平成28年度 春期 ITパスポート試験 問89 解説 サーバルームの運用

解法のポイント

物理的なセキュリティの鉄則は「誰が、いつ、何のために」入室したかを明確にし、不正な操作を物理的に防ぐことです。選択肢の中で、権限の明確化や監視体制を強化する記述が正解となります。

なぜ他の選択肢は誤りなのか

各選択肢を「物理的セキュリティ」の観点から検証します。

・ア（部署ごとのID発行）：IDカードは「個人」を識別するためのものです。部署単位にしてしまうと、誰が部屋に入ったのか特定できず、責任の所在が不明確になるため、セキュリティ事故の温床となります。 ・イ（室名表示）：サーバルームのような重要区画には「機密エリアであること」をむやみに明示しないのが一般的です。室名を掲示すると、標的型攻撃や不審者のターゲットになりやすいため、必要最低限の管理にとどめるのが原則です。 ・ウ（入退室記録を取らない）：入退室記録は、万が一セキュリティ事故が発生した際の調査（ログの追跡）に不可欠です。記録を取らないことはセキュリティ管理の放棄に等しいため、適切ではありません。

物理的セキュリティの原則：人的管理と環境制御

物理的セキュリティとは、サーバやネットワーク機器が設置された部屋へのアクセスを制御し、機密性、完全性、可用性を守る仕組みです。

試験で問われる物理的セキュリティの重要項目には、以下の3点があります。

1. 入退室管理 IDカードや生体認証を用いて、許可された者のみが立ち入れるようにします。また、入退室の履歴は必ずログとして保存し、定期的に監査できるようにします。
2. 作業制限（2人体制） 今回の正解となった「監督者の不在時に作業させない」という考え方は、物理的な不正操作を防止するための重要な制御です。重要機器を操作する際、二人で作業する（デュアルコントロール）や、監督者の立ち会いを求めることで、単独犯によるデータ改ざんや機材の持ち出しといった不正を防ぎます。
3. 環境への配慮 入退室管理だけでなく、室内の温度・湿度管理、施錠可能なラックの設置、監視カメラの配置なども含まれます。これらを適切に運用することで、外部からの物理的侵入や、内部犯行のリスクを最小限に抑えることができます。

実務における位置づけ

ITパスポートでこの知識を問う意図は、単に「サーバ室は大事にしよう」という精神論ではなく、情報セキュリティマネジメントシステム（ISMS）の基本を理解させることにあります。

実際の職場では、社内のシステム管理部門が物理セキュリティポリシーを定めています。例えば、データセンターの運用現場では、一人での作業は厳禁とされ、作業前には入室申請、作業中には監視、作業後にはログの照合を行うといった厳格なプロセスが標準化されています。試験で出題される選択肢は、こうした実務上の基本ルールを「悪い例」として提示することで、何が「リスク」であるかを論理的に判断させることを目的としています。

参考リンク

• 情報セキュリティ対策：物理的セキュリティ
• データセンターの物理セキュリティを体験してみた：なぜ一人で入ってはいけないのか
• JIS Q 27001：2023（情報セキュリティマネジメントシステム）における物理的及び環境的セキュリティ