8.人的セキュリティ > 8.2 監査/教育

デパートで洋服を買うときに、クレジットカードを渡すでしょ。レジは別のところにあるから、しばらくクレジットカードを渡すことになる。カード番号や裏のセキュリティコードを控えられてもおかしくないだけの時間があるわ。



これこそ人的セキュリティである。店側のルール順守、社員への教育も大事だ。
本気でやろうと思ったら、セキュリティは脅かされる。とはいえ、不正行為は足がつくし保険があるから、カード所有者に被害がいくとは限らない。

社員には定期的に情報セキュリティ教育を行うべきである。教育の中で、情報セキュリティに関する啓蒙活動を行うことも重要である。最近では、Webやe-learningの仕組みを使った社内教育を行う企業が増えてきている。

過去問を2つ解いてみましょう。

１．（H27年春IP）

問63　社内の情報セキュリティ教育に関する記述のうち，適切なものはどれか。 ア　再教育は，情報システムを入れ替えたときだけ実施する。 イ　新入社員へは，業務に慣れた後に実施する。 ウ　対象は，情報資産にアクセスする社員だけにする。 エ　内容は，社員の担当業務，役割及び責任に応じて変更する。

解説は、以下に書いています。
http://sg.seeeko.com/archives/156090.html
正解はエです。

２．（H27年秋IP）

問84　社員に対する情報セキュリティ教育の実施に関する記述ａ～ｄのうち，適切なものだけを全て挙げたものはどれか。 ａ　情報セキュリティ違反をした者に対する再教育に当たっては，同じ過ちを繰り返さないための予防処置も含める。 ｂ　新入社員に対する研修プログラムに組み込む。 ｃ　対象は情報システム部門に所属する社員に限定する。 ｄ　定期的な実施に加えて，情報セキュリティに関わる事件や事故が発生した後にも実施する。 ア　a, b, d　　イ　a, c, d　　ウ　a, d　　エ　b, c

解説は以下に書いています。
http://sg.seeeko.com/archives/623283.html
正解はアです。

人的セキュリティ対策に限ったことではないが、監査によるセキュリティ対策がある。
セキュリティ監査については、以下を参照ください。
http://sm.seeeko.com/archives/65792857.html

H28SG午後問3では、CSA（Control Self Assessment:統制自己評価）に関する出題がありました。CSAの内容が丁寧に解説されていますので、引用します。

〔監査部による情報セキュリティ監査〕 R社監査部は, 1年に1回,   CSA （Control Self Assessment:統制自己評価）方式による情報セキュリティ監査を実施している。CSAとは，監査部が被監査部門を直接評価するのではなく，被監査部門が，自部門の活動を評価することを指す。R社監査部では，被監査部門にCSAの実施を依頼し，その結果を活用して監査を実施している。 R社では，5年前，監査の方式を決定するに当たり，②監査部が各部門を直接監査する方式とCSA方式の利点　欠点を比較評価した。その結果，R社にとってはCSA方式の方がメリットが大きいと判断し,  CSA方式を採用した。 R社の監査実施の手順を図1に示す。  1.監査部が各部門にCSAシートを配布し,  CSAの実施と結果の提出を依頼する。 2.各部門は,  CSAシートを用いてCSAを実施する。 3.監査部が各部門から提出されたCSA結果を検証し，不明な点は当該部門に確認する。 4.   “NG"の評価項目がある場合，及び改善が必要と監査部が判断した場合は，当該部門に改善計画の策定と提出を依頼する。 （改善が必要になった場合は次を行う。） 5.改善が必要な部門は，改善計画を監査部に提出する。 6.監査部は，提出された改善計画が適切か確認する。 7.当該部門は，改善計画に基づき改善を実施する。 8.改善後，当該部門は監査部に改善結果を報告する。 9.監査部は改善された状況を確認し，適切であれば改善完了とする。 図I　R社の監査実施の手順 設問2　本文中の下線②について,  CSA方式の利点を二つ，解答群の中から選べ。 解答群 ア　関連法規への準拠性が担保できる。 イ　業務内容の十分な理解に基づいて評価できる。 ウ　証跡を提出する必要がない。 エ　独立的な立場から公正に評価できる。 オ　評価実施者に対する意識付けや教育として役立つ。

設問２の正解は、イとオです。CSAならではの利点ですね。