令和5年度79テクノロジ系

ITパスポート 令和5年度 問79:securityに関する問題

PDCAモデルに基づいてISMSを運用している組織の活動において,次のような調査報告があった。この調査はPDCAモデルのどのプロセスで実施されるか。社外からの電子メールの受信に対しては,情報セキュリティポリシーに従ってマルウェア検知システムを導入し,維持運用されており,日々数十件のマルウェア付き電子メールの受信を検知し,破棄するという効果を上げている。しかし,社外への電子メールの送信に関するセキュリティ対策のための規定や明確な運用手順がなく,社外秘の資料を添付した電子メールの社外への誤送信などが発生するリスクがある。

  • aP
  • bD
  • cC正答
  • dA
正答:CC

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは c(C=Check/点検) です。

PDCAは「計画(P)→ 実行(D)→ 点検(C)→ 改善(A)」をぐるぐる回して良くしていく考え方。

今回の報告は、「受信対策はうまくいっている。でも送信対策は規定がなくて誤送信の危険がある」と、できている所とできていない所をチェックした内容です。これは“点検(C)”そのもの。

👉 覚え方:「現状をチェック・評価している=C(Check)」。

ヒント:「導入した(D)」「ルールを作る(P)」「見つけた問題を直す(A)」と区別。今回は“良し悪しを調べている”段階。

標準試験対策の基準レベル

なぜこれが正解か

正解は c(C:Check/点検・評価)。報告内容は「受信側のマルウェア対策は有効に機能している」と効果を評価しつつ、「送信側には規定がなく誤送信リスクがある」と不備を指摘している。これは運用結果を測定・評価し、計画との差異や問題点を洗い出す点検(Check)のプロセスに該当する。

各選択肢の解説

  • a P(Plan):ISMSの方針・目標・計画を策定する段階。
  • b D(Do):策定した計画に基づき対策を導入・運用する段階。
  • d A(Act):点検で見つかった問題を是正・改善する段階。

覚え方・ひっかけ注意

「効果が上がっている/リスクがある」と評価・指摘している=Check。「導入した(D)」と混同しやすいが、本文は導入そのものでなく“運用結果の調査”が主旨。見つけた不備を実際に直す段階がA(Act)。

上級誤答論破・背景理論まで深掘り

理論的背景

ISMSはISO/IEC 27001に準拠した情報セキュリティマネジメントシステムであり、PDCAサイクル(Plan-Do-Check-Act)を通じて継続的に改善する。各フェーズは次のように対応する:Plan(計画)=リスクアセスメントと管理策の選定・情報セキュリティ目標の設定・資源の確保。Do(実施)=管理策の実装・運用・従業員への訓練・インシデント管理手順の実行。Check(点検)=有効性の監視・測定・内部監査・マネジメントレビューによる実績評価・問題点の発見。Act(改善)=是正処置・継続的改善・次サイクルのPlanへのフィードバック。本問の調査報告は「受信対策が月数十件の検知効果を上げている(有効性の確認)」と「送信対策に規定・手順が欠如していてリスクがある(不備の発見)」という2つの評価行為であり、これはCheckフェーズの「監視・測定・内部監査」に明確に該当する。なお、ISO/IEC 27001:2022(最新版)ではPDCAの明示的な言及は整理されたが、運用思想としての継続的改善サイクルは同規格の根幹として維持されている。

実務での使われ方

Check段階の代表的活動は3種類ある。①常時監視:SIEMツール(Splunk・Microsoft Sentinel等)によるログの相関分析・異常検知、SOC(Security Operation Center)による24時間監視。②定期評価:四半期〜年次の内部監査による管理策の有効性評価、KPIによるセキュリティ指標のモニタリング(パッチ適用率・インシデント件数・訓練受講率等)。③マネジメントレビュー:経営層が定期的にISMSの全体評価を行い、リソース配分・方針変更の意思決定を行う場。本問で発見された「送信対策の規定不在」という不適合事項は、Check段階の報告書として経営層へ提出され、次のActフェーズで「電子メール送信時の情報漏えい防止規程の策定」「DLP(データ損失防止)ツールの導入検討」へとつながる。さらに次のPlanサイクルでこの対策が計画・予算化される流れになる。

試験での位置づけ

PDCAとISMSの組み合わせはITパスポートの超頻出テーマであり、毎年複数問が出題される。本問の設計上の「引っかけ」は「マルウェア検知システムを導入し、維持運用されており」という文言で、これがDoフェーズを連想させる意図的な配置にある。しかし設問は「この調査報告はどのプロセスか」と問いており、調査報告書を作成・提出する行為がCheckである点を見抜けるかが正答への鍵となる。応用情報技術者では残留リスク・リスク受容基準・適用宣言書(SoA)・認証審査(予備審査・本審査)のプロセスまで問われる。情報セキュリティマネジメント試験(SG)ではISMS構築の全工程が試験範囲となり、管理策の選定根拠・内部監査計画の立て方・マネジメントレビューのアジェンダまで問われる。

選択肢の発展補足

Plan(選択肢a)との混同を防ぐ観点から、Planフェーズの代表的成果物を押さえておくと有用である。Plan段階の産出物は「情報セキュリティ方針(基本方針)」「リスクアセスメント結果」「適用宣言書(SoA:Statement of Applicability)」「情報セキュリティ目標」であり、いずれも「何をするかを決める文書」である。Do(選択肢b)はそれらを実際に「やる」フェーズであり、「システムを導入する」「教育訓練を実施する」「インシデントに対応する」行為が該当する。Act(選択肢d)は是正処置であり、「規程を改訂する」「脆弱なシステムを更新する」「プロセスを改善する」という「直す・変える」行為が対応する。Check段階の「調査・評価・報告」→Act段階の「是正・改善」というセットの流れで理解するとPDCAの各段階が混同しにくくなる。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和5年度79/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

テクノロジ系の他の過去問

55
security
56
database
57
database
58
technology_element
59
network

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。