問13

A社は従業員300名のITサービス企業であり，ヘルプデスク業務のアウトソーシングサービスを提供している。A 社はオンプレミスのシステムを所有しておらず，顧客向けサービスのほか，社内業務でもクラウドサービスを利用している。A 社では，各従業員に PC 及びスマートフォンを貸与している。スマートフォンは勤怠管理などの社内業務だけに利用している。 A 社では，クラウドサービスについての可用性に関する重要度の評価（以下，可用性評価という）を本来実施すべきであったが，実施できていなかった。そこで，A 社の情報セキュリティリーダーである B 主任が，表 1 のとおり，A 社がリスク評価で用いる可用性評価の基準を用いて可用性評価を実施することになった。 表1 A社がリスク評価で用いる可用性評価の基準 重要度2: サービスが利用できなくなると自社だけではなく，顧客にも直ちに影響がある。（例: 顧客に提供しているサービス，顧客にサービスを提供するために利用している外部のサービス） 重要度1: サービスが利用できなくなると自社にだけ，直ちに影響がある。（例: 重要度 0 のサービスを除く，社内で利用しているサービス） 重要度0: サービスが利用できなくなっても自社及び顧客に，直ちに影響はない。（例: 社内でデータの長期保存に利用しているサービス） B 主任は A 社が利用しているクラウドサービスについて可用性評価を実施し，利用方法及び可用性に関する重要度を表2のとおりまとめた。 表2 B主任がまとめた可用性評価の結果（抜粋） 電子メール（重要度: a1）: ヘルプデスク利用者からの電子メールによる問合せの受付及び回答に利用する。回答は原則として電子メールで行うが，回答に機密性の高い情報が含まれる場合は，あらかじめ登録されているヘルプデスク利用者の電話番号にA社から電話する。 人事・労務管理（重要度: a2）: マイナンバーを含む人事情報の管理及び労務管理に利用する。 B 主任は，表 2 の内容を A 社の情報セキュリティ委員会に報告し，可用性に関する重要度が適切であることの承認を得た。 設問: 表2中の a1, a2 に入れる数値の適切な組合せを選べ。