ITパスポート過去問 令和7年度(2025年)問83
ISMSの運用にPDCAモデルを採用している組織において,サーバ監視に関する次の作業を実施する。各作業とPDCAモデルの各フェーズの組合せとして,適切なものはどれか。
〔作業〕
- (1)サーバ監視の具体的な目的及び手順を定める。
- (2)サーバ監視の作業内容を第三者が客観的に評価する。
- (3)定められている手順に従ってサーバを監視する。
- (4)発見された問題点の是正処置として,サーバの監視方法を変更する。
選択肢
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
PDCAは、P(Plan)が目的や手順を定める段階、D(Do)が定めた手順に従って実施する段階、C(Check)が監査やレビューなどで客観的に評価する段階、A(Act)が見つかった問題点に対して是正し改善する段階です。作業(1)はP、(3)はD、(2)はC、(4)はAに対応するので、組合せは「ウ」が適切です。
Point
ISMSの運用で用いられるPDCAについて、各フェーズ(Plan、Do、Check、Act)が具体的にどのような作業に対応するかを、作業内容の意味から判断できるようになることを目的としています。
解くために必要な知識
この問題を解くには、ISMS運用で用いるPDCA(Plan、Do、Check、Act)の各フェーズの役割を理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| ISMS | 情報セキュリティを継続的に管理し、改善するためのマネジメントの仕組み(Information Security Management System)です。 |
| PDCA | Plan(計画)、Do(実施)、Check(評価)、Act(改善・是正)を繰り返して、継続的に改善する考え方です。 |
PDCAの各フェーズで行うこと
| フェーズ | 行うこと | 代表例 |
|---|---|---|
| Plan(P) | 目的、基準、手順などを定めます。 | 方針策定、手順書作成、目標設定 |
| Do(D) | 定めた手順に従って実施します。 | 運用実施、作業記録の取得 |
| Check(C) | 実施結果を測定、監査、レビューなどで評価します。 | 内部監査、外部監査、結果の分析 |
| Act(A) | 評価で見つかった問題点に対して是正し、改善します。 | 是正処置、手順の改訂、再発防止策 |
判断ポイント
-
「目的及び手順を定める」はPlan(P)です。
-
「手順に従って実施する」はDo(D)です。
-
「第三者が客観的に評価する」はCheck(C)です。
-
「是正処置として変更する」はAct(A)です。
問題の解法手順
解き方
1. 各作業の動詞から役割を判定します
-
「定める」は計画なのでPです。
-
「従って実施する」は運用なのでDです。
-
「評価する」は確認なのでCです。
-
「是正処置として変更する」は改善なのでAです。
2. 作業(1)〜(4)をPDCAに対応付けます
| 作業 | 作業の要点 | フェーズ |
|---|---|---|
| (1) | 目的・手順を定める | P |
| (3) | 定めた手順で監視する | D |
| (2) | 第三者が客観的に評価する | C |
| (4) | 是正処置として監視方法を変更する | A |
3. 選択肢の表と照合します
P(1)・D(3)・C(2)・A(4)になっているのは「ウ」なので正解です。
選択肢ごとの解説
- ア:不正解
「ア」はPが(1)である点は適切です。しかし、(2)は「第三者が客観的に評価する」なのでCに分類され、(3)は「手順に従って監視する」なのでDに分類されます。「ア」はDとCの割当てが一致しません。
- イ:不正解
「イ」はPが(1)である点は適切です。しかし、(2)は評価なのでCでありDではありません。また、(4)は是正処置なのでAでありCではありません。さらに、(3)は実施なのでDでありAではありません。複数の割当てが一致しません。
- ウ:正解
「ウ」は(1)がPlan(P)、(3)がDo(D)、(2)がCheck(C)、(4)がAct(A)に対応しており、PDCAの定義どおりの割当てです。
- エ:不正解
「エ」はPが(1)、Dが(3)である点は適切です。しかし、(4)は是正処置なのでAに分類され、(2)は客観的評価なのでCに分類されます。「エ」はCとAの割当てが一致しません。
まとめ
PDCAは、P(Plan)が目的や手順を定める段階、D(Do)が定めた手順に従って実施する段階、C(Check)が監査やレビューなどで客観的に評価する段階、A(Act)が見つかった問題点に対して是正し改善する段階です。作業(1)はP、(3)はD、(2)はC、(4)はAに対応するので、組合せは「ウ」が適切です。
テクノロジ系 > 技術要素 > セキュリティ
「ア」はPが(1)である点は適切です。しかし、(2)は「第三者が客観的に評価する」なのでCに分類され、(3)は「手順に従って監視する」なのでDに分類されます。「ア」はDとCの割当てが一致しません。
「イ」はPが(1)である点は適切です。しかし、(2)は評価なのでCでありDではありません。また、(4)は是正処置なのでAでありCではありません。さらに、(3)は実施なのでDでありAではありません。複数の割当てが一致しません。
「ウ」は(1)がPlan(P)、(3)がDo(D)、(2)がCheck(C)、(4)がAct(A)に対応しており、PDCAの定義どおりの割当てです。
「エ」はPが(1)、Dが(3)である点は適切です。しかし、(4)は是正処置なのでAに分類され、(2)は客観的評価なのでCに分類されます。「エ」はCとAの割当てが一致しません。