ITパスポート 令和8年度 問94:securityに関する問題
情報セキュリティ対策を,「技術的セキュリティ対策」,「人的セキュリティ対策」及び「物理的セキュリティ対策」に分類したとき,「物理的セキュリティ対策」の例として,適切なものはどれか。
- a機密情報の取扱いに関して,罰則を含めた規則を制定し,これを遵守させるために,関係者に定期的な教育を実施する。
- b被災によるシステム障害が発生してもサービスを継続できるように,遠隔地にバックアップシステムを用意する。正答
- cますます方法が巧妙化されるサイバー攻撃による被害を防ぐために,サイバー攻撃の方法や対策に関する情報を従業員に周知する。
- dマルウェアによる被害を防ぐために,マルウェア対策ソフトを導入し,定義ファイルを常に最新に保つ。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは b です。
セキュリティ対策は3種類に分けられます。
- 技術的=ソフトやシステムで守る
- 人的=人の教育やルールで守る
- 物理的=物・場所・設備で守る
bの『遠隔地にバックアップシステムを用意する』は、別の場所に設備を置いて災害に備える=物理的な対策です。
👉 覚え方:物理的=『モノ・場所』で守る(鍵・カメラ・別拠点の設備など)。
ほかの選択肢:a/c は『教育・周知』=人的/d は『対策ソフト』=技術的。だからbだけが物理的です。
なぜこれが正解か
正解は b。物理的セキュリティ対策は『建物・設備・機器など物理的な要素』で情報資産を守る対策。遠隔地にバックアップシステム(設備)を用意して被災時もサービスを継続するのは、物理的な施設・機器による備えなので物理的対策に該当する。
各選択肢の分類
- a:規則制定+定期教育=人的セキュリティ対策。
- b:遠隔地のバックアップ設備=物理的セキュリティ対策。正しい。
- c:サイバー攻撃情報の従業員周知=人的セキュリティ対策。
- d:マルウェア対策ソフト導入・定義ファイル更新=技術的セキュリティ対策。
覚え方・ひっかけ注意
『人的=教育・規則・周知/技術的=ソフト・システム/物理的=建物・設備・入退室・施錠』で仕分け。bは『バックアップ=技術的では?』と迷わせるが、ここでは『遠隔地の設備を用意する』という物理的な備えが論点。施設・機器が出たら物理的と判断する。
理論的背景
情報セキュリティ対策の3分類(技術的・人的・物理的)はISO/IEC 27001 Annex Aの管理策カテゴリに対応し、本問正解bの「遠隔地バックアップシステムの設置」が物理的セキュリティ対策の典型例。
3分類の定義:技術的セキュリティ対策:ITシステム・ソフトウェア・暗号化・アクセス制御等の技術的手段による保護(マルウェア対策ソフト・ファイアウォール・IDS/IPS・暗号化・認証システム等)。人的セキュリティ対策:教育・訓練・ルール整備・人事管理による人間の行動に起因するリスク管理(セキュリティ教育・機密保持契約・罰則規定・バックグラウンドチェック等)。物理的セキュリティ対策:設備・施設・物理的アクセス制御による有形資産の保護(入退室管理・防犯カメラ・遠隔バックアップ・UPS・ラック施錠・ケーブル管理等)。
本問の各選択肢の分類:a「罰則含む規則制定+定期教育」→人的セキュリティ対策(規則整備と教育訓練)。b「遠隔地バックアップシステムの設置」→物理的セキュリティ対策(遠隔地の物理的な施設・設備)。c「サイバー攻撃情報の従業員周知」→人的セキュリティ対策(情報共有・教育)。d「マルウェア対策ソフト導入・定義ファイル更新」→技術的セキュリティ対策(ソフトウェア・技術的手段)。
実務での使われ方
遠隔地バックアップはBCP(事業継続計画)・DRP(災害復旧計画)の基盤インフラ。地理的に離れた場所(東京企業は大阪または北米データセンター等)にデータを複製することで、地震・水害等の大規模災害でも事業継続が可能になる。クラウドバックアップ(AWS S3・Azure Blob・Google Cloud Storage)の普及で遠隔地バックアップのコストが大幅に低下し、中小企業でも実践可能になった。DR(Disaster Recovery)設計のRPO(復旧時点目標)・RTO(復旧時間目標)はバックアップ間隔と遠隔地バックアップの転送速度で規定される。
ISO/IEC 27001 Annex Aの物理的・環境的セキュリティ(A.7:現在の2022版)では「物理的セキュリティ境界・物理的入退管理・オフィス・部屋・設備の保護・外部および環境的脅威に対する保護」が要求される。
試験での位置づけ
情報セキュリティ対策の3分類識別はITパスポートのセキュリティ分野で毎年出題される頻出テーマ。物理的対策の識別キーワード:「遠隔地」「バックアップ施設」「入退室管理」「防犯カメラ」「施設・設備の保護」。人的対策の識別キーワード:「教育・研修・訓練」「規則・ポリシー制定」「罰則」「意識向上」。技術的対策の識別キーワード:「ソフトウェア」「暗号化」「ファイアウォール」「認証システム」。本問で混乱しやすいのはa「罰則含む規則+教育」が規則(管理的)と教育(人的)の2要素を含むが、ITパスポートレベルでは「人的セキュリティ対策」として統合分類するのが正しい理解。基本情報技術者試験ではISO 27001 Annex Aの93管理策の詳細分類・技術的対策の実装詳細(暗号化・デジタル証明書・SIEM・SOAR)・物理的対策のDR設計原則(RTO・RPO・フェイルオーバー)まで問われる。
選択肢の発展補足
選択肢cのサイバー攻撃情報の従業員周知は「セキュリティ意識向上プログラム(Security Awareness Training)」の実践であり、NIST CSF・CIS Controls等のセキュリティフレームワークでも優先度の高い対策として推奨される。フィッシング訓練(模擬フィッシングメールの送信と啓発)・セキュリティニュースレター・eラーニング等の手法が実務で使われる。KnowBe4・ProofPoint Security Awareness Trainingが代表的なSaaS型セキュリティ教育プラットフォーム。選択肢dのマルウェア対策ソフトの詳細補足:シグネチャベース検出(既知マルウェアのパターン照合)に加え、ヒューリスティック分析(未知マルウェアの行動パターン検出)・EDR(Endpoint Detection and Response)・サンドボックス(不審ファイルの隔離実行・動作確認)が現代のエンドポイント保護プラットフォーム(EPP)の標準構成要素となっており、「定義ファイル更新」は重要だが対策の一部に過ぎない点も理解しておく。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和8年度 問94/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。