ITパスポート過去問 令和5年度(2023年)問79
PDCAモデルに基づいてISMSを運用している組織の活動において,次のような調査報告があった。この調査はPDCAモデルのどのプロセスで実施されるか。
社外からの電子メールの受信に対しては,情報セキュリティポリシーに従ってマルウェア検知システムを導入し,維持運用されており,日々数十件のマルウェア付き電子メールの受信を検知し,破棄するという効果を上げている。しかし,社外への電子メールの送信に関するセキュリティ対策のための規定や明確な運用手順がなく,社外秘の資料を添付した電子メールの社外への誤送信などが発生するリスクがある。
選択肢
- ア:P
- イ:D
- ウ:C
- エ:A
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
調査報告は、導入済みの対策が有効に機能しているかを確認し、運用上の不足や新たなリスクを見つける内容です。これはPDCAのCheck(点検・評価)で行われます。
Point
PDCAの各プロセスが何を行う段階かを区別できるようにすることがねらいです。特に、運用中の対策について、効果が出ている点と不足している点を調べて評価する活動がC(Check)であることを理解することが求められます。
解くために必要な知識
この問題を解くには、ISMSをPDCAで運用するときに、各段階で何を行うかを理解している必要があります。
用語の整理
| 用語 | 意味 |
|---|---|
| PDCA | Plan(計画)、Do(実行)、Check(評価)、Act(改善)を繰り返し、継続的に改善する管理手法です。 |
| ISMS(情報セキュリティマネジメントシステム) | 組織の情報セキュリティを管理し、PDCAで継続的に改善する仕組みです。 |
| 情報セキュリティポリシー | 組織の情報セキュリティの基本方針です。 |
| マルウェア | 悪意のあるソフトウェアの総称です。 |
PDCAの典型的な作業
| 段階 | 典型的な作業例 |
|---|---|
| P(Plan) | 規定や手順を作る、リスクを特定する、対策計画を立てる |
| D(Do) | 対策を導入する、決めた手順で運用する |
| C(Check) | 監視・測定、内部監査、記録の確認などで有効性と問題点を評価する |
| A(Act) | 規定や手順の改定、是正処置の実施、次の計画への反映 |
他の選択肢に出てくる用語
| 用語 | 意味 |
|---|---|
| 規定 | 組織内で守るべきルールとして定めた文書です。 |
| 運用手順 | 運用を実施する具体的な手順書です。 |
| 誤送信 | 本来送るべき相手以外に情報を送ってしまう事故です。 |
| リスク | 目的達成を妨げる不確かさの影響であり、発生可能性と影響の大きさで捉えます。 |
問題の解法手順
各選択肢の整理
| 選択肢 | PDCA | 段階の内容 | この問題文にある表現 |
|---|---|---|---|
| ア | P(Plan) | 方針、目標、規定、手順などを定める | 送信に関する規定や手順がない、という指摘はあるが、作る活動自体は書かれていない |
| イ | D(Do) | 定めた対策を導入し、運用する | 受信メールに対して検知システムを導入し、維持運用している |
| ウ | C(Check) | 監視・測定・監査などで結果を確認し、有効性や問題点を評価する | 効果が出ていること、不足がありリスクがあることを調査報告として評価している |
| エ | A(Act) | 是正処置や改善として、規定・手順などを見直し改定する | 不足の指摘はあるが、改定したとは書かれていない |
結論
調査報告は、運用結果の有効性と不足点を評価しているため、C(Check)に該当します。
選択肢ごとの解説
- ア:不正解
P(Plan)は、情報セキュリティの目標設定や、規定・手順の整備などを行う段階です。設問の内容は、対策の効果や不足点を調査報告として評価しているため、Pには当たりません。
- イ:不正解
D(Do)は、マルウェア検知システムの導入・維持運用など、決めた対策を実行する段階です。設問は実行そのものではなく、実行結果の評価と不足点の把握なので、Dではありません。
- ウ:正解
C(Check)は、監視・測定・内部監査などで運用結果を確認し、有効性や問題点を評価する段階です。受信メール対策の効果と、送信メール対策の不足によるリスクを調査報告として把握しているため、「ウ」が正解です。
- エ:不正解
A(Act)は、Checkで見つかった問題に対して是正・改善を行い、規定や運用手順を改定する段階です。設問では不足が指摘されているだけで、改定したとは書かれていないため、Aではありません。
まとめ
調査報告は、導入済みの対策が有効に機能しているかを確認し、運用上の不足や新たなリスクを見つける内容です。これはPDCAのCheck(点検・評価)で行われます。
テクノロジ系 > 技術要素 > セキュリティ
P(Plan)は、情報セキュリティの目標設定や、規定・手順の整備などを行う段階です。設問の内容は、対策の効果や不足点を調査報告として評価しているため、Pには当たりません。
D(Do)は、マルウェア検知システムの導入・維持運用など、決めた対策を実行する段階です。設問は実行そのものではなく、実行結果の評価と不足点の把握なので、Dではありません。
C(Check)は、監視・測定・内部監査などで運用結果を確認し、有効性や問題点を評価する段階です。受信メール対策の効果と、送信メール対策の不足によるリスクを調査報告として把握しているため、「ウ」が正解です。
A(Act)は、Checkで見つかった問題に対して是正・改善を行い、規定や運用手順を改定する段階です。設問では不足が指摘されているだけで、改定したとは書かれていないため、Aではありません。