Agent Grow Tech Notes
👮

【セキュリティ】基本情報:令和7年度(科目B:問6)情報セキュリティリスクアセスメント

かっつ
に公開
基本情報技術者試験
情報処理技術者試験
基本情報技術者
資格試験
情報セキュリティ
idea

基本情報技術者試験

今回は、久しぶりに科目Bの情報セキュリティの問題について解説します。
出題される問題数はプログラミングの方が多いのですが、情報セキュリティも必ず出題されます。
しっかりと理解し、合格をより確実なものにしましょう!

今回のサンプル

こちらの公開問題を使い、解説をします。
出典:基本情報技術者試験(FE)公開問題(令和7年度 科目B)

科目B

この問題を使います。

ストーリーの要約

舞台は電子機器メーカーの本社工場です。
両方ともサーバルームがあり、その運用について差はないようです。

ファイルサーバのバックアップリストアについての内部監査を受けます。
問題文を分割して、ポイントを見てみましょう。

バックアップ

  • 土曜フルバックアップ
  • 火曜と木曜増分バックアップ
  • 取得する時刻はいずれも午前2時
  • いずれも翌朝10時(土曜深夜の場合は月曜朝)媒体(テープ)を交換
  • 世代管理の期間は1カ月

リストア

  • フルバックアップからは平均4時間かかる
  • 増分バックアップからは1回分につき平均0.25時間かかる

更に、注記に注目です。
情報処理技術者試験で表や図が出てくる時は、だいたい注記に解答のヒントが埋め込まれています。

  • RPOは72時間:障害発生時点から72時間前の状態に戻せるようにする
  • RTOは120時間:障害発生から120時間以内に復旧させる

ISMS認証基準の改正


ここでは「改正されるから、新しい基準で審査される」程度の理解で良いと思われます。
また、解答するためにはあまり関係ないかもしれませんが、用語の意味は理解しておいた方が良いでしょう。

  • ICT:情報通信技術であり、コミュニケーションや業務効率化などのために活用される
  • ISMS認証:CIA(機密性、完全性、可用性)を国際標準に準拠して構築・運用していることを、第三者の審査機関が評価・認証する制度

そして情報セキュリティの最高責任者であるBさんは、それについて問題ないと判断しました。
しかし、このあと内部監査で質問を受けます。

それに対するBさんの回答を、解答として考えていきます。

解き方


解答の選択肢は9つありますが、空欄ごとの解答の組合せです。
実質空欄ごと2択か3択なので、見た目にびびらず確実に空欄ひとつずつで考えましょう。

空欄 a1


さきほど、注記にRPOの記載がありましたね?
この記事では『障害発生時点から72時間前の状態戻せるようにする』と説明しました。

金曜日の正午に障害が発生したら、72時間前はいつでしょうか?
選択肢は2つです。

  • 月曜日の正午
  • 火曜日の正午

時間に直して考えたら、金曜日の正午から何日前でしょうか?
72時間 ÷ 24時間(1日) = 3日

金曜日から3日前に遡ってみましょう。
1日前(木)、2日前(水)、3日前(火)、ということは火曜日の正午です。

空欄 a2


さきほどの空欄a1はRPOでした。
流れから察すると次はRTOですが、その通りですので注記を思い出しましょう。
この記事では『障害発生から120時間以内に復旧させる』と説明しました。

ただし、ここでは120時間以内かどうかは考えませんので、一旦忘れても大丈夫です。
実際に「何時間かかるのか?」が問われています。

ポイントは、リストアするのに必要な媒体です。

  • 障害が発生したのは木曜の正午
  • 全データが消失(フルバックアップは必須)
  • 増分バックアップも、フルバックアップ以降の分は必要

まずフルバックアップですが、直近である先週土曜日に取得した1本だけあれば大丈夫です。
『フル』なので、その時点の全てのデータが復旧可能です。

そして増分バックアップは、上記のフルバックアップから、障害発生直前までが必要です。
火曜と木曜の午前2時に取得しています。
木曜の正午から逆算すると直近の火曜と木曜それぞれ1本ずつの計2本となります。

あとは、それぞれの復旧にかかる時間を計算します。

  • フルバックアップ1本:4時間 × 1本 = 4時間
  • 増分バックアップ2本:0.25時間 × 2本 = 0.5時間
  • 合計:4時間 + 0.5時間 = 4.5時間

空欄 a3


最後に「誰が承認するのか?」を考えます。

選択肢は3つです。

  • CISO
  • 情報システム部の担当者
  • 内部監査室長

経営・業務の観点で考えると、すぐに解答が導けると思います。

まず、内部監査室長は事業(や業務など)に関する承認をする立場ではありません
承認が正しく実施されているか?」を監査する立場です。

次に、情報システム部の担当者は『担当者』ですよね?
責任者ではありませんよね?
業務としては『承認する側』ではなく『承認される側』になります。

消去法になりましたが、CISOが正解です。
問題文に、情報セキュリティの責任者である旨が記載してあります。

模範解答

ここまでの空欄a1~a3の解説を踏まえると、正解となります。

  • a1:火曜日の正午
  • a2:4.50
  • a3:CISO

さいごに

事業継続に関するリスク対策は、試験でもよくテーマになりますが実務でも重要です。
(だからこそ出題されるのだと思いますが)

今回は、計算問題と知識問題の組合せや監査に関する内容も含まれた幅広い内容でした。

ここまでお付き合い頂き、ありがとうございました。

Agent Grow Tech Notes
Agent Grow Tech Notes

Agent Grow エンジニアによるテックブログです!

Discussion