平成28年度 秋期 ITパスポート試験 公開問題 問37 解説 ファシリティマネジメント

この問題は、情報システムにおけるセキュリティ対策の中でも、「ファシリティマネジメント」という特定の観点からの対策が問われています。ファシリティマネジメントとは、企業や組織が保有する施設や設備（ファシリティ）を経営的な視点から総合的に企画、管理、活用する活動を指します。情報セキュリティの文脈においては、情報システムが稼働する物理的な環境を適切に管理し、脅威から保護するための対策がこれに該当します。

正解の選択肢「イ コンピュータ室のある建物への入退館管理」は、情報システムを設置している物理的な場所へのアクセスを制限するものであり、まさに施設や設備の管理を通じたセキュリティ対策、すなわちファシリティマネジメントの観点に合致します。

ファシリティマネジメントと情報セキュリティ

ファシリティマネジメントは、企業の経営資源である「施設と設備」を最適な状態に保ち、事業活動を効率的かつ安全に進めるための重要な概念です。情報セキュリティの分野では、機密情報を保管するデータセンターやサーバールーム、あるいは従業員の執務室といった物理的な空間が、情報漏えいやシステムの破壊から守られているかが問われます。

情報セキュリティ対策は、大きく以下の3つの側面から考えることができます。

1. 物理的セキュリティ対策: 施設や設備そのものに対する対策。不法侵入の防止、自然災害（地震、火災、水害）からの保護、電源供給の安定化などが含まれます。
2. 技術的セキュリティ対策: 情報システムやネットワークそのものに対する対策。ウイルス対策ソフトウェア、ファイアウォール、暗号化、アクセス制御、IDとパスワード管理などが該当します。
3. 人的・組織的セキュリティ対策: 従業員の教育、セキュリティポリシーの策定と遵守、緊急時の対応計画など、人や組織の行動に関する対策です。

この問題における「ファシリティマネジメントの観点」とは、上記の「物理的セキュリティ対策」に強く関連します。物理的なセキュリティが疎かでは、どんなに高度な技術的対策を施しても、情報が盗まれたり、システムが破壊されたりするリスクを防ぎきれません。例えば、不審者が簡単にサーバー室に侵入できてしまえば、機器の持ち出しや破壊を止められないでしょう。

各選択肢の評価

今回の問題では、ファシリティマネジメントの観点に最も合致する選択肢を選ぶことが重要でした。

• ア ウイルス対策ソフトウェアの導入: これは情報システム内のソフトウェアに対する対策であり、技術的セキュリティ対策に分類されます。ファシリティマネジメントの範疇ではありません。
• イ コンピュータ室のある建物への入退館管理: これは施設や設備（建物、コンピュータ室）への物理的なアクセスを制御する対策です。まさにファシリティマネジメントの観点における物理的セキュリティ対策の代表例です。
• ウ 情報システムに対するIDとパスワードの管理: これは情報システムやデータへのアクセスを制御する技術的対策、または運用管理上の対策です。物理的な施設・設備の管理とは直接関係ありません。
• エ 電子文書の暗号化の採用: これは情報の内容そのものを保護する技術的セキュリティ対策です。仮にデータが流出しても内容を読み取られないようにするものであり、施設・設備の管理とは異なります。

このように、情報セキュリティ対策には多岐にわたる種類があり、それぞれの対策がどのような観点や分類に属するのかを理解しておくことが、適切な対策を選択し、多層的な防御を実現するために不可欠です。

この問題から学ぶこと

ITパスポート試験では、単にIT技術の知識だけでなく、情報システムの安全な運用や管理に関する幅広い知識が問われます。この問題は、情報セキュリティが技術的な側面だけでなく、物理的な環境管理（ファシリティマネジメント）も含む総合的な取り組みであることを示しています。

現代社会において、企業の情報資産は非常に貴重であり、その保護は企業の存続にも関わる重要な課題です。情報セキュリティ担当者はもちろん、ITに関わるすべてのビジネスパーソンにとって、情報セキュリティの各側面を理解し、適切な対策を講じることの重要性を認識しておくことが求められます。

参考リンク

• ITパスポート試験対策用語「ファシリティマネジメント」とは？ - 日経クロステック Active
• 情報セキュリティとは？3つの要素と対策の種類について解説｜大塚商会
• 国際規格ISO 41001とは？ FMを組織の活動に統合する仕組みとその効果を解説 - FM-Station（ファシリティマネジメント総合情報サイト）