ITパスポート過去問 令和7年度(2025年)問88
情報セキュリティ対策を,“技術的セキュリティ対策”,“人的セキュリティ対策”及び“物理的セキュリティ対策”に分類したとき,“物理的セキュリティ対策”の例として,適切なものはどれか。
選択肢
- ア:業務に関係のない掲示板やSNSなどへの従業員による書込み,閲覧を防止するために,Webサーバヘのアクセスログを取得し,必要に応じて通信を遮断する。
- イ:サーバ室,執務室などの場所ごとにセキュリティレベルを設定し,従業員ごとのアクセス権が付与されたICカードで入退室管理を行う。
- ウ:従業員の採用時には,守秘義務に関する契約書を取り交わし,在籍中は機密情報の取扱いに関する教育,啓発を実施する。
- エ:退職者が,在籍中のアカウントを用いた不正アクセスを行わないように,従業員の退職時にアカウントを削除する。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
物理的セキュリティ対策は、サーバ室や執務室などの場所、機器、媒体といった物理的対象への不正な接触や持ち出しを防ぐ対策です。「イ」はICカードで入退室を管理し、部屋への立入りを制限しているため、物理的セキュリティ対策の例として適切です。
Point
この問題のねらいは、情報セキュリティ対策を「技術的」「人的」「物理的」に分類できるようにすることです。対策の対象が、システム上のアクセスなのか、人の行動なのか、場所や設備への立入りなのかを区別して判断します。
解くために必要な知識
この問題を解くには、情報セキュリティ対策の分類(技術的・人的・物理的)を理解している必要があります。
用語の整理
| 用語 | 意味 |
|---|---|
| 物理的セキュリティ対策 | 施設・部屋・設備などへの物理的接近(入退室、持込み、盗難など)を防ぐ対策です。 |
| 入退室管理 | 施設や部屋に「誰が」「いつ」出入りしたかを管理し、不正な立入りを防ぐことです。 |
| ICカード | カード内のICチップで個人識別を行い、入退室などの認証に利用するカードです。 |
判断ポイントの整理
| 分類 | 主な対象 | 代表例 |
|---|---|---|
| 技術的セキュリティ対策 | システム、ネットワーク、通信 | アクセス制御、ログ取得、暗号化、ファイアウォールなど |
| 人的セキュリティ対策 | 人の行動、教育、ルール遵守 | 教育・訓練、誓約書、内部不正対策の周知など |
| 物理的セキュリティ対策 | 施設、部屋、設備、媒体 | 入退室管理、施錠、監視カメラ、保管庫など |
他の選択肢に出てくる用語
| 用語 | 意味 |
|---|---|
| アクセスログ | サーバや機器へのアクセス記録(誰が、いつ、どこへ、何をしたかなど)です。 |
| 通信遮断 | 特定の通信を、ファイアウォールなどで遮断して通さないことです。 |
| 守秘義務 | 業務で知った秘密情報を外部に漏らさない義務で、契約で定めることが多いです。 |
| 不正アクセス | 権限のない者がアクセスする、又は権限を超えてアクセスする行為です。 |
| アカウント削除 | 利用者IDを無効化・削除して、システムを利用できない状態にすることです。 |
問題の解法手順
注目点は、「物理的セキュリティ対策」が施設・設備への立入りなど、物理的な接近を防ぐ対策かどうかです。
各選択肢の整理
| 選択肢 | 何を制御しているか | 分類 | 理由 |
|---|---|---|---|
| ア | Webアクセス・通信 | 技術的 | アクセスログ取得や通信遮断は、ネットワークやサーバの設定で通信を制御するためです。 |
| イ | 入退室(立入り) | 物理的 | ICカードで入退室を管理し、部屋への立入りを制限して物理的接近を防ぐためです。 |
| ウ | 契約・教育 | 人的 | 守秘義務契約や教育は、従業員の行動や意識に関する対策のためです。 |
| エ | アカウントの有効・無効 | 技術的(運用管理を含む) | アカウント削除は、認証やアクセス制御の運用であり、場所への立入り制限ではないためです。 |
選択肢ごとの解説
- ア:不正解
Webサーバへのアクセスログ取得や、必要に応じた通信遮断は、ネットワーク機器やサーバ設定で通信を制御する対策です。対象は「場所への立入り」ではなく「システム上のアクセス」なので、技術的セキュリティ対策に分類されます。
- イ:正解
サーバ室や執務室など場所ごとにセキュリティレベルを設定し、ICカードで入退室管理を行うのは、許可された人だけが部屋に入れるようにする対策です。設備や媒体への物理的接近を防ぐため、物理的セキュリティ対策の例として適切です。
- ウ:不正解
採用時の守秘義務に関する契約書の取り交わしや、在籍中の教育・啓発は、従業員の行動や意識に関する対策です。人を対象にした対策なので、人的セキュリティ対策に分類されます。
- エ:不正解
退職時にアカウントを削除するのは、システム上の認証・権限を管理して不正利用を防ぐ対策です。対策が直接作用する対象はアカウントであるため、技術的セキュリティ対策に分類されます。
まとめ
物理的セキュリティ対策は、サーバ室や執務室などの場所、機器、媒体といった物理的対象への不正な接触や持ち出しを防ぐ対策です。「イ」はICカードで入退室を管理し、部屋への立入りを制限しているため、物理的セキュリティ対策の例として適切です。
テクノロジ系 > 技術要素 > セキュリティ
Webサーバへのアクセスログ取得や、必要に応じた通信遮断は、ネットワーク機器やサーバ設定で通信を制御する対策です。対象は「場所への立入り」ではなく「システム上のアクセス」なので、技術的セキュリティ対策に分類されます。
サーバ室や執務室など場所ごとにセキュリティレベルを設定し、ICカードで入退室管理を行うのは、許可された人だけが部屋に入れるようにする対策です。設備や媒体への物理的接近を防ぐため、物理的セキュリティ対策の例として適切です。
採用時の守秘義務に関する契約書の取り交わしや、在籍中の教育・啓発は、従業員の行動や意識に関する対策です。人を対象にした対策なので、人的セキュリティ対策に分類されます。
退職時にアカウントを削除するのは、システム上の認証・権限を管理して不正利用を防ぐ対策です。対策が直接作用する対象はアカウントであるため、技術的セキュリティ対策に分類されます。