問題
問15
サーバ室の物理的な安全対策の状況について,情報セキュリティ管理基準(平成28年)に照らして,情報セキュリティ監査を行って判明した状況のうち,監査人が,指摘事項として監査報告書に記載すべきものはどれか。
- サーバが設置されている施設の無人領域では,営業時間中でも,警報装置が作動するようになっている。
- サーバ室に非常口,避難器具,誘導灯などを設置している。
- 社外からサーバ室へ直接出入りするドアを設置しているが,出入りを考慮して常時施錠していない。
- 場所が分からないように,サーバ室の所在を室外に表示していない。
[出典:基本情報技術者試験 令和7年度(科目A) 問15]
正解
正解は「ウ」です。
解説
この問題の正解は「ウ」です。情報セキュリティ管理基準(平成28年)では、サーバ室の物理的安全対策として、外部からの不正侵入を防ぐために、出入口の施錠管理が厳格に求められています。社外から直接出入り可能なドアが常時施錠されていない状態は、不正アクセスや物理的な破壊行為を許すリスクが高いため、監査において重大な指摘事項となります。
一方、「ア」の警報装置が営業時間中に作動する設定は、不審者侵入時の早期発見に役立つため適切な対策です。「イ」の非常口や避難器具、誘導灯の設置は、火災などの緊急時の安全確保のために必要な設備であり、問題ありません。「エ」のサーバ室の所在を室外に表示しないことは、セキュリティの観点でむしろ望ましいこととされており、外部から目立たないようにするのが一般的です。
このようにサーバ室は、情報資産を守るために物理的に厳重な管理が必要ですが、安全対策と緊急時の避難対応の両面をバランスよく備えることが求められています。施錠管理が甘いと不正侵入のリスクが高まるため、監査人はこの点を必ず指摘します。日常のオフィスでも、重要書類保管庫の鍵を常にかけることが例えとして分かりやすいでしょう。
- ア(警報装置が営業時間中でも作動):
警報装置が常に作動することで、不正侵入の早期発見に役立ち、適切な対策です。 - イ(非常口や誘導灯の設置):
緊急時の安全確保のため必須の設備であり、問題がありません。 - エ(サーバ室の所在を表示しない):
サーバ室の場所を目立たせないのは不必要な注目を避けるためであり、セキュリティ上望ましい対応です。
難易度
この問題は情報セキュリティの物理的対策に関する基本的な理解を問う内容であり、初心者でも施錠管理の重要性を押さえていれば解きやすいです。具体的な設備の役割を知っているかがポイントで、基礎レベルの問題といえます。
用語補足
情報セキュリティ管理基準:
情報資産を守るための組織的なルールや対策をまとめた基準で、物理的安全対策やアクセス管理などが含まれます。
サーバ室:
重要なサーバ機器を設置し、情報システムの中枢となる部屋。外部からの物理的侵入や災害から保護する必要があります。
施錠管理:
施設や部屋の出入口を鍵で閉め、不正な立ち入りを防止する管理方法。施錠の徹底は物理的セキュリティの基本です。
解法のポイント
サーバ室の物理的安全対策では、施錠管理を厳格に行うことが最も重要です。常時施錠を徹底し、アクセスログの記録や警報装置の運用も合わせて行うことで、不正侵入リスクを低減します。定期的な監査でこれらの対策が守られているかを確認し、問題があれば速やかに改善することが求められます。
