平成21年春期試験問題 午前問80
問80解説へ
"コンピュータ不正アクセス対策基準"に適合しているものはどれか。
- 監視効率を向上させるためにすべてのネットワークを相互接続する。
- 業務上必要な場合は,利用者 ID を個人間で共有して使用できる。
- システム管理者が,すべての権限をもつ利用者 ID を常に使用できる。
- 組織のセキュリティ方針を文書化し,定期的に研修を開催する。
正解 エ問題へ
広告
解説
コンピュータ不正アクセス対策基準は、コンピュータ不正アクセスによる被害の予防,発見,再発防止などについて,組織及び個人が実行すべき対策をとりまとめたものです。基準は、システムユーザー基準、システム管理者基準、ネットワークサービス事業者基準及びハードウェア・ソフトウェア供給者基準の4つから構成されています。
https://www.meti.go.jp/policy/netsecurity/UAaccessCMG.htm
- システムユーザー基準
- システムを利用する者が実施すべき対策についてまとめたもので、27項目からなる。
- システム管理者基準
- システムユーザーの管理並びにシステム及びその構成要素の導入、維持、保守等の管理を行う者が、実施すべき対策についてまとめたもので、58項目からなる。
- ネットワーク事業者サービス基準
- ネットワークを利用して、情報サービス及びネットワーク接続サービスを提供する事業者が実施すべき対策についてまとめたもので、27項目からなる。
- ハードウェア・ソフトウェア供給者基準
- ハードウェア及びソフトウェア製品の開発、製造、販売等を行う者(以下「ハードウェア・ソフトウェア供給者」とする。)が、実施すべき対策についてまとめたもので、24項目からなる。
- システム管理者基準(4)設備管理の項に、「ネットワークを介して外部からアクセスできる通信経路及びコンピュータは、必要最小限にすること」及び「システムの利用形態等に応じて、ネットワークを分離すること」とあるのでセキュリティ面から不適切な事例と判断できます。
- システムユーザー基準(1)パスワード及びユーザーID管理の項に「ユーザーIDは、複数のシステムユーザーで利用しないこと」とあり、IDの共有は不適切です。
- システム管理者基準(1) 管理体制の整備の項に「システム管理者の権限は、業務を遂行する上で必要最小限にすること」及び、(2) システムユーザー管理の項では「システムユーザーの登録は、必要な機器に限定し、システムユーザーの権限を必要最小限に設定すること」としていることから不適切な事例と判断できます。
- 正しい。システム管理者基準(1)管理体制の整備の項に「システムのセキュリティ方針を確立し、周知・徹底すること」とあり、(7) 情報収集及び教育の項では、「システムユーザーに、セキュリティ教育を随時実施すること」とする基準があります。
https://www.meti.go.jp/policy/netsecurity/UAaccessCMG.htm
広告