問65の正解: エテクノロジ系/セキュリティ
シャドーITの例として、適切なものはどれか。
この設問が問うていること
企業における情報セキュリティ上のリスクとなる「シャドーIT」の定義と具体例について問う設問です。
ア会社のルールに従い、災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。
選択肢アの解説: 会社の管理ルールに則った、データ保護(ディザスタリカバリ)活動の例です。
イ他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って、情報システムにログインした。
選択肢イの解説: 他人のパスワードを盗み見る「ショルダーハック(肩越し覗き見)」による不正ログイン行為の例です。
ウ他の社員にPCの画面をのぞかれないように、離席する際にスクリーンロックを行った。
選択肢ウの解説: ショルダーハックを未然に防止するための、推奨されるセキュリティ対策の例です。
エデータ量が多く電子メールで送れない業務で使うファイルを、会社が許可していないオンラインストレージサービスを利用して取引先に送付した。正解
選択肢エの解説: 会社が許可していない外部のオンラインストレージ(ITサービス)を業務で勝手に使用しており、シャドーITに該当するため正解です。
総合解説
シャドーITとは、企業の管理部門(情報システム部門など)から許可や承認を得ていない、またはその存在を把握されていないIT機器(私物のスマートフォンやPCなど)や外部サービス(個人向けクラウドストレージ、チャットツールなど)を、従業員が業務に利用する行為のことです。業務効率化のために良かれと思って使われることが多いですが、情報漏洩や不正アクセス、マルウェア感染のリスクを大きく高めるためセキュリティ管理上の問題となっています。したがって、正解はdです。
AIAIにその場で質問(デモ応答)
こんな聞き方もできます(タップで質問)