ITパスポート過去問 令和7年度(2025年)問38
情報セキュリティ監査の説明として,最も適切なものはどれか。
選択肢
- ア:一定の基準に基づいてITシステムの利活用に係る検証・評価を行い,ガバナンスの適切性などに対する保証や改善のための助言を行うもの
- イ:コンピュータの盗難や不正な持出しを物理的に防止し,情報セキュリティを確保するためのツール
- ウ:組織体の価値及び組織体への信頼を向上させるために,組織体におけるITシステムの利活用のあるべき姿を示すIT戦略と方針の策定及びその実現のための活動
- エ:組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報セキュリティ監査は,組織の情報資産におけるリスクマネジメントが,定められた基準に沿って効果的に実施されているかを客観的に検証・評価することです。
Point
この問題は,情報セキュリティ監査の定義と目的を理解しているかを問われています。
解くために必要な知識
この問題を解くには,情報セキュリティ監査と周辺概念(システム監査,ITガバナンス,セキュリティ対策)の理解が必要です。
情報セキュリティ監査とは組織の情報資産(データ,システム,ネットワーク,紙資料など)に関するリスクマネジメント(リスクの特定・評価・対策・運用)が効果的に実施されているかを基準に基づいて検証・評価する活動です。
監査は「対策を実施する」ではなく「実施状況を確かめる(検証・評価する)」点がポイントです。
問題の解法手順
- 問題文の「情報セキュリティ監査」という言葉から、評価の対象が「情報資産」や「リスクマネジメント」であることを特定します。
- 「監査」は単なる実施ではなく、第三者が客観的に「検証」または「評価」する活動であることを念頭に置きます。
- 選択肢エは「情報資産のリスクマネジメント」を「検証又は評価」すると説明しており、定義に完全に一致します。
選択肢ごとの解説
- ア:不正解
これは主にシステム監査の説明です。
「ITシステムの利活用に係る検証・評価」「ガバナンスの適切性に対する保証や助言」は,情報セキュリティに限らずIT全般を扱う表現です。
情報セキュリティ監査は,焦点が情報資産のリスクマネジメントの有効性に置かれます。
よって不適切です。
- イ:不正解
これは**物理的セキュリティ対策(防止策)**の説明です。
盗難や不正持出しを「物理的に防止するツール」は,監査(検証・評価)ではなく,対策そのものです。
よって不適切です。
- ウ:不正解
これはITガバナンスの説明です。
「あるべき姿を示すIT戦略と方針の策定」「実現のための活動」は,組織が運営として行う取り組みであり,監査(第三者的に検証・評価)ではありません。
よって不適切です。
- エ:正解
正しいです。
情報セキュリティ監査は,組織の情報資産に関わるリスクマネジメントが効果的に実施されているかを検証又は評価する活動であり,選択肢の内容と一致します。
まとめ
情報セキュリティ監査は,組織の情報資産におけるリスクマネジメントが,定められた基準に沿って効果的に実施されているかを客観的に検証・評価することです。
これは主にシステム監査の説明です。
「ITシステムの利活用に係る検証・評価」「ガバナンスの適切性に対する保証や助言」は,情報セキュリティに限らずIT全般を扱う表現です。
情報セキュリティ監査は,焦点が情報資産のリスクマネジメントの有効性に置かれます。
よって不適切です。
これは**物理的セキュリティ対策(防止策)**の説明です。
盗難や不正持出しを「物理的に防止するツール」は,監査(検証・評価)ではなく,対策そのものです。
よって不適切です。
これはITガバナンスの説明です。
「あるべき姿を示すIT戦略と方針の策定」「実現のための活動」は,組織が運営として行う取り組みであり,監査(第三者的に検証・評価)ではありません。
よって不適切です。
正しいです。
情報セキュリティ監査は,組織の情報資産に関わるリスクマネジメントが効果的に実施されているかを検証又は評価する活動であり,選択肢の内容と一致します。