問題
問42
BCP (事業継続計画) に関する情報セキュリティ監査の観点として、最も適切なものはどれか。
- 大規模災害などの緊急事態が発生した際に、重要な事業を継続または早期復旧するための手順が整備され、訓練が行われているか。
- 従業員がテレワークを行う際の、PCのマルウェア対策が適切に実施されているか。
- 個人情報を取り扱う際の、本人の同意取得プロセスが法令に準拠しているか。
- システムの開発プロセスにおいて、セキュリティを考慮した設計(セキュア設計)が行われているか。
正解
正解は「ア」です。
解説
正解は「大規模災害などの緊急事態が発生した際に、重要な事業を継続または早期復旧するための手順が整備され、訓練が行われているか。」です BCP(Business Continuity Plan:事業継続計画)とは、地震や洪水といった自然災害、大規模なシステム障害、感染症のパンデミックなどの予期せぬ緊急事態が発生した際に、企業が重要な事業を中断させない、または中断しても目標時間内に復旧させるための方針や手順をまとめた計画のことです。情報セキュリティ監査においてBCPをチェックするということは、この「いざという時の備え」がきちんとできているかを確認するということです。
具体的には、重要なシステムやデータのバックアップが遠隔地に保管されているか、代替拠点や代替の通信手段は確保されているか、従業員の安否確認や連絡手順は明確か、そして、それらの計画が単なる絵に描いた餅ではなく、実際に機能するかどうかを検証するための定期的な訓練(防災訓練のようなもの)が実施されているか、といった点が監査の重要な観点となります
イ(従業員がテレワークを行う際の、PCのマルウェア対策が適切に実施されているか。):
これはテレワークにおけるセキュリティ対策の監査観点であり、BCPに特化したものではありません
ウ(個人情報を取り扱う際の、本人の同意取得プロセスが法令に準拠しているか。):
これは個人情報保護法などの法令遵守(コンプライアンス)に関する監査観点です
エ(システムの開発プロセスにおいて、セキュリティを考慮した設計が行われているか。):
これはシステム開発段階におけるセキュリティ(セキュア設計)に関する監査観点です
解法のポイント
この問題を解くためには、BCPという用語の核心的な意味を理解していることが不可欠です。BCPは「Business Continuity Plan」の略で、直訳すると「事業継続計画」となります。つまり、「緊急事態でも事業をどう継続させるか」という計画ですこのキーワードを念頭に置いて選択肢を見ると、アが「大規模災害などの緊急事態」「事業を継続または早期復旧」と、BCPの定義そのものを説明していることがわかります。他の選択肢は、テレワークや個人情報、開発プロセスといった、より日常的、あるいは限定的な場面でのセキュリティに関するものであり、「緊急事態における事業全体の継続」というBCPの大きな視点とは異なります。BCP = 緊急時の事業継続、と覚えておきましょう。
用語補足
BCP (事業継続計画):
災害などの緊急事態に備え、事業を継続させるための方策や手順をまとめた計画書です。会社の防災マニュアルの、よりビジネスに特化したものと考えると分かりやすいです。
情報セキュリティ監査:
組織の情報セキュリティ対策が、ルール(規程や法令)に沿って適切に実施され、有効に機能しているかを、独立した第三者の視点で評価することです。
マルウェア:
コンピュータウイルスやスパイウェア、ランサムウェアなど、利用者の意図に反して害を及ぼす悪意のあるソフトウェアの総称です。
セキュア設計:
システムの企画・設計段階からセキュリティを考慮に入れることで、脆弱性(セキュリティ上の弱点)を作り込まないようにする考え方です。家を建てる際に、最初から防犯性の高い鍵や窓を設計に組み込むようなものです。
