ITパスポート過去問 平成30年度(2018年)問78
情報セキュリティ対策において,情報を保護レベルによって分類して管理するとき,管理方法として,適切なものだけを全て挙げたものはどれか。
- a 情報に付与した保護レベルは,廃棄するまで変更しない。
- b 情報の取扱い手順は,保護レベルごとに定める。
- c 情報の保護レベルは,組織が作成した基準によって決める。
- d 保護レベルで管理する対象は,電子データとそれを保存した保存媒体に限定する。
選択肢
- ア:a,c
- イ:a,d
- ウ:b,c
- エ:b,d
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報を保護レベルで分類して管理する場合は、組織が定めた基準で保護レベルを決め、保護レベルごとに取扱い手順を定めます。一方、保護レベルは状況の変化に応じて見直すことがあり、管理対象も電子データだけでなく紙の文書なども含めて考えます。
Point
この問題は、情報を保護レベルで分類して管理するときの基本として、保護レベルの決め方、保護レベルごとの取扱い手順の定め方、管理対象に含める範囲を理解しているかを問うものです。
解くために必要な知識
この問題を解くには、情報を保護レベルで分類して管理する考え方を理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| 情報セキュリティ対策 | 情報を漏えい、改ざん、紛失などの脅威から守るための対策です。技術面だけでなく、運用や物理面の対策も含みます。 |
| 保護レベル | 情報の重要度や、漏えい・改ざん・利用不能が起きた場合の影響の大きさに応じて定める分類区分です。 |
| 組織の基準 | どの情報をどの保護レベルに分類するかを決めるために、組織が定める規程やルールです。 |
| 情報資産 | 組織が保有し、業務に利用する価値のある情報や、それを扱うためのものの総称です。 |
保護レベルで「決めること」の例
保護レベルごとに、次のような取扱いを変えることが一般的です。
-
閲覧できる人の範囲
-
保管方法(施錠保管の要否など)
-
送付方法(暗号化、パスワード付与の要否など)
-
持出しの可否
-
廃棄方法(シュレッダー、データ消去など)
保護レベルは見直すことがある
「一度付けた保護レベルを廃棄まで固定する」とは限りません。例えば、次のような場合は見直しが必要になることがあります。
-
公開済みになり、機密性が下がった
-
個人情報を含むようになり、機密性が上がった
-
利用範囲が広がり、管理方法を変更する必要が出た
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| 電子データ | コンピュータで作成・保存・処理されるデジタル形式の情報です。 |
| 保存媒体 | データを記録・保管する媒体です。例として、USBメモリ、HDD、SSD、光学ディスクなどがあります。 |
管理対象は電子データに限定されない
保護レベルによる管理対象は、電子データや保存媒体だけに限定しません。例えば、紙の文書や印刷物も管理対象に含めます。
問題の解法手順
選択肢を構成する要素の整理
| 要素 | 内容 | 適切か | 理由 |
|---|---|---|---|
| a | 情報に付与した保護レベルは,廃棄するまで変更しない。 | × | 情報の公開状況、利用目的、機密性の変化などにより、保護レベルを見直して変更することがあります。 |
| b | 情報の取扱い手順は,保護レベルごとに定める。 | ○ | 保護レベルに応じて、閲覧権限、保管方法、送付方法、持出し、廃棄方法などのルールを変える必要があります。 |
| c | 情報の保護レベルは,組織が作成した基準によって決める。 | ○ | 組織は業務内容、法令、契約、リスクなどを踏まえて分類基準を定め、その基準で保護レベルを決めます。 |
| d | 保護レベルで管理する対象は,電子データとそれを保存した保存媒体に限定する。 | × | 保護対象は電子データだけでなく、紙文書、印刷物なども含めて扱うのが一般的です。 |
正解の判定
bとcが適切なので、組合せが一致する「ウ」が正解です。
選択肢ごとの解説
- ア:不正解
cは、保護レベルを組織が作成した基準で決めるので適切です。一方aは、情報の状況変化により保護レベルを見直すことがあるため不適切です。したがって、この組合せは誤りです。
- イ:不正解
aは不適切です。dも、管理対象を電子データと保存媒体に限定しており、紙の文書や口頭の情報などが含まれない点が不適切です。したがって、この組合せは誤りです。
- ウ:正解
bは、保護レベルごとに取扱い手順を定めるので適切です。cも、保護レベルを組織の基準で決めるので適切です。したがって、この組合せが正解です。
- エ:不正解
bは適切です。一方dは、管理対象を電子データに限定しているため不適切です。したがって、この組合せは誤りです。
まとめ
情報を保護レベルで分類して管理する場合は、組織が定めた基準で保護レベルを決め、保護レベルごとに取扱い手順を定めます。一方、保護レベルは状況の変化に応じて見直すことがあり、管理対象も電子データだけでなく紙の文書なども含めて考えます。
テクノロジ系 > 技術要素 > セキュリティ
cは、保護レベルを組織が作成した基準で決めるので適切です。一方aは、情報の状況変化により保護レベルを見直すことがあるため不適切です。したがって、この組合せは誤りです。
aは不適切です。dも、管理対象を電子データと保存媒体に限定しており、紙の文書や口頭の情報などが含まれない点が不適切です。したがって、この組合せは誤りです。
bは、保護レベルごとに取扱い手順を定めるので適切です。cも、保護レベルを組織の基準で決めるので適切です。したがって、この組合せが正解です。
bは適切です。一方dは、管理対象を電子データに限定しているため不適切です。したがって、この組合せは誤りです。