ITパスポート 令和7年度 問83：securityに関する問題

答えは c「P=(1), D=(3), C=(2), A=(4)」 です。

PDCAは仕事をうまく回すための4ステップ。P=計画→D=実行→C=確認→A=改善の順です。

• まず「どう監視するか決める」＝計画（P）=(1)
• 決めた手順どおり「実際に監視する」＝実行（D）=(3)
• それを第三者が「ちゃんとできてる？と評価する」＝確認（C）=(2)
• 問題が見つかったので「やり方を直す」＝改善（A）=(4)

👉 覚え方：「計画して→やって→チェックして→直す」を作業の言葉に当てはめるだけ。

「客観的に評価」＝チェック（C）に当たるのが最大のポイントです。

なぜこれが正解か

正解は c。PDCAサイクルは Plan（計画）→Do（実行）→Check（評価）→Act（改善）の順に回す。各作業を当てはめると、(1)目的・手順を定める＝P、(3)手順に従い監視する＝D、(2)第三者が客観的に評価する＝C、(4)問題点の是正処置として方法を変更する＝A。よって P=(1), D=(3), C=(2), A=(4)。

各選択肢の解説

• a P=(1),D=(2),C=(3),A=(4)：DとCが逆。「評価」を実行に置いている。
• b P=(1),D=(2),C=(4),A=(3)：DもCも誤り。
• d P=(1),D=(3),C=(4),A=(2)：CとAが逆。「変更（改善）」を評価に置いている。

覚え方・ひっかけ注意

キーワードで判定：「定める＝P」「従って実施＝D」「評価する＝C」「是正・変更する＝A」。特に“客観的に評価”はCheck、“是正処置として変更”はActと結びつける。動詞でフェーズを見分けるのがコツ。

理論的背景

ISMSのPDCAモデルとサーバ監視業務の対応付けは、情報セキュリティマネジメントの運用サイクルの理解を問う問題であり、正解はcの「P=(1), D=(3), C=(2), A=(4)」である。

PDCA各フェーズの定義と本問での対応を詳述する。P（Plan：計画）：リスクアセスメントに基づいて情報セキュリティ目標と手順を策定する。本問では(1)「サーバ監視の具体的な目的及び手順を定める」が計画フェーズに該当する。D（Do：実施）：計画に従って管理策を実装・運用する。本問では(3)「定められている手順に従ってサーバを監視する」が実施フェーズに該当する。C（Check：点検）：ISMS活動の実施結果を基準と比較して評価・確認する。本問では(2)「サーバ監視の作業内容を第三者が客観的に評価する」が点検フェーズに該当する。A（Act：改善）：点検の結果に基づいて不適合の是正処置・継続的改善を実施する。本問では(4)「発見された問題点の是正処置として、サーバの監視方法を変更する」が改善フェーズに該当する。

JIS Q 27001（ISO/IEC 27001）においてPDCAは現在「計画・運用・評価・改善」というJIS Q 9001の品質マネジメントシステムとも整合するHigher Level Structure（HLS）に基づく構造として採用されている。

実務での使われ方

ISMSのPDCAサイクルは理論上は年1回の内部監査・マネジメントレビューとして回るが、実際の情報セキュリティ運用では各活動の頻度が大きく異なる。

Pフェーズ（計画）の実務：年次のリスクアセスメント・情報セキュリティポリシーの見直し・監査計画の策定が主な活動。外部環境の変化（新規サイバー脅威の出現・規制改正・事業環境変化）に対応してリスク評価を更新する。Dフェーズ（実施）の実務：日々の運用活動（アクセスログ監視・脆弱性スキャン・セキュリティパッチ適用・インシデント対応）が該当する。SOCによるリアルタイム監視・SIEMアラートへの対応がDフェーズの継続的実施に相当する。Cフェーズ（点検）の実務：内部監査（年1回以上）・外部審査（認証審査・サーベイランス審査）・KPIによる有効性測定（インシデント件数・平均検出時間・パッチ適用率等）が該当する。Aフェーズ（改善）の実務：内部監査・インシデント事後分析（ポストモーテム）から得られた不適合事項・改善機会に対して、是正処置計画を立て実施する。この改善が次のPフェーズの入力となる循環を形成する。

試験での位置づけ

ISMSのPDCAとその各フェーズへの業務の対応付けはITパスポートのセキュリティ分野で毎回出題される最頻出項目の一つであり、PDCAの各フェーズの定義を正確に暗記することが確実な正答への鍵となる。本問の典型的な誤答パターンは「第三者評価（2）をA（改善）と混同する」ケースであり、評価・点検活動はC（Check）フェーズに属し、その結果を受けて改善行動を実施するのがA（Act）フェーズであるという順序関係を正確に把握することが必要である。誤答選択肢ア・イ・エは「D=(2)（点検をDoとする誤り）」を含んでおり、2の「第三者による客観的評価」がCフェーズであることを理解していれば誤答群を除外できる。

基本情報技術者試験ではPDCAサイクルに加え、JIS Q 27001の要求事項の詳細（リスクアセスメント・処理計画・適用宣言書・内部監査・マネジメントレビュー・継続的改善の各プロセス）まで問われる。

選択肢の発展補足

選択肢aとbが誤りである理由：D=(2)（第三者評価をDoとする）が明らかに誤りである。「実施（Do）」は計画に従って管理策を「実行する」フェーズであり、第三者が客観的に「評価する」という活動は点検（Check）に属する。選択肢dが誤りである理由：C=(4)（監視方法の変更をCheckとする）が誤りである。是正処置として監視方法を「変更する」という改善行動はA（Act）に属する。CheckフェーズはDで実施した活動を「評価・確認する」段階であり、変更・改善の実施はActフェーズである。なおPDCAサイクルは元来W・エドワーズ・デミングが統計的品質管理のために提唱した「デミングサイクル」が起源であり、品質マネジメント（ISO 9001）・環境マネジメント（ISO 14001）・情報セキュリティ（ISO 27001）・事業継続（ISO 22301）など多くのマネジメントシステム規格で採用されている汎用的な改善サイクルである。