A社は従業員300名のITサービス企業であり、ヘルプデスク業務のアウトソーシングサービスを提供している。
A社はオンプレミスのシステムを所有しておらず、顧客向けサービスのほか、社内業務でもクラウドサービスを利用している。
A社では、各従業員にPC及びスマートフォンを貸与している。
スマートフォンは勤怠管理などの社内業務だけに利用している。
A社では、クラウドサービスについての可用性に関する重要度の評価(以下、可用性に関する重要度の評価を可用性評価という)を本来実施すべきであったが、実施できていなかった。
そこで、A社の情報セキュリティリーダーであるB主任が、表1のとおり、A社がリスク評価で用いる可用性評価の基準を用いて可用性評価を実施することになった。
| 重要度 | 可用性評価の基準 | 該当するサービスの例 |
| 2 | サービスが利用できなくなると自社だけではなく、顧客にも直ちに影響がある。 | 顧客に提供しているサービス、顧客にサービスを提供するために利用している外部のサービス |
| 1 | サービスが利用できなくなると自社にだけ、直ちに影響がある。 | 重要度0 のサービスを除く、社内で利用しているサービス |
| 0 | サービスが利用できなくなっても自社及び顧客に、直ちに影響はない。 | 社内でデータの長期保存に利用しているサービス |
B主任はA社が利用しているクラウドサービスについて可用性評価を実施し、利用方法及び可用性に関する重要度を表2 のとおりまとめた。
| A 社が利用しているクラウドサービス | 利用方法 | 可用性に関する重要度 |
| 電子メール | ヘルプデスク利用者からの電子メールによる問合せの受付及び回答に利用する。 回答は原則として電子メールで行うが、回答に機密性の高い情報が含まれる場合は、あらかじめ登録されているヘルプデスク利用者の電話番号にA社から電話する。 | a1 |
| 人事・労務管理 | マイナンバーを含む人事情報の管理及び労務管理に利用する。 | a2 |
B主任は、表2の内容をA社の情報セキュリティ委員会に報告し、可用性に関する重要度が適切であることの承認を得た。
| 設問 | 表2中の a1 、 a2 に入れる数値の適切な組合せを、aに関する解答群の中から選べ。 |
aに関する解答群
| a1 | a2 | |
| ア | 0 | 0 |
| イ | 0 | 1 |
| ウ | 0 | 2 |
| エ | 1 | 0 |
| オ | 1 | 1 |
| カ | 1 | 2 |
| キ | 2 | 0 |
| ク | 2 | 1 |
| ケ | 2 | 2 |
答え ク
【解説】
電子メールは顧客からの問合せに対応するヘルプデスクで使用しているため、重要度は2になる。
人事・労務管理は、社内のみの使用で、サービスが利用でなくなると労務管理などは直ちに影響が出るので、重要度は1である。
| A 社が利用しているクラウドサービス | 利用方法 | 可用性に関する重要度 |
| 電子メール | ヘルプデスク利用者からの電子メールによる問合せの受付及び回答に利用する。 回答は原則として電子メールで行うが、回答に機密性の高い情報が含まれる場合は、あらかじめ登録されているヘルプデスク利用者の電話番号にA社から電話する。 | 2 |
| 人事・労務管理 | マイナンバーを含む人事情報の管理及び労務管理に利用する。 | 1 |
【キーワード】
・可用性
- 可用性(Availability)
セキュリティの要件の一つで、可用性とはシステムが継続して使用できる能力のことです。
もっと、「可用性」について調べてみよう。
戻る
一覧へ
次へ