平成26年度 春期 ITパスポート試験 公開問題 問45 解説 情報システムの安全性

物理的対策の考え方

この問題の正解を導く鍵は、情報セキュリティ対策を「どこに対して行うか」という分類で考えることです。今回の問題にある「情報システム設備」への施策とは、建物や部屋、機械などのハードウェアそのものを守る「物理的な対策」を指します。

選択肢の中で、目に見える設備や環境を直接的に保護・維持しようとしているものは「自家発電装置の設置」です。停電という物理的な事象からシステムを守るための設備投資であると判断できます。

物理的対策、技術的対策、組織的対策の分類

情報セキュリティ対策は、大きく以下の3つに分類されます。試験対策として、それぞれの具体例を整理しておきましょう。

1. 物理的対策 人や自然災害、事故などから施設や機器を物理的に守る対策です。 ・自家発電装置、無停電電源装置（UPS）の設置 ・入退室管理（ICカード、生体認証） ・施錠、監視カメラの設置 ・耐震設計、消火設備の導入

2. 技術的対策 コンピュータやネットワークの仕組みを使って、情報へのアクセスや通信を制御する対策です。 ・暗号化 ・アクセス権限の設定 ・ファイアウォールの設置 ・ウイルス対策ソフトの導入

3. 組織的対策 ルールを定め、体制を構築し、人を教育することで情報を守る対策です。 ・セキュリティポリシーの策定 ・従業員へのセキュリティ教育 ・入退職時のルール管理 ・業務委託先への監督

なぜこの知識が重要なのか

実務において、どれほど強力な暗号化（技術的対策）を施していても、そのサーバーが物理的に壊れたり、電源が落ちてしまったりすればシステムは停止します。また、どれほど立派な規定（組織的対策）を作っても、サーバー室に不審者が簡単に入室できれば情報は盗まれます。

情報システムは「設備（物理）」「仕組み（技術）」「運用（組織）」の3本の柱が揃うことで初めて安全性を確保できます。この問題は、受験生がセキュリティを単なるソフトウェアの設定だけでなく、物理的な環境を含めた全体像として捉えられているかを問うています。

各選択肢の分類は以下の通りです。 ・ア：物理的対策（停電から設備を守る） ・イ：技術的対策（データの喪失に対して、複製を保持する） ・ウ：技術的対策（システム設定による自動化） ・エ：技術的対策（通信の盗聴防止）

これらを混同せず、それぞれの施策が「何から何を守るためのものか」を意識することが、実務的なセキュリティ対応能力の向上にもつながります。

参考リンク

• 情報セキュリティ対策の3つの分類（物理的・技術的・組織的対策）
• Raspberry Piで監視カメラを作って部屋の物理セキュリティを強化してみた
• 情報セキュリティの概念（JIS Q 27000系列の定義解説）