報セキュリティ管理基準:
経済産業省が定めたガイドラインで、企業の情報資産を保護するために必要な管理策や運用方法を示しています。
マルウェア対策ソフト:
コンピュータウイルスやスパイウェアなどのマルウェアからPCを保護するためのソフトウェアです。企業では必須のセキュリティ対策です。
解法のポイント
情報セキュリティに関する基準や監査の視点は、実務だけでなく試験でも頻出です。特にテレワーク関連では「誰が、どこで、どの端末で業務を行うか」に関する統制の重要性を理解し、ルールやガイドラインに反している点を見抜ける力を養いましょう。
