基本情報 令和7年度 科目A 問15：テクノロジ系に関する問題

答えは c です。

サーバ室は会社のシステムが詰まった超大事な部屋。社外からの出入口が常に施錠されてない＝誰でも入れちゃう状態なので、これは「監査で指摘すべき問題」です。

たとえば銀行の金庫の扉が「お客さんの出入りを考えて常に開けっぱなし」だったら大問題ですよね。それと同じ。

👉 覚え方：サーバ室＝金庫レベルの大事な部屋。出入口は常に施錠が原則！

ほかの選択肢：

• a 営業時間中も警報装置がONなのはむしろ良い対策（無人領域だから）
• b 非常口・避難器具は消防法的にも必要なもの
• d 場所を表示しない（部外者に教えない）のは正しいセキュリティ対策

…なので、指摘されるのは c だけです。

なぜこれが正解か

正解は c。情報セキュリティ管理基準（平成28年改正版） および JIS Q 27002（ISO/IEC 27002） の物理的アクセス制御では、サーバ室・データセンタへの出入口は常時施錠し、許可された者のみが入室可能とすることが原則。社外から直接アクセス可能なドアを常時施錠していないのは明確な統制不備で、監査人は指摘事項として報告書に記載すべき。

各選択肢の解説

• a：無人領域での営業時間中の警報装置作動は、侵入者検知の観点で適切な対策。指摘事項ではない。
• b：非常口・避難器具・誘導灯の設置は 消防法・建築基準法の要件であり、安全対策として必須。指摘事項ではない（むしろ未設置なら指摘対象）。
• c：社外からの直接出入口を常時施錠していない＝不正侵入・物理的攻撃のリスク。情報セキュリティ管理基準違反。正解。
• d：サーバ室の所在を室外に表示しないのは、部外者への情報秘匿（カモフラージュ） として適切な対策。指摘事項ではない。

覚え方・ひっかけ注意

物理的セキュリティ対策の原則：

• アクセス制御：施錠、入退室管理（IC カード、生体認証、二要素認証）、入退室記録
• 可視性低減：所在表示なし、窓なし設計、目立たない外装
• 侵入検知：警報装置、監視カメラ、人感センサ
• 物理的防護：壁・天井・床の強化（天井裏侵入防止）、防火扉
• 環境制御：空調、UPS、火災検知・消火設備

「利便性のために施錠しない」は典型的な統制不備パターン。「社外からの直接出入口」「常時施錠していない」 の組合せは100%指摘対象。試験では「適切なもの」を選ぶ問題と「指摘すべきもの」を選ぶ問題で出題意図が逆転するので、設問文の確認が必須。

理論的背景

情報セキュリティ管理基準（経済産業省、平成28年改正版）は ISO/IEC 27001/27002 をベースに日本の情報セキュリティマネジメントの実施基準を定めた文書。情報セキュリティ監査制度の判断基準として位置づけられ、監査人はこの基準に照らして統制の適切性を評価する。物理的セキュリティは ISO/IEC 27002 の管理策カテゴリ「7. 物理的及び環境的セキュリティ」に対応。

物理的セキュリティの多層防御モデル：

1. 境界防御：敷地・建物の外周（フェンス、警備員、出入管理）

2. 建物内部：受付、共用エリアと制限エリアの分離

3. セキュリティエリア：サーバ室・データセンタの入口

4. 個別機器：ラック施錠、デバイス固定

各層で多要素認証・複数人立会・入退室記録等の統制を重ねる。

実務での使われ方

• データセンタ Tier 分類（Uptime Institute）：Tier I〜IV で物理セキュリティ要件が段階的に厳格化。Tier IV は多重バリア、24時間警備、生体認証、マンガード（一人ずつ通過）、アンチパスバック（同一カードの連続入室不可）等。
• 入退室管理（PACS：Physical Access Control System）：IC カード（FeliCa、Mifare）、指紋・静脈・顔認証、PIN コード、多要素組合せ。ログ管理で誰がいつ入退室したか証跡保持。
• ISMS 認証（ISO/IEC 27001）：第三者認証取得のため定期監査必須。SOC 2 Type II 報告書は米国基準で物理セキュリティを含む統制の運用評価。
• 金融機関の FISC 安全対策基準：銀行・証券会社のシステムセンタに対する厳格な物理セキュリティ要件（耐震、耐火、停電対策、警備員配置）。
• クラウドの責任共有モデル：データセンタの物理セキュリティはクラウドベンダ責任、IaaS では OS 以上が顧客責任。AWS・Azure・GCP は SOC、ISO、FedRAMP、PCI DSS 等の準拠表明。

試験での位置づけ

科目A「セキュリティ」「システム監査」の頻出領域。基本情報・システム監査技術者試験では：

• 情報セキュリティ管理基準・監査基準の体系
• ISO/IEC 27001/27002 の管理策114個（旧版）、93個（2022版）
• 物理的セキュリティの具体的管理策（ISO/IEC 27002 の7章）
• 監査の種類（システム監査、情報セキュリティ監査、業務監査）
• 監査手続（予備調査・本調査・評価・報告）
• 監査証拠の収集（質問・観察・閲覧・突合）
• 統制の整備状況評価／運用状況評価

まで深掘り。

選択肢の発展補足

• 警報装置（選択肢 a）：人感センサ（PIR）、ガラス破壊センサ、ドア開閉センサ、振動センサ。中央監視センタへの自動通報。誤報率（False Alarm Rate）と検知率（Detection Rate）のトレードオフがあり、ROC 曲線で評価。
• 非常口・避難経路（選択肢 b）：消防法施行令第25条、建築基準法施行令第125条で2方向避難の確保が義務。サーバ室ではHalon・FM-200・Novec 1230 等の不活性ガス消火設備を採用（水損防止）。ガス消火前の警報→避難→放出のシーケンス管理。
• 所在の秘匿（選択肢 d）：セキュリティ・バイ・オブスキュリティは単独では脆弱だが多層防御の一部として有効。地下・最上階・別棟配置、外見をオフィス化、ナンバープレート未表示等の対策。
• 関連法令：個人情報保護法（個人データの安全管理措置）、不正アクセス禁止法、サイバーセキュリティ基本法、改正電気通信事業法（外部送信規律）。
• インシデント対応：物理侵入検知時の対応手順、CSIRT との連携、警察通報、事業継続計画（BCP）・災害復旧計画（DRP）への統合。