システム監査
A 社では、従業員が自宅の PC からインターネット経由で自社のネットワークに接 続して仕事を行うテレワーキングの実施を計画している。A 社が定めたテレワーキン グ運用規程について、情報セキュリティ管理基準(平成 28 年)に従って監査を実施 した。判明した事項のうち、監査人が、指摘事項として監査報告書に記載すべきもの はどれか。
ア.テレワーキング運用規程に従うことを条件に、全ての従業員が利用できる。
イ.テレワーキングで従業員が使用する PC は、A 社から支給されたものに限定する。
ウ.テレワーキングで使用する PC へのマルウェア対策ソフト導入の要不要は、従業 員それぞれが判断する。正解
エ.テレワーキングで使用するPCを、従業員の家族に使用させない。
解説
会社のセキュリティ対策は『各自の判断』に任せた瞬間アウト。シートベルトを『つけるかどうかは乗客それぞれが決めてください』と言う航空会社がないように、マルウェア対策は組織が強制するものです。
なぜ ウ が正解か
情報セキュリティ管理基準では、テレワーク端末へのマルウェア対策は『組織として統制すべき技術的対策』と位置づけられています。それを従業員個人の判断に委ねるのは、金庫の鍵を閉めるかどうかを社員の気分に任せるのと同じ。『うっかり入れ忘れた人の端末』が社内ネットワークへの入口になった瞬間、全体が陥落します。これは監査人が見逃せない明確な規程上の欠陥です。
出典: 基本情報技術者試験 令和5年 公開問題