ITパスポート過去問 令和8年度(2026年)問94
情報セキュリティ対策を,“技術的セキュリティ対策”,“人的セキュリティ対策”及び“物理的セキュリティ対策”に分類したとき,“物理的セキュリティ対策”の例として,適切なものはどれか。
選択肢
- ア:機密情報の取扱いに関して,罰則を含めた規則を制定し,これを遵守させるために,関係者に定期的な教育を実施する。
- イ:被災によるシステム障害が発生してもサービスを継続できるように,遠隔地にバックアップシステムを用意する。
- ウ:ますます方法が巧妙化されるサイバー攻撃による被害を防ぐために,サイバー攻撃の方法や対策に関する情報を従業員に周知する。
- エ:マルウェアによる被害を防ぐために,マルウェア対策ソフトを導入し,定義ファイルを常に最新に保つ。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報セキュリティ対策は、技術的、人的、物理的に分類できます。物理的セキュリティ対策は、建物、設備、媒体、設置場所などに対して、盗難、破壊、災害などのリスクを下げる対策です。遠隔地にバックアップシステムを用意することは、拠点を分けて災害の影響を受けにくくする対策であり、物理的セキュリティ対策の例として適切です。
Point
この問題は、情報セキュリティ対策を技術的、人的、物理的に分類できることを前提に、各選択肢がどの分類に該当するかを判断できるかを確認しています。特に、物理的セキュリティ対策が建物、設備、拠点、媒体などの保護や災害対策を含むことを理解しているかがポイントです。
解くために必要な知識
この問題を解くには、情報セキュリティ対策の分類(技術的・人的・物理的)の理解が必要です。
用語の整理
3つの分類の考え方
| 分類 | 守る対象の中心 | 具体例 |
|---|---|---|
| 物理的セキュリティ対策 | 建物、設備、媒体、拠点など | 施錠、入退室管理、監視カメラ、媒体の施錠保管、耐火対策、遠隔地保管、遠隔地バックアップなど |
| 技術的セキュリティ対策 | システムの機能、設定、ソフトウェア、ハードウェア | マルウェア対策、暗号化、アクセス制御、ファイアウォール、脆弱性対策など |
| 人的セキュリティ対策 | 人の行動、運用の徹底 | 教育、周知、規程、手順、誓約、権限付与ルールなど |
他の選択肢に出てくる用語
| 用語 | 意味 |
|---|---|
| マルウェア | 利用者や組織に害を与える目的で作られたソフトウェアの総称です。 |
| 定義ファイル | マルウェア対策ソフトが検知に使う特徴情報(パターン)をまとめたファイルです。 |
問題の解法手順
各選択肢の整理
| 選択肢 | 何をする対策か | 分類 |
|---|---|---|
| ア | 規則を作り教育して守らせる | 人的(運用・教育) |
| イ | 遠隔地にバックアップシステムを用意し災害に備える | 物理(拠点・設備の冗長化) |
| ウ | 攻撃手口や対策を従業員に周知する | 人的(教育・周知) |
| エ | 対策ソフト導入・定義ファイル更新 | 技術(ソフトウェア対策) |
設備を遠隔地に置いて災害時の継続をねらう「イ」が該当します。
選択肢ごとの解説
- ア:不正解
罰則を含む規則(ルール)を作り、関係者に教育して守らせる内容です。人の行動を管理する対策なので、人的セキュリティ対策に分類されます。物理的セキュリティ対策の例としては不適切です。
- イ:正解
災害で片方のシステムが停止しても継続できるよう、遠隔地にバックアップシステム(別拠点の設備)を用意する対策です。拠点や設備の配置で災害リスクを下げるため、物理的セキュリティ対策として適切です。
- ウ:不正解
サイバー攻撃の方法や対策情報を従業員に周知するのは、教育や啓発により人の行動を変える対策です。人的セキュリティ対策に分類され、物理的ではありません。
- エ:不正解
マルウェア対策ソフトの導入と定義ファイル更新は、ソフトウェア機能と設定で防御する方法です。技術的セキュリティ対策に分類され、物理的セキュリティ対策ではありません。
まとめ
情報セキュリティ対策は、技術的、人的、物理的に分類できます。物理的セキュリティ対策は、建物、設備、媒体、設置場所などに対して、盗難、破壊、災害などのリスクを下げる対策です。遠隔地にバックアップシステムを用意することは、拠点を分けて災害の影響を受けにくくする対策であり、物理的セキュリティ対策の例として適切です。
テクノロジ系 > 技術要素 > セキュリティ
罰則を含む規則(ルール)を作り、関係者に教育して守らせる内容です。人の行動を管理する対策なので、人的セキュリティ対策に分類されます。物理的セキュリティ対策の例としては不適切です。
災害で片方のシステムが停止しても継続できるよう、遠隔地にバックアップシステム(別拠点の設備)を用意する対策です。拠点や設備の配置で災害リスクを下げるため、物理的セキュリティ対策として適切です。
サイバー攻撃の方法や対策情報を従業員に周知するのは、教育や啓発により人の行動を変える対策です。人的セキュリティ対策に分類され、物理的ではありません。
マルウェア対策ソフトの導入と定義ファイル更新は、ソフトウェア機能と設定で防御する方法です。技術的セキュリティ対策に分類され、物理的セキュリティ対策ではありません。