ITパスポート過去問 平成31年度(2019年)問72
ISMSの導入効果に関する次の記述中のa,bに入れる字句の適切な組合せはどれか。
aマネジメントプロセスを適用することによって,情報の機密性,b及び可用性をバランス良く維持,改善し,aを適切に管理しているという信頼を利害関係者に与える。
選択肢
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSは、リスクマネジメントプロセスを適用してリスクを適切に管理し、情報の機密性・完全性・可用性をバランス良く維持、改善する仕組みです。したがって、aはリスク、bは完全性です。
Point
この問題は、ISMSが何を管理対象とするか(リスク)と、情報セキュリティの3要素(機密性・完全性・可用性)を正しく対応付けられるかを確認しています。
解くために必要な知識
この問題を解くには、ISMSの目的と、情報セキュリティの3要素(CIA)の理解が必要です。
用語の整理
| 用語名 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 組織が情報セキュリティを維持、改善するための管理の仕組みです。リスクマネジメントプロセスを用いて運用します。 |
| リスク | 情報資産に損失を与える可能性のある要因や事象のことです。ISMSでは、リスクの特定、分析、評価、対応などを行い、適切に管理します。 |
情報セキュリティの3要素(CIA)
| 要素 | 意味 |
|---|---|
| 機密性(Confidentiality) | 許可された者だけが情報にアクセスできる性質です。 |
| 完全性(Integrity) | 情報が正確で、改ざんや破壊がされていない性質です。 |
| 可用性(Availability) | 必要なときに情報やシステムを利用できる性質です。 |
他の選択肢に出てくる用語
| 用語 | 意味 | この問題での位置付け |
|---|---|---|
| 品質 | 製品やサービスが要求事項を満たす度合い | ISMSの中心概念ではなく、aには適しません |
| 妥当性 | 目的に対して適切である度合い | 情報セキュリティの3要素には含まれず、bには適しません |
問題の解法手順
穴埋めの手がかりを確認する
問題文の要点は次の2点です。
-
aは「マネジメントプロセスを適用する」対象であり、「適切に管理している」対象でもあります。
-
bは「機密性,b及び可用性」と並ぶ語であり、情報セキュリティの基本要素を構成します。
aに入る語を決める
ISMSは情報セキュリティを目的としたマネジメントシステムであり、リスクマネジメントプロセスを適用してリスクを管理します。
- よって、aはリスクが適切です。
bに入る語を決める
情報セキュリティの3要素はCIAであり、次の組合せです。
| 要素 | 内容 |
|---|---|
| 機密性 | 許可された者だけが情報にアクセスできること |
| 完全性 | 情報が正確で、改ざんや欠損がないこと |
| 可用性 | 必要なときに利用できること |
- よって、bは完全性が適切です。
組合せを選ぶ
aがリスク、bが完全性となる組合せを選ぶため、正解は「ウ」です。
選択肢ごとの解説
- ア:不正解
aが品質、bが完全性です。bの完全性は情報セキュリティの3要素として適切ですが、ISMSが適用するのは品質マネジメントプロセスではなくリスクマネジメントプロセスであるため、aが不適切です。
- イ:不正解
aの品質、bの妥当性はいずれも、問題文の文脈で求められている語句ではありません。情報セキュリティの3要素にも妥当性は含まれません。
- ウ:正解
aはリスク、bは完全性であり、ISMSと情報セキュリティの3要素の説明として整合します。
- エ:不正解
aのリスクは適切ですが、bの妥当性は情報セキュリティの3要素(機密性・完全性・可用性)に含まれないため不適切です。
まとめ
ISMSは、リスクマネジメントプロセスを適用してリスクを適切に管理し、情報の機密性・完全性・可用性をバランス良く維持、改善する仕組みです。したがって、aはリスク、bは完全性です。
テクノロジ系 > 技術要素 > セキュリティ
aが品質、bが完全性です。bの完全性は情報セキュリティの3要素として適切ですが、ISMSが適用するのは品質マネジメントプロセスではなくリスクマネジメントプロセスであるため、aが不適切です。
aの品質、bの妥当性はいずれも、問題文の文脈で求められている語句ではありません。情報セキュリティの3要素にも妥当性は含まれません。
aはリスク、bは完全性であり、ISMSと情報セキュリティの3要素の説明として整合します。
aのリスクは適切ですが、bの妥当性は情報セキュリティの3要素(機密性・完全性・可用性)に含まれないため不適切です。