令和２年度 秋期 応用情報技術者試験 午後問１過去問題解説

今回は、令和2年度 秋期 応用情報技術者試験 午後問1を解説します。テーマは内部不正による情報漏えい対策です。通信教育事業を展開するA社を舞台に、USBメモリの不正使用やメール誤送信といった多くの組織で実際に起こり得るリスクに対し、どのように技術的・組織的な対策を講じるべきかが問われています。内部不正の典型モデルである「不正のトライアングル」を軸に、動機・機会・正当化のどこに対策を打てば効果が出るのかを考える良問です。単なる用語暗記だけでは対応できず、与えられたシナリオを読み取りながら「状況に最も適した対策」を選ぶ思考力が試されます。

まず問題の背景として、A社のネットワーク構成と、社内で発生している情報管理上の課題を整理します。USBメモリの持ち込み禁止を規定しているにもかかわらず、管理の隙を突いて無断利用が行われている点や、メール誤送信が送信者のチェックだけに依存していて組織的な抑止力が働いていない点が指摘されています。これらの課題が、内部不正を誘発する「機会」を与えてしまっていることを、問題文の描写から明確に読み取る必要があります。

続いて設問を通して、どのような対策が有効であるかを一つずつ検討していきます。USBメモリ対策では、「持ち込み禁止」というルールだけでは実効性が低く、PC管理システムによるデバイス制御や利用ログ取得といった技術的手段が不可欠になります。これは、悪意ある利用者が規定を無視した行動をとる可能性を前提にしており、物理的・技術的に「できない環境」を作ることが、内部不正の芽を摘むために重要であることを示しています。

メール誤送信に関しては、送信者本人による自己確認だけでは防ぎきれないケースがあるため、上司承認機能の導入が求められます。特に機密性の高い情報を送る際には、第三者の目によるチェックが効果的です。また、問題文では「添付ファイルの取り扱い」にも触れており、パスワード付きZIPファイル（いわゆるPPAP）のような対策が必ずしも適切ではない理由、どのように改善すべきかといった点も踏まえて考察します。

さらに、内部不正が発覚した際の追跡に関わるデジタルフォレンジックスの概念も重要です。法的証拠として利用可能な情報を得るには、ログの正確性や改ざん防止が欠かせません。プロキシサーバで個人を特定するために必要な設定（利用者認証を紐付けること）を理解しておくことで、ログの活用方法と限界を正しく把握できます。

最後に、内部不正の抑止効果として「対策の告知」が持つ意味を解説します。実際に操作ログを取得していることや、デバイス管理が行われていることを従業員に知らせるだけでも、「捕まるリスクを感じる」ことで不正行為を思いとどまらせる心理的効果があります。この「心理的抑止」は、技術的対策と同じくらい重要な役割を果たします。

本問は、セキュリティ対策を単に列挙するのではなく、状況に即した適切な運用設計を考える力を磨くのに最適です。午後試験で情報セキュリティを得点源にしたい方はもちろん、内部不正防止ガイドラインやログ活用の実務感覚を整理したい方にも大いに役立つ内容となっています。