No.8 “コンピュータ不正アクセス対策基準”に適合しているものはどれか。
⭕️
❌
💾
🖊 | ☑️ |
⭕️ | [[ AnswerCalc[0] ]] % | A | [[ AnswerCalc[1] ]] |
コンピュータ不正アクセス対策基準は、コンピュータ不正アクセスによる被害の予防,発見,再発防止などについて,組織及び個人が実行すべき対策をとりまとめたものです。基準は、システムユーザ基準、システム管理者基準、ネットワークサービス事業者基準及びハードウェア・ソフトウェア供給者基準の4つから構成されています。
- システムユーザ基準
- システムを利用する者が実施すべき対策についてまとめたもので、27項目からなる。
- システム管理者基準
- システムユーザの管理並びにシステム及びその構成要素の導入、維持、保守等の管理を行う者が、実施すべき対策についてまとめたもので、58項目からなる。
- ネットワーク事業者サービス基準
- ネットワークを利用して、情報サービス及びネットワーク接続サービスを提供する事業者が実施すべき対策についてまとめたもので、27項目からなる。
- ハードウェア・ソフトウェア供給者基準
- ハードウェア及びソフトウェア製品の開発、製造、販売等を行う者(以下「ハードウェア・ソフトウェア供給者」とする。)が、実施すべき対策についてまとめたもので、24項目からなる。
- 監視効率を向上させるためにすべてのネットワークを相互接続する。
システム管理者基準(4)設備管理の項に、「ネットワークを介して外部からアクセスできる通信経路及びコンピュータは、必要最小限にすること。」及び「システムの利用形態等に応じて、ネットワークを分離すること。」とあるのでセキュリティ面から不適切な事例と判断できます。 - 業務上必要な場合は,利用者 ID を個人間で共有して使用できる。
システムユーザ基準(1)パスワード及びユーザID管理の項に「ユーザIDは、複数のシステムユーザで利用しないこと。」とあり、IDの共有は不適切です。 - システム管理者が,すべての権限をもつ利用者 ID を常に使用できる。
システム管理者基準(1) 管理体制の整備の項に「システム管理者の権限は、業務を遂行する上で必要最小限にすること。」及び、(2) システムユーザ管理の項では「システムユーザの登録は、必要な機器に限定し、システムユーザの権限を必要最小限に設定すること。」としていることから不適切な事例と判断できます。 - 組織のセキュリティ方針を文書化し,定期的に研修を開催する。
正しい。システム管理者基準(1)管理体制の整備の項に「システムのセキュリティ方針を確立し、周知・徹底すること。」とあり、(7) 情報収集及び教育の項では、「システムユーザに、セキュリティ教育を随時実施すること。」とする基準があります。
💾
✔️
[[ d.CommentTxt ]] |
< | > |
🥇 |