基本情報 令和5年度 科目A 問14：テクノロジ系に関する問題

答えは c です。

テレワーク（在宅勤務）で会社のネットワークにつなぐ場合、ウイルス対策ソフトは会社で必須にしないと危険。なぜなら、家のパソコンがウイルスに感染した状態で会社につなぐと、会社全体に広がってしまうから。

選択肢cは「マルウェア対策の要不要を従業員任せ」にしているので、これがダメな点＝監査人が指摘すべき問題点になります。

👉 覚え方：“セキュリティ対策を従業員任せにしてはいけない”。

他の選択肢：a 規程に従えば全員OK＝普通／b 会社支給PC限定＝安全策／d 家族に使わせない＝当然のルール。これらは指摘事項にならない。

なぜこれが正解か

正解は c。情報セキュリティ管理基準（経済産業省）では、マルウェア（不正プログラム）からの保護のため、組織として一律の技術的・運用的対策を講じることが要求される。マルウェア対策ソフトの導入要否を従業員個人の判断に委ねることは、セキュリティ統制が機能していない状態であり、監査人が指摘事項として報告書に記載すべき問題点。

各選択肢の解説

• a：運用規程の遵守を条件とした利用範囲限定は適切な統制。
• b：会社支給PC限定はBYODリスクを排除する適切な統制。
• c：マルウェア対策ソフトの導入可否を個人判断とするのは統制不備 ✓
• d：家族による使用禁止は機密情報漏えい防止の適切な統制。

覚え方・ひっかけ注意

システム監査では「組織として一律に統制されているか」が判断軸。「個人の判断に任せる」「努力義務」等の表現が出てきたら、ほぼ指摘事項候補と覚える。テレワーク特有のリスク（自宅ネットワークの脆弱性・家族による意図せぬ操作・物理盗難・覗き見）に対する規程・教育・技術対策の三位一体が情報セキュリティ管理基準の基本姿勢。

理論的背景：情報セキュリティ管理基準

情報セキュリティ管理基準（経済産業省、最新は平成28年改正）はISO/IEC 27001:2013（ISMS）とISO/IEC 27002:2013をベースに、日本企業向けのマネジメント基準（管理策の体系）と管理策基準（個別具体策）の2部構成。マルウェア対策はA.12.2「マルウェアからの保護」に位置づけられ、検出・防止・回復のための管理策と利用者啓発を組織として実施することが要求される。

システム監査の枠組み

システム監査基準（経済産業省）に基づき、監査人は保証型監査（適合性意見表明）と助言型監査（改善提言）を実施。テレワーク監査では以下が論点となる：

• アクセス制御：VPN/ZTNA（Zero Trust Network Access）・MFA・端末認証
• エンドポイント保護：EDR・MDM・暗号化・リモートワイプ
• 通信経路保護：TLS・VPN・分割トンネリングの制限
• 物理セキュリティ：のぞき見防止フィルタ・離席ロック・印刷出力管理
• 教育・啓発：フィッシング訓練・規程の周知

実務での対応

2025年以降はゼロトラスト・アーキテクチャ（NIST SP 800-207）が標準化。境界防御から「常に検証」モデルへの移行が進み、テレワーク前提のセキュリティ設計が一般化。Microsoft Defender for Endpoint・CrowdStrike Falcon・SentinelOne等のクラウド型EDRが主流となり、個人判断の余地を技術的に排除する方向。

試験での位置づけ

システム監査・情報セキュリティ分野の頻出。基本情報技術者試験・システム監査技術者試験では、監査人の独立性（外観上・精神上）、監査証拠の十分性・適切性、監査調書の保存等の手続き面と、本問のような統制上の不備指摘事例の両方が問われる。J-SOX（金融商品取引法に基づく内部統制報告制度）におけるIT全般統制（ITGC）の文脈でも頻出。

選択肢の発展補足

• BYOD（Bring Your Own Device）を許可する場合は、MAM/MDMによる業務領域と私的領域の分離（コンテナ化）が必須。
• COPE（Corporate-Owned, Personally Enabled）は会社支給端末の私的利用を認めるモデルで、bの会社支給PCに私的利用ポリシーを組み合わせる現代的アプローチ。
• リモートワイプ実施時の家族の私的データ消失リスクへの対応も、テレワーク規程に含めるべき項目として注目されている。