平成26年度 秋期 ITパスポート試験 公開問題 問80 解説 物理的セキュリティ

この問題の解き方

この問題は、インシデントの原因が「物理的な場所や機器への直接的なアクセス」に関係しているかどうかを見抜くことで正解を導き出せます。

物理的セキュリティとは、建物、部屋、機器といった「目に見える実体」に対する防御です。選択肢の中で、目に見える場所への侵入（サーバ室への侵入）について触れているのは選択肢エのみであるため、これが正解となります。

物理的セキュリティとは何か

物理的セキュリティとは、情報資産を保管している場所や設備そのものを守るための対策です。具体的には、以下のような対策が挙げられます。

・入退室管理（ICカードや生体認証によるロック） ・監視カメラの設置 ・機器のワイヤーロックや固定 ・重要書類の施錠保管

もしこれらの物理的な対策に不備があると、悪意のある第三者が直接サーバにUSBメモリを差し込んだり、ハードディスクを物理的に持ち出したりといった脅威が発生します。論理的なネットワーク対策だけを万全にしても、ドアの鍵が空いていれば情報は簡単に盗み出されてしまいます。

なぜ他の選択肢は不適切なのか

選択肢ア、イ、ウは、いずれも「物理的」な侵入とは異なる要因によるものです。

・選択肢ア（DoS攻撃）：ネットワーク経由で大量のデータを送りつけ、サービスを妨害する行為です。これは通信経路やネットワーク層における攻撃であり、物理的な侵入ではありません。 ・選択肢イ（ウイルス感染）：プログラム上の脆弱性を突いたり、メールの添付ファイルを開かせたりする論理的な攻撃です。これも物理的な場所への侵入とは直接関係ありません。 ・選択肢ウ（誤操作）：社員のヒューマンエラーです。操作ミスや不注意によるものであり、防犯・防災といった物理的セキュリティの範囲外（運用面での管理対象）となります。

この知識が現場で求められる理由

ITパスポート試験においてこの問題が出題される意図は、セキュリティを「ウイルス対策ソフトを入れること」といった狭い範囲だけで捉えず、より広い視点で考える能力を養うことにあります。

実際の業務現場では、どれほど高度なファイアウォールを設置していても、オフィスに誰でも入れる状態であればセキュリティは崩壊します。物理的セキュリティは、情報セキュリティマネジメントにおける「入り口」とも言える重要な要素です。システムの堅牢さを語る上で、物理的な守りが土台になっていることを理解しておく必要があります。

参考リンク

• 情報セキュリティの物理的対策とは？重要性と具体的な対策を解説
• 【実例】サーバ室に物理侵入！？セキュリティ事故を未然に防ぐための対策
• 情報セキュリティ基本方針と物理的セキュリティ（IPA 情報セキュリティ対策の基礎知識）