ITパスポート 令和7年度 問88：securityに関する問題

答えは b です。

セキュリティ対策には3種類あります。「機械やシステムで守る（技術的）」「人の教育・ルールで守る（人的）」「建物や設備で物理的に守る（物理的）」。

bは「サーバ室や執務室にICカードで入退室を管理する」＝“その場所に入れないようにする”という、物理的に守る対策です。鍵やカードで部屋を守るイメージですね。

👉 覚え方：物理的＝“目に見えるモノ・場所”を守る（鍵・カード・カメラ・施錠）。

ほかの選択肢：a アクセスログ取得・通信遮断＝技術的／c 守秘義務契約・教育＝人的／d 退職時にアカウント削除＝技術的（システム上の操作）。

なぜこれが正解か

正解は b。物理的セキュリティ対策とは、施設・設備・媒体など“物理的な対象”を守る対策。bの「場所ごとにセキュリティレベルを設定し、ICカードで入退室管理」は、サーバ室などへの物理的な立ち入りを制御する典型例。

各選択肢の解説

• a：Webサーバのアクセスログ取得・通信遮断は、システムや仕組みで守る技術的対策。
• c：守秘義務契約・教育・啓発は、人の行動・意識に働きかける人的対策。
• d：退職時のアカウント削除は、システム上のアクセス権を管理する技術的対策（人的管理と絡むが、操作自体は技術的措置）。

覚え方・ひっかけ注意

3分類の見分けは対象で判断：「場所・モノ・施錠・カメラ・ICカード＝物理的」「ログ・暗号・認証システム＝技術的」「契約・教育・ルール＝人的」。ICカードによる入退室は物理的の鉄板例。

理論的背景

情報セキュリティ対策の三分類「技術的・人的・物理的」はJIS Q 27002（ISO/IEC 27002）の管理策の分類体系に基づいており、正解はbの「サーバ室・執務室のセキュリティレベル設定とICカードによる入退室管理」が物理的セキュリティ対策の例として最適である。

三分類の定義を詳述する。技術的セキュリティ対策（Technical Controls）：ソフトウェア・ハードウェアを使ってシステム上で実施する対策。例：ファイアウォール・IDS/IPS・暗号化・アクセス制御・認証機構・脆弱性スキャン・EDR・SIEM・DLP（Data Loss Prevention）等。人的セキュリティ対策（Human Controls / Administrative Controls）：組織的・手続き的な対策であり人間の行動に働きかけるもの。例：セキュリティ教育・啓発活動・守秘義務契約・バックグラウンドチェック・アカウント管理手続き・インシデント対応手順書等。物理的セキュリティ対策（Physical Controls）：物理的な設備・装置・区域の管理。例：入退室管理（ICカード・生体認証ゲート）・セキュリティカメラ（CCTV）・施錠キャビネット・来訪者管理・媒体廃棄（シュレッダー・消磁）・電源・空調・防火設備等。

本問の選択肢分析：選択肢a「Webサーバへのアクセスログ取得・通信遮断」→技術的対策。選択肢c「採用時の守秘義務契約・教育啓発」→人的対策。選択肢d「退職者アカウント削除」→技術的対策（アクセス制御）または手続き的対策（人的）。選択肢bのICカードによる入退室管理は物理的な錠・カードリーダーを使ったアクセス制御であり、物理的セキュリティ対策の典型例である。

実務での使われ方

物理的セキュリティは現代のゼロトラストアーキテクチャでも重要なレイヤーとして位置づけられ、「デジタルセキュリティだけでは不十分」という認識が強まっている。実務での物理的セキュリティ設計を整理する。

ゾーニング（区域区分）：企業の施設をセキュリティレベルに応じて「一般ゾーン（来訪者可）→従業員ゾーン（社員証必要）→機密ゾーン（特定権限者のみ：サーバ室・役員フロア等）」と階層化し、移動時の認証を強化する。CCTV・監視カメラ：入退室記録と組み合わせた映像証跡の管理。AI画像解析（不審行動検知・顔認識照合）との統合が進んでいる。物理的サイバー攻撃への対策：USB端子に不正なハードウェアキーロガーを挿入する攻撃・悪意のあるUSBメモリを落とす攻撃（Rubber Ducky攻撃）などの物理的アクセスを前提とした攻撃への対策として、PCのUSBポートのブロック・BIOS設定の保護・物理的なシャッターも重要になっている。

試験での位置づけ

情報セキュリティ対策の三分類はITパスポートのセキュリティ分野で毎年出題される基本概念であり、各分類の代表的な事例を正確に識別できることが必須の知識である。本問のポイントは「ICカードによる入退室管理が物理的セキュリティ対策」という対応であり、これはセキュリティ対策三分類問題の最頻出の正解パターンである。選択肢aのアクセスログと通信遮断、選択肢dのアカウント削除は技術的対策と人的対策のどちらに分類されるかは文脈によって判断が分かれる場合もあるが、「サーバ室への物理的なアクセス制御」は物理的対策として明確に分類される。

基本情報技術者試験では、JIS Q 27002の管理策の体系（2022年版：組織的・人的・物理的・技術的の4分類に再編）まで踏み込んだ知識が求められる。特に2022年改訂での管理策の再分類（従来の技術的・人的・物理的から4カテゴリへ）と主要管理策の変更点（クラウドサービス・情報削除・データマスキング・ウェブフィルタリング等の新規追加）が試験に反映される可能性がある。

選択肢の発展補足

選択肢aの「アクセスログ取得・通信遮断」は技術的対策の中でも「モニタリング・フィルタリング」に分類される。ログ取得はSIEMへの連携・インシデント証跡管理に不可欠であり、URLフィルタリング（プロキシによるWebアクセス制限）は社内のコンプライアンス管理や生産性維持にも活用される。選択肢cの「採用時の守秘義務契約・在籍中のセキュリティ教育」は人的セキュリティ対策の典型例であり、従業員ライフサイクル（採用→在籍→退職）の各フェーズに対応した人的対策の設計がJIS Q 27002の「人的管理策」に定義されている。選択肢dの「退職者アカウント削除」は「アクセス権管理（技術的）」と「退職処理手順（人的・手続き的）」の両方の側面を持つ対策である。この曖昧さが試験での引っかけにはならないが、実務では退職処理チェックリスト（アカウント削除・物理的な機器返却・アクセスカード回収・守秘義務の継続確認）として技術的・人的・物理的の3側面を統合的に実施するのが標準的なセキュリティプロセスである。