情報セキュリティ対策誤り発見
以下の記述で誤っているものはどれか。
A.情報セキュリティポリシーは一度策定すれば、その後の組織内での継続的な見直しや更新は不要である。← 正解
✓ 正解です。この記述が誤りで、セキュリティポリシーは脅威環境の変化や組織体制の変更に応じて定期的に見直し・更新する必要があります。
B.チェンジマネジメントプロセスは、システム変更時のセキュリティリスク評価と承認を通じて、意図しないセキュリティ低下を防ぐ。
✓ この記述は正しい。チェンジマネジメントはセキュリティ観点で変更のインパクト評価を行う重要プロセスである。
C.脆弱性管理では、発見された脆弱性を優先度に基づいて修正し、修正完了後は改善状況を検証する。
✓ この記述は正しい。脆弱性管理の標準的なプロセスを適切に説明している。
D.インシデント対応計画には、初動対応、調査、復旧、および事後対応(lessons learned)の各段階が含まれる。
✓ この記述は正しい。インシデント対応の4段階を正確に述べている。
「情報セキュリティ対策」の他の問題
ファイアウォールのログ記録機能が無効化されていることが発見されました。この状況で、外部からの不正アクセス試行があった場合…多要素認証(MFA)が導入されていないシステムに対して、フィッシング攻撃で従業員のパスワードが漏洩した場合、組織が被る最…組織が暗号化されていない状態で大量の顧客個人情報を保管していたシステムで、データベースの管理画面へのアクセス制御が弱い状…マルウェア対策ソフトが最新の定義ファイルに自動更新されていない状態のまま6ヶ月間放置されていた場合、その間に発生する最大…社員が業務用ノートパソコンを駅のカフェで紛失した後、当該パソコンにはHDDの暗号化が施されていなかったことが判明しました…ある組織で、従業員全員のパスワードポリシーが「8文字以上、大文字小文字数字を含む」という単純な要件のみで、パスワード変更…