ITパスポート過去問 令和8年度(2026年)問100
ISMSの活動に関する記述として,最も適切なものはどれか。
選択肢
- ア:企業のコスト削減や製品の品質,サービスの改善などのために,業務プロセスを改善する。
- イ:顧客の満足度を高めるために,ITサービスの品質を継続的に改善する。
- ウ:情報資産を洗い出し,リスクの特定と分析及び評価を行い,情報資産を管理する。
- エ:製品とサービスの開発プロセスの成熟度を評価し,改善する。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSは、組織の情報資産を守るために、情報資産を特定し、リスクを特定・分析・評価したうえで、管理策を選んで運用し、継続的に見直す仕組みです。したがって、情報資産の洗い出しとリスク評価・管理を述べている「ウ」が最も適切です。
Point
この問題は、ISMSが何を目的として、どのような活動(情報資産の特定、リスクの特定・分析・評価、管理策の運用)を行う仕組みかを理解しているかを確認するものです。
解くために必要な知識
この問題を解くには、ISMS(情報セキュリティマネジメントシステム)の活動内容の理解が必要です。
用語の整理
| 用語名 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 情報資産の機密性・完全性・可用性を維持するために、方針、体制、手順、管理策を定めて継続的に運用・改善する仕組みです。 |
| 情報資産 | 組織が保有し、保護すべき情報およびそれを扱う仕組みです。例として、データ、文書、システム、媒体などが含まれます。 |
| リスクアセスメント(リスクの特定・分析・評価) | 脅威、脆弱性、影響などを基に、リスクを洗い出し、見積もり、優先度を決める一連の作業です。 |
ISMSでの基本的な流れ
| 手順 | 内容 |
|---|---|
| 1 | 情報資産を洗い出し、重要度や管理対象を明確にします。 |
| 2 | リスクを特定・分析・評価し、対応の優先度を決めます。 |
| 3 | 管理策を選定し、運用します。 |
| 4 | 監視、見直し、改善を継続します。 |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| BPR | 業務プロセスを抜本的に見直して再設計する考え方です。 |
| ITサービス管理(ITILなど) | 利用者に提供するITサービスの品質を、計画・提供・改善するための管理です。 |
| CMMI | ソフトウェア、システム開発などのプロセス成熟度を評価し改善するモデルです。 |
問題の解法手順
各選択肢の整理
| 選択肢 | 何の活動か | 合致する規格・枠組み | ISMSとして適切か |
|---|---|---|---|
| ア | 業務プロセス改善(効率化・品質向上など) | BPR、業務改善 | 不適切です。情報セキュリティ管理の活動ではありません。 |
| イ | ITサービス品質の継続的改善 | ITIL、ISO/IEC 20000 | 不適切です。ITサービス管理の説明です。 |
| ウ | 情報資産の特定とリスク評価、管理 | ISMS(ISO/IEC 27001) | 適切です。ISMSの中核活動です。 |
| エ | 開発プロセス成熟度の評価・改善 | CMMI | 不適切です。開発プロセス改善の説明です。 |
解答に至る手順
1. ISMSの対象を確認します
ISMSは情報資産を対象にし、リスクを管理します。
2. 選択肢が「情報資産」と「リスク評価・管理」を含むか確認します
情報資産の洗い出し、リスクの特定・分析・評価、管理まで書かれているのは「ウ」です。
選択肢ごとの解説
- ア:不正解
業務プロセスの改善によってコスト削減や品質向上を狙う内容です。情報資産のリスク評価や管理策の運用といった情報セキュリティ管理の活動ではないため、ISMSの説明として一致しません。
- イ:不正解
ITサービスの品質を継続的に改善する内容で、ITILなどのITサービス管理に近い考え方です。ISMSは情報資産の保護を目的とするため、サービス品質改善が中心になっている点が一致しません。
- ウ:正解
情報資産を特定し、リスクを特定・分析・評価した上で管理する流れは、ISMSで行うリスクアセスメントと管理策の選定・運用に該当します。ISMSの活動として最も適切です。
- エ:不正解
開発プロセスの成熟度評価と改善は、CMMIなどのプロセス改善や成熟度モデルの範囲です。情報資産のリスク管理を扱うISMSとは目的と対象が異なります。
まとめ
ISMSは、組織の情報資産を守るために、情報資産を特定し、リスクを特定・分析・評価したうえで、管理策を選んで運用し、継続的に見直す仕組みです。したがって、情報資産の洗い出しとリスク評価・管理を述べている「ウ」が最も適切です。
理解すべき用語
テクノロジ系 > 技術要素 > セキュリティ
業務プロセスの改善によってコスト削減や品質向上を狙う内容です。情報資産のリスク評価や管理策の運用といった情報セキュリティ管理の活動ではないため、ISMSの説明として一致しません。
ITサービスの品質を継続的に改善する内容で、ITILなどのITサービス管理に近い考え方です。ISMSは情報資産の保護を目的とするため、サービス品質改善が中心になっている点が一致しません。
情報資産を特定し、リスクを特定・分析・評価した上で管理する流れは、ISMSで行うリスクアセスメントと管理策の選定・運用に該当します。ISMSの活動として最も適切です。
開発プロセスの成熟度評価と改善は、CMMIなどのプロセス改善や成熟度モデルの範囲です。情報資産のリスク管理を扱うISMSとは目的と対象が異なります。