基本情報 平成31年度 春期 問60：マネジメント系に関する問題

答えは d です（指摘すべき＝ダメな状況）。

バックアップは「もしも」のための備え。なのに本番サーバの近くに置いていたら、火事や水害でまとめて全滅してしまいます。意味ないですよね。

なので「離れた場所に保管していなかった」のが監査人の指摘ポイント。

👉 覚え方：バックアップは“遠くに別保管”が鉄則。

ほかの選択肢：a 手順書あり＝適切／b 復旧試験定期実施＝適切／c 機密契約結んで外部倉庫保管＝適切。全部OKな運用。

なぜこれが正解か

正解は d。事業継続を目的とするバックアップは、本番システムと同時被災を避けるため物理的に離れた場所に保管するのが情報セキュリティ管理基準の基本。本番サーバ近くに置くと火災・水害・地震で本番とバックアップが同時に失われ、BCP（事業継続計画）目的を達成できない。

各選択肢の解説

• a 取得手順書を作成し担当者を定めている：標準化・属人化排除で適切な運用。
• b 復旧試験を事前定期実施：バックアップが取れているだけでなく復旧可能かを検証する重要なプロセスで適切。
• c 機密保持契約付きで外部倉庫委託保管：遠隔地保管＋機密保護で理想的。

覚え方・ひっかけ注意

バックアップ運用の3-2-1ルール：

• 3コピー（本番＋2つのバックアップ）
• 2種類の媒体（テープ＋ディスク等）
• 1つは遠隔地保管

試験で「サーバ近くに保管」「同一媒体に上書き」「世代管理なし」が出たら指摘事項。

理論的背景

情報セキュリティ管理基準（平成28年改正版、経済産業省）はISO/IEC 27001／JIS Q 27001をベースに作成された日本独自の管理基準。バックアップに関する管理項目では、①バックアップ取得手順の確立②取得・保管・廃棄の責任者明確化③復旧試験の実施④物理的に離れた場所での保管が要求される。

バックアップ運用の進化形

• 3-2-1-1-0ルール（強化版）：3コピー、2媒体、1遠隔、1つはオフライン（エアギャップ）、0エラー（検証必須）。ランサムウェア対策として重要。
• イミュータブルバックアップ：WORM（Write Once Read Many）、Object Lockで改ざん不可
• クロスリージョンレプリケーション：クラウドの別リージョンへ同期
• コールドストレージ：AWS Glacier、Azure Archive、GCP Coldline等での超低コスト長期保管

システム監査の体系

• システム監査基準／システム管理基準：経済産業省策定。情報システムのガバナンス監査
• 情報セキュリティ管理基準：ISMS適合性評価の指針
• JIS Q 27001／27002：ISMS要求事項／実践規範
• NIST SP 800-53／CSF：米国系統制

監査人は基準と実態を照合し、「重要性の原則」（影響が大きいものを優先指摘）に基づき監査報告書を作成する。

実務での使われ方

• BCP／DR策定：RTO（目標復旧時間）、RPO（目標復旧時点）を業務影響度（BIA）から逆算
• DR訓練：年1回以上の机上演習＋復旧試験
• クラウドDR：Pilot Light、Warm Standby、Multi-Site Activeの選択
• 金融・医療・社会インフラ：規制業種は明確な保管・復旧要件あり（金融はFISC安全対策基準、医療は3省2ガイドライン等）

試験での位置づけ

基本情報・応用情報・システム監査技術者試験のマネジメント／監査分野で頻出。直近はランサムウェア対策、サイバー保険、サプライチェーンリスクと絡めた出題が増加。

選択肢の発展補足

外部委託保管時は個人情報保護法、マイナンバー法、業界規制（金融FISC、医療3省2ガイドライン）への準拠が必須。契約書には監督・監査権、漏えい時通知義務、返却・廃棄証明を明記。クラウド利用時のデータ所在地（リージョン選択）、越境移転制限も監査対象に含まれる。