令和5年度90テクノロジ系

ITパスポート 令和5年度 問90:securityに関する問題

情報セキュリティにおける物理的及び環境的セキュリティ管理策であるクリアデスクを職場で実施する例として,適切なものはどれか。

  • a従業員に固定された机がなく,空いている机で業務を行う。
  • b情報を記録した書類などを机の上に放置したまま離席しない。正答
  • c机の上のLANケーブルを撤去して,暗号化された無線LANを使用する。
  • d離席時は,PCをパスワードロックする。
正答:B情報を記録した書類などを机の上に放置したまま離席しない。

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは b「書類を机に放置したまま離席しない」 です。

クリアデスクとは、文字どおり「机をクリア(きれいに片付ける)」というルール。席を立つときに、大事な書類やメモを机に出しっぱなしにしないことです。放置すると、通りすがりの人に見られたり盗まれたりするからですね。

👉 覚え方:クリアデスク=「机の上をスッキリ空っぽに」。

ほかの選択肢:a 空いてる机で働く(フリーアドレス)=働き方の話/c 無線LANを使う=通信の話/d PCをロックする=これは“画面”をクリアにする「クリアスクリーン」。dは似てるけど画面の話なので別物です。

標準試験対策の基準レベル

なぜこれが正解か

正解は b。クリアデスク(clear desk)は、離席・退社時に機密情報を含む書類や記録媒体を机上に放置せず、施錠保管する物理的・環境的セキュリティ管理策。覗き見・持ち去り・紛失を防ぐ。「机の上に放置したまま離席しない」が定義どおり。

各選択肢の解説

  • a:固定席を持たず空席で働くのはフリーアドレスという働き方で、セキュリティ管理策ではない。
  • c:無線LANの暗号化は通信のセキュリティで、クリアデスクとは無関係。
  • d:離席時にPCを画面ロックするのはクリアスクリーン。クリアデスクと対をなす別の管理策。

覚え方・ひっかけ注意

クリアデスク=「机(書類・媒体)」/クリアスクリーン=「画面(PC)」。dは正しい対策だが名称が違うひっかけ。「物理的=紙やモノ」「論理的=画面・データ」で区別する。

上級誤答論破・背景理論まで深掘り

理論的背景

クリアデスク(Clear Desk Policy)はISO/IEC 27001:2022 の附属書A(情報セキュリティ管理策)に「7.7 クリアデスク及びクリアスクリーン」として明記されており、物理的・環境的セキュリティカテゴリの管理策として位置づけられる。理論的根拠は「情報の可視性によるリスク」の低減であり、離席中の机上に放置された書類・記録媒体・メモが、通り過ぎる第三者・清掃員・訪問者・外部業者等による窃視・持ち去り・撮影の機会を生じさせるというリスクモデルに基づく。CIAの3要素に対応すると、クリアデスクは主として「機密性(Confidentiality)」の保護に寄与する。ISO 27002:2022では「機密情報が記録された書類・リムーバブルメディアは、その情報の必要性がない場合は施錠保管し、コンピュータは使用後または離席時にロック・ログオフすること」と具体的対策を規定する。クリアスクリーン(離席時の画面ロック)はクリアデスクと対をなす管理策として同条文で規定されており、物理媒体(書類)と電子表示(画面)の2つの情報漏えい経路を同時に管理することを求めている。

実務での使われ方

ISMS認証審査(一般財団法人日本情報経済社会推進協会・JIPDEC等が審査)では、認証機関の審査員が実際にオフィスを巡回して机上の状況を確認する「現場観察」がチェック項目に含まれる。実施状況を客観的に確認するため、退社後の机上を写真記録する「クリアデスク確認シート」を運用する企業もある。関連する実務的管理策として、認証印刷(PIN入力によるプルプリント機能でプリンタ前での放置を防止)・シュレッダーの各フロア設置・ホワイトボードの会議終了後消去ルール・机の施錠(書類・メディアを鍵付き引き出しへ)が体系化される。リモートワーク普及後は自宅作業環境でのクリアデスク徹底が課題となり、テレワークセキュリティガイドライン(総務省)でも画面の覗き見防止フィルム・自宅での書類施錠管理が推奨されている。

試験での位置づけ

クリアデスクはISMS・物理セキュリティ分野の頻出テーマであり、特に以下2つの混同を狙う出題パターンが定型化している:①クリアデスク(机上の書類・媒体の片付け)vsクリアスクリーン(PCの画面ロック)の区別。②クリアデスクvsフリーアドレス(特定の固定席を持たない働き方)の区別。本問選択肢aの「固定された机がない」はフリーアドレス制の説明であり、セキュリティ管理策ではない点が典型的な引っかけである。近年の出題ではテレワーク環境でのクリアデスク適用や、個人情報保護法(組織的安全管理措置)との関連で物理的セキュリティ管理の重要性を問う設問も出始めている。基本情報技術者ではISMS管理策の体系(ISO 27002の附属書A全体の構成:組織的管理策・人的管理策・物理的管理策・技術的管理策の4分類)まで問われる。

選択肢の発展補足

選択肢c「LANケーブルを撤去して無線LANを使用する」は通信セキュリティの改善ではあるが、物理的セキュリティ管理策としてのクリアデスクとは全く異なるカテゴリの対策(ネットワーク通信の保護)である。また「暗号化された無線LAN」という限定があっても、物理的な机上の書類漏えいリスクには対処できない。選択肢d「PCをパスワードロックする」はクリアスクリーンポリシーの実装であり、正しいセキュリティ対策だが本問の問いである「クリアデスク」の例ではなく「クリアスクリーン」の例となる。OSのスクリーンサーバーによる自動ロック(一定時間無操作後)、キーボードショートカット(Windows: Win+L)による即時ロックの習慣化が実務推奨事項である。クリアデスクとクリアスクリーンを一体運用する組織では「離席時のチェックリスト(机上確認→画面ロック→席を離れる)」を訓練で習慣化することが情報漏えい事故防止の現実的な対策となる。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和5年度90/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

テクノロジ系の他の過去問

55
security
56
database
57
database
58
technology_element
59
network

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。