情報セキュリティ対策・実装技術(全218問中52問目)

IPA"組織における内部不正防止ガイドライン(第4版)"にも記載されている,内部不正防止の取組として適切なものだけを全て挙げたものはどれか。

  1. システム管理者を決めるときには,高い規範意識をもつ者を一人だけ任命し,全ての権限をその管理者に集中させる。
  2. 重大な不正を犯した内部不正者に対しては組織としての処罰を検討するとともに,再発防止の措置を実施する。
  3. 内部不正対策は経営者の責任であり,経営者は基本となる方針を組織内外に示す"基本方針"を策定し,役職員に周知徹底する。

出典:令和元年秋期 問61

  • a,b
  • a,b,c
  • a,c
  • b,c
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策・実装技術
解説
"組織における内部不正防止ガイドライン(第4版)"は、企業やその他の組織において必要な内部不正対策を効果的に実施可能とすることを目的として、IPAにより作成されたガイドラインです。内部不正対策の具体例が項目別にまとめられています。本問では記載内容をもとに正誤を判断しています。
  1. 誤り。1人の管理者に権限が集中していると、その者による内部不正リスクが高まります。最悪の場合、情報システムの破壊や重要情報の削除により事業継続が不可能となる恐れがあります。システム管理者を決める際には複数の者を任命し、相互に監視できることが望まれます。
    ※内部不正防止ガイドライン:(6)システム管理者の権限管理を参照
  2. 正しい。内部不正者に対する処罰や再発防止策を実施しない場合は、同様の内部不正を再発させてしまう恐れがあります。重大な不正を犯した内部不正者に対しては必ず組織としての処罰を検討しなければなりません。また、必要に応じて再発防止の措置を実施することが望まれます。
    ※内部不正防止ガイドライン:(28)処罰等の検討及び再発防止を参照
  3. 正しい。内部不正対策は経営者の責任であり、経営者は基本となる方針を組織内外に示す「基本方針」を策定し、役職員に周知徹底しなければなりません。経営者がリーダーシップをとることで組織内への周知を徹底させ、実効性のある管理体制を整備する狙いがあります。
    ※内部不正防止ガイドライン:(1)経営者の責任の明確化を参照
正しい組合せは「b,c」なので正解は「エ」です。

参考URL: IPA 組織における内部不正防止ガイドライン
 https://www.ipa.go.jp/security/fy24/reports/insider/

Pagetop