情報の“機密性”や“完全性”を維持するために職場で実施される情報セキュリティの活動a〜dのうち，適切なものだけをすべて挙げたものはどれか。 a PCは，始業時から終業時までロックせず常に操作可能な状態にしておく。 b 重要な情報が含まれる資料やCD-Rなどの電子記録媒体は，利用時以外は施錠した棚に保管する。 c ファクシミリで送受信した資料は，トレイに放置せずにすぐに取り去る。 d ホワイトボードへの書込みは，使用後直ちに消す。

平成22年度秋期 ITパスポート試験問78 解説情報セキュリティの活動

選択肢の判断基準

この問題は、情報セキュリティにおける「情報の取り扱い方」の正誤を問うものです。基本的な指針は、情報が許可されていない第三者に漏れないようにすること（機密性の維持）です。選択肢を一つずつ、「情報が他人の目に触れるリスクがあるか」という視点で評価すると、aのみが不適切であると判断できます。

情報セキュリティの基本概念

情報セキュリティには、大きく分けて3つの要素があります。

・機密性：許可された人だけが情報にアクセスできること・完全性：情報が正確で、改ざんや破壊がされていないこと・可用性：必要なときにいつでも情報が利用できること

今回の問題は、主に「機密性」を維持するための具体的な行動に焦点を当てています。情報漏洩を防ぐためには、「物理的な制御」が不可欠です。物理的な制御とは、鍵をかける、放置しない、見えないように隠すといった、IT技術以前の人間が行うべき安全対策のことです。

誤った選択肢の裏にあるリスク

選択肢aにある「PCをロックせず常に操作可能な状態にする」行為は、セキュリティの観点から非常に危険です。PCの画面をロックせずに離席すると、その場に通りかかった第三者が勝手にメールを読んだり、情報を盗み出したり、あるいは不正な書き込みを行ったりするリスクが発生します。

組織のセキュリティポリシーでは、離席時には必ず画面ロック（Windowsであれば Windowsキー + L）を行うことが鉄則です。この習慣を身につけることは、個人のPCを守るだけでなく、組織全体の情報資産を守るために不可欠なセキュリティ教育の一環といえます。

物理的管理の重要性

他の選択肢b、c、dは、いずれも物理的な情報漏洩を防ぐための適切な管理手法です。

・b：記録媒体の施錠管理 CD-Rや資料などは、デジタルデータそのものです。棚に置いてあるだけでは、誰でも持ち出せてしまいます。施錠によって物理的にアクセスを制限することは、機密性を保つための最も基本的で強力な対策です。

・c：FAXの放置禁止 FAX機は共有スペースにあることが多く、受信した資料を放置すると誰でも見ることができてしまいます。これは機密性を著しく低下させる行為です。すぐに回収することは、アナログな情報流出を防ぐ有効な手段です。

・d：ホワイトボードの消去打ち合わせの内容には、顧客情報や社外秘のプロジェクト名などが含まれることがあります。会議終了後にそのままにしておくことは、清掃員や他の社員に機密情報をさらしているのと同じです。情報のライフサイクルが終了した瞬間に消去するという考え方は、セキュリティ上の重要なマナーです。

実務現場での応用

これらのルールは、情報セキュリティマネジメントシステム（ISMS）を導入している企業であれば、社内規程の「物理的セキュリティ」の項目として必ず記載されています。ITパスポートでこの知識を問うのは、高度な技術よりも「日々の業務で無意識に行っている行為がセキュリティリスクになり得る」という気づきを与えることが目的です。デスクの上を片付けることや、離席時に画面をロックすることは、ITエンジニアだけでなく、現代のすべてのオフィスワーカーが守るべきプロトコルといえます。

平成22年度 秋期 ITパスポート試験 問78 解説 情報セキュリティの活動

解説