人的セキュリティ
情報セキュリティマネジメント試験「訓練後の対応」の問題
M社は通信販売を営む従業員約300名の企業で、顧客の氏名・住所・購入履歴を扱う。情報システム部のN課長がセキュリティ運用を統括し、社内CSIRTを兼ねる。最近、取引先を装ったメールや在宅勤務の拡大に伴う持出し端末の管理が課題となっている。
模擬的な不審メールを使った訓練を実施したところ、一部の従業員が添付を開いてしまった。再発防止に向けたN課長の対応として最も適切なものはどれか。
ア開いた人を責めず、気付きと迅速な報告を促す教育を行う。
イ開いた従業員の氏名を全社に公表して見せしめにする。
ウ訓練は逆効果なので今後は一切実施しないことにする。
エメールの利用そのものを禁止し、業務連絡を口頭のみにする。
正解
ア.開いた人を責めず、気付きと迅速な報告を促す教育を行う。
人的対策では、開いた人を責めず、なぜ危険か・どう報告するかを教育し、気付きと早期報告を促す文化づくりが要点。責めると報告が遅れ被害が拡大するため、報告しやすい雰囲気が重要である。
?選択肢ごとの解説
ア ○人的対策では、開いた人を責めず、なぜ危険か・どう報告するかを教育し、気付きと早期報告を促す文化づくりが要点。責めると報告が遅れ被害が拡大するため、報告しやすい雰囲気が重要である。
イ ×公表による見せしめは報告をためらわせ、早期発見を妨げるため、再発防止策として不適切である。
ウ ×訓練は対応力向上に有効で、中止は対策の放棄に当たり、本問の再発防止の趣旨に反する。
エ ×メール全面禁止は業務を著しく阻害し非現実的で、再発防止の手段として適切ではない。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei-0010
