情報セキュリティマネジメント試験 令和7年度 公開問題(過去問) 問13 について解説します。
問題
問13 A社は従業員300名のITサービス企業であり、ヘルプデスク業務のアウトソーシングサービスを提供している。A社はオンプレミスのシステムを所有しておらず、顧客向けサービスのほか、社内業務でもクラウドサービスを利用している。A社では、各従業員にPC及びスマートフォンを貸与している。スマートフォンは勤怠管理などの社内業務だけに利用している。
A社では、クラウドサービスについての可用性に関する重要度の評価(以下、可用性に関する重要度の評価を可用性評価という)を本来実施すべきであったが、実施できていなかった。そこで、A社の情報セキュリティリーダーであるB主任が、表1のとおり、A社がリスク評価で用いる可用性評価の基準を用いて可用性評価を実施することになった。
B主任はA社が利用しているクラウドサービスについて可用性評価を実施し、利用方法及び可用性に関する重要度を表2のとおりまとめた。
B主任は、表2の内容をA社の情報セキュリティ委員会に報告し、可用性に関する重要度が適切であることの承認を得た。
解説・解答
まずは「可用性評価の基準」を確認します。表1よりA社の可用性に関する重要度は次のとおりです。
・重要度2
サービスが利用できなくなると自社だけでなく、顧客にも直ちに影響がある。
・重要度1
サービスが利用できなくなると自社にだけ、直ちに影響がある。
・重要度0
サービスが利用できなくなっても自社及び顧客に、直ちに影響はない。
ポイントは、影響が出るのは「顧客にも」か「自社だけ」か「どちらにも直ちには出ない」かという観点だけで重要度を判断することです。
a1:電子メール(ヘルプデスクの問い合わせ対応)の重要度
表2の電子メールの利用方法の記載より、顧客(ヘルプデスク利用者)からの問合せの受付と顧客への回答は主に電子メールで行っています。電話連絡は「機密性の高い情報が含まれる場合」に限られた例外的な手段です。電子メールが使えなくなると、顧客からの問合せメールが受け取れない、顧客への回答メールも送れないという状況になり、顧客とのやり取り自体が止まってしまいます。顧客は問合せの回答が来ない・連絡が取れないという状況になり、A社もヘルプデスクサービスを正常に提供できないという状況になります。したがって、影響を受けるのはA社だけでなく顧客にも直ちに影響があるので、表1の基準の 重要度2 に該当します。よって、a1 = 2 となります。
a2:人事・労務管理(マイナンバーを含む人事情報の管理・労務管理)の重要度
表2の人事・労務管理の利用方法の記載より、これは従業員情報や勤怠・給与などを扱う、完全に社内向けの業務に使うクラウドサービスです。人事・労務管理クラウドサービスが使えなくなると、従業員の勤怠の確認や入力ができない、給与計算などに影響が出るなど、A社の社内業務には直ちに影響が出ます。しかし、顧客向けのヘルプデスクサービスが直ちに止まるわけではないので、顧客への即時影響までは及ばないと考えられます。したがって、直ちに影響を受けるのはA社だけで、表1の基準の 重要度1 に該当します。よって、a2 = 1 となります。
以上により、a1 = 2、a2 = 1 が適切な組合せとなり、この問題の解答は「ク」になります。
