平成27年度 秋期 ITパスポート試験 公開問題 問51 解説 物理的セキュリティ対策

物理的セキュリティ対策を見抜くポイント

情報セキュリティ対策は、その対象が「目に見えるもの（物理）」か「目に見えないもの（データや契約）」かで分類します。物理的セキュリティ対策とは、建物、設備、機器などのハードウェアを物理的に守るための対策です。問題文にある「施錠管理」「入退室管理」「監視カメラ」といったキーワードが出てきたら、それが物理的対策であると判断しましょう。

3つのセキュリティ対策の分類

情報セキュリティ対策は、大きく以下の3つに分けられます。本問を解くためには、それぞれの役割と具体的な施策の違いを理解しておくことが重要です。

・技術的セキュリティ対策 コンピュータシステムやネットワーク上で、データやプログラムを保護する対策です。暗号化、ファイアウォール、ウイルス対策ソフト、デジタル署名などがこれに該当します。選択肢イのデジタル署名は、ネットワーク上のデータ改ざんやなりすましを防ぐ技術的な仕組みであるため、ここに分類されます。

・人的セキュリティ対策 組織に所属する「人」に対して行う対策です。情報の重要性を教育したり、ルールを定めたりすることで、人為的なミスや内部不正を防ぎます。選択肢アの守秘義務契約や、選択肢エのパスワード管理ルールの周知は、人の行動を統制するための対策であるため、人的セキュリティに分類されます。

・物理的セキュリティ対策 物理的な場所や機器への不正アクセスを防ぐ対策です。情報の漏洩や盗難は、コンピュータを直接触られたり、記憶媒体を持ち出されたりすることでも発生します。これを防ぐために、オフィスの入退室管理、サーバ室の施錠、PCのワイヤーロックなどが実施されます。選択肢ウのノートPCの施錠管理は、機器という物理的対象を守る行為であるため、正解となります。

実務現場におけるセキュリティの考え方

試験対策としては上記の分類を暗記することが大切ですが、実際のビジネス現場ではこれらを組み合わせて運用するのが鉄則です。

例えば、ノートPCを紛失したというケースを想定してみましょう。 まず、ノートPCを保管場所から持ち出せないように「物理的対策（施錠）」を講じます。次に、万が一盗まれてしまった場合に備えて、ディスクを「技術的対策（暗号化）」しておきます。そして、紛失した際にはすぐに報告するというルールを「人的対策（教育・運用規定）」として定めておくのです。

このように、多層的な防御を行う考え方を「多層防御」と呼びます。単に「パスワードをかけているから大丈夫」という考え方は技術的対策のみに依存しており、物理的に持ち出されたり、ソーシャルエンジニアリングでパスワードを盗まれたりした場合には非常に脆い状態です。試験で問われるのは基礎的な分類ですが、実務ではこれらが互いに補完し合っているという意識を持つことが重要です。

参考リンク

• 情報セキュリティマネジメントの基礎知識（ITパスポート対策）
• ノートPC紛失事故を技術的・物理的に防ぐための考察（Qiita）
• 情報セキュリティマネジメントシステム（ISMS）の定義（IPA・独立行政法人情報処理推進機構）