メインコンテンツへ
システム監査

A 社では、従業員が自宅の PC からインターネット経由で自社のネットワークに接 続して仕事を行うテレワーキングの実施を計画している。A 社が定めたテレワーキン グ運用規程について、情報セキュリティ管理基準(平成 28 年)に従って監査を実施 した。判明した事項のうち、監査人が、指摘事項として監査報告書に記載すべきもの はどれか。

ア.テレワーキング運用規程に従うことを条件に、全ての従業員が利用できる。
イ.テレワーキングで従業員が使用する PC は、A 社から支給されたものに限定する。
ウ.テレワーキングで使用する PC へのマルウェア対策ソフト導入の要不要は、従業 員それぞれが判断する。正解
エ.テレワーキングで使用するPCを、従業員の家族に使用させない。

解説

会社のセキュリティ対策は『各自の判断』に任せた瞬間アウト。シートベルトを『つけるかどうかは乗客それぞれが決めてください』と言う航空会社がないように、マルウェア対策は組織が強制するものです。

なぜ ウ が正解か

情報セキュリティ管理基準では、テレワーク端末へのマルウェア対策は『組織として統制すべき技術的対策』と位置づけられています。それを従業員個人の判断に委ねるのは、金庫の鍵を閉めるかどうかを社員の気分に任せるのと同じ。『うっかり入れ忘れた人の端末』が社内ネットワークへの入口になった瞬間、全体が陥落します。これは監査人が見逃せない明確な規程上の欠陥です。

なぜ ア は間違いか

『規程に従うことを条件に全員利用可』は一見ゆるそうですが、アクセス条件が明示されている以上は管理基準の範囲内。全員に鍵を配っても『使うルール』が守られるなら問題なし、という話です。

なぜ イ は間違いか

会社支給PCに限定するのはむしろ優等生対応。私物PCの野良アプリや家族のブラウザ履歴が社内に持ち込まれるリスクを遮断する、教科書どおりの正しい規程です。

なぜ エ は間違いか

家族に使わせない、これも正しい。家族が業務ファイルを開いたりUSBを挿したりするリスクを防ぐ当然の一手。『うちの子は絶対何もしない』は免責になりません——監査では通らない親バカ理論です。

出典: 基本情報技術者試験 令和5年 公開問題