[参考URl]
https://wa3.i-3-i.info/examination_sg2016ham71.html
"組織における【内部不正防止ガイドライン】"は、組織が管理する情報と情報システムに対する内部不正の防止、および不正行為発生時の早期発見と拡大防止のための体制の整備を推進するためのガイドラインです。
このガイドラインは、用語の定義と関連する法律の説明、および10の観点から示された30項目の対策で構成されています。この設問の管理策については「(12)ネットワーク利用のための安全管理」の頁(P.38)に記述されていて、以下の4つが対策のポイントとして挙げられています。
1.PC 等の情報機器には、組織内で許可されたソフトウェア以外のもの(例えば、【ファイル共有ソフト】等)をインストールして利用することを禁止します。利用を許可するソフトウェアは、組織内で決定します。利用者から新たに利用申請があったソフトウェアは、利用させてもよいか判断することが必要です。
2.Web アクセスに関しては、コンテンツフィルタを導入して、 【SNS】及びアップローダー、掲示版等へのアクセスを制限することが望まれます。
3.電子メールに関しては、業務のメールを個人のメールアドレスに転送する設定になっていないかを確認することが望まれます。また、外部宛のメール送信を再確認する機能や上司に承認を要求する機能、及び添付ファイル等が暗号化されていないと送信できないメールシステム等を導入することで、誤送信による情報漏えいの対策を講じることが望まれます。
4.PC 等の情報機器を守るために、ウイルス対策ソフトの導入やパッチ適用等の一般的なセキュリティ対策を実施します
各選択肢をガイドラインに照らし合わせることで適切か否かを判断します。
ア “インターネット上のWebサイトへのアクセスに関しては,コンテンツフィルタ(URLフィルタ)を導入して,【SNS】,オンラインストレージ,掲示板などへのアクセスを制限する。”
正しい。Webアクセスに関しては、コンテンツフィルタを導入して、【SNS】及びアップローダー、掲示版等へのアクセスを制限することが望まれます。:
イ “業務の電子メールを,システム障害に備えて,私用のメールアドレスに転送するよう設定させる。”
電子メールに関しては、情報が外部に意図せずに漏えいすることを防ぐために業務のメールを個人のメールアドレスに転送する設定になっていないかを確認することが望まれます。:
ウ “従業員が【ファイル共有ソフト】を利用する際は,ウイルス対策ソフトの誤検知によってファイル共有ソフトの利用が妨げられないよう,ウイルス対策ソフトの機能を一時的に無効にする。”
PC等の情報機器には、組織内で許可されたソフトウェア以外のもの(例えば、ファイル共有ソフト※等)をインストールして利用することを禁止します。また情報機器を守るためにウイルス対策ソフトは一時的でも無効にすべきではありません。:
エ “組織が使用を許可していないソフトウェアに関しては,業務効率が向上するものに限定して,従業員の判断でインストールさせる。”
利用者から新たに利用申請があったソフトウェアを利用させてもよいかは、従業員の判断ではなく組織で判断することが求められます。:
参考URL: IPA 組織における内部不正防止ガイドライン(PDF)
https://www.ipa.go.jp/files/000044615.pdf
※【ファイル共有ソフト】
インターネット上で不特定多数コンピュータ間でファイル(データ)をやり取りできるソフトウェア。WinnyやShareなどが代表例である。ファイル共有ソフトの使用による著作権侵害や、コンピュータウイルス感染、企業(組織)からの情報漏えい事故が大きな問題となっている。
