みちともブログ

一部上場企業でシステムエンジニアとして情報社会の第一線で15年間働き、さらにその後17年間高校教師として教育現場の最前線で子供たちの教育にあたって、さまざまな経験を積みました。社会人経験者教員としての経験をもとに、みんなの暮らしや教育の課題・悩みを解決する方法を紹介します。

トップ > 新IT_注目問題解説 > 新ITパスポート試験/新出「サイバーセキュリティ経営ガイドライン」はこんなふうに出題される!

新ITパスポート試験/新出「サイバーセキュリティ経営ガイドライン」はこんなふうに出題される!

新IT_注目問題解説

 

f:id:michitomo2019:20191016203324p:plain  こんにちは、みちともです。 

 新シラバスになって、「5. セキュリティ関連法規 」の項目で、新しく「サイバーセキュリティ経営ガイドライン」が追加になりました。

 そこで、「サイバーセキュリティ経営ガイドライン」が出題された3つの問題を解説します。

 実際の問題で、用語の理解と問題を解く考え方を確認しましょう。
 
【応用情報技術者平成29年春期 午前問39】 

【問題】経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"の説明はどれか。

 企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの

 経営者が,情報セキュリティについて方針を示し,マネジメントシステムの要求事項を満たすルールを定め,組織が保有する情報をCIAの観点から維持し,継続的に見直すためのプロセス及び管理策を体系的に規定したもの

 事業体のITに関する経営者の活動を大きくITガバナンス(統制)とITマネジメント(管理)に分割し,具体的な目標と工程として37のプロセスを定義したもの

 世界的規模で生じているサイバーセキュリティ上の脅威に関して,企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの

 

 

 

 【回答】

      

 【解説】

 サイバーセキュリティ経営ガイドラインの概要は次の通りです。

 対象:大企業及び中小企業(小規模事業者を除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者

 内容1:サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」

 内容2:経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」

 

 それでは、選択肢を確認しましょう。

 正しい。

 ”情報セキュリティについて方針を示し”とあるので、情報セキュリティ方針についての説明です。ちなみに、CIAは、 「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)の3つの要素のことです。

 ”ITガバナンス(統制)とITマネジメント(管理)”とあるので、組織のITガバナンスとITマネジメントの円滑な運用を可能にするための実践規範(フレームワーク/ガイドライン)であるCOBIT5についての説明です。

 ”サイバーセキュリティ上の脅威に関して,(中略)国の責務”とあるので、サイバーセキュリティ基本法についての説明です。

 

 

【応用情報技術者平成29年春期 午前問39】  

【問題】経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。

 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策

 自社に出資している株主が行うセキュリティ対策

 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策

 自社の事業所近隣の地域社会が行うセキュリティ対策

 

 

 

【回答】

 

【解説】

 それでは、選択肢を確認しましょう。

 ”個人利用者”と社内ネットワークが直接つながることはないので、確認する対象ではありません。

 ”株主”と自社の社内ネットワークが直接つながることはないので、確認する対象ではありません。

 サプライチェーンのビジネスパートナとは、直接ネットワークでつながるのでことがありえます。そのため、サイバー攻撃から自社を守るためには、ビジネスパートナのセキュリティ対策の実施状況を確認する必要があります。よって、正しい。

 ”近隣の地域社会”と社内ネットワークが直接つながることがないので、確認する対象ではありません。

 

 

【情報セキュリティマネジメント平成29年秋期 午前問1】 

【問題】経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"に従った経営者の対応はどれか。

 緊急時における最高情報セキュリティ責任者(CISO)の独断専行を防ぐために,経営者レベルの権限をもたない者をCISOに任命する。

 サイバー攻撃が模倣されることを防ぐために,自社に対して行われた攻撃についての情報を外部に一切提供しないよう命じる。

 サイバーセキュリティ人材を確保するために,適切な処遇の維持,改善や適切な予算の確保を指示する。

 ビジネスパートナとの契約に当たり,ビジネスパートナに対して自社が監査を実施することやビジネスパートナのサイバーセキュリティ対策状況を自社が把握することを禁止する。



【回答】

  

【解説】
 それでは、選択肢を確認しましょう。
 ”サイバーセキュリティは経営問題 ”です、そのため、CISOには経営者レベルの権限が必要です。よって、誤り。

 サイバー攻撃の情報を提供しないと、社会全体において常に新たな攻撃として対応することとなり、企業における対応コストが低減しません。 そのため、情報提供することがガイドラインで指示されています。よって、誤り。

 正しい。

 ビジネスパートナーにおいて適切なサイバーセキュリ ティ対策が行われていないと、これらの企業を踏み台にして自社が攻撃されることもあります。その結果、他社の2次被害を誘発し、加害者となる恐れもあります。また、緊急時の 原因特定などの際に、これらの企業からの協力を得られないことにより事業継続に支障が生じるので、ビジネスパートナのサイバーセキュリティ対策状況を自社が把握することが必要です。よって、誤り。
 

 どうでしたか?

 この手の問題では、なぜ、選択肢がなぜ誤りなのか解説で確認することが大切です。

  次回は、資金決済法の問題を解説します。

  みちともでした。

 

↓ ブログ村ランキングに参加しています。

にほんブログ村 資格ブログ IT系資格へ
にほんブログ村