ITパスポート 令和6年度 問43：service_managementに関する問題

答えは b「a, b」 です。

ファシリティマネジメントとは“建物や設備・部屋など、ハコ（物理的な場所）を守る・管理する”こと。

• a コンピュータ室に入れる人を許可した人だけにする（入室管理）→ 部屋を守る◎
• b コンピュータの置き場所を示す看板を出さない（場所を隠して狙われにくくする）→ 設備を守る◎

👉 覚え方：ファシリティ＝「建物・部屋・設備（ハコ）」を守ること。

c「PCにウイルス対策ソフトを入れる」は、建物ではなく“中身（データやソフト）”を守る話なので、ファシリティマネジメントには入りません。

なぜこれが正解か

正解は b（a, b）。ファシリティマネジメントは、建物・施設・設備など物理的環境（ファシリティ）を最適な状態に維持・保全する管理活動。物理的な安全対策がこれに含まれる。

• a コンピュータ室への入室を認可者だけに限定：物理的な入退室管理でファシリティ対策。
• b コンピュータ設置場所の標識を掲示しない：場所を秘匿し物理的な攻撃・侵入リスクを下げる物理的セキュリティ対策。

各選択肢の解説

• c 利用者PCにマルウェア対策ソフトを導入：これは論理的な情報セキュリティ対策であり、施設・設備の維持保全（ファシリティ）には当たらない。

覚え方・ひっかけ注意

ファシリティ＝「物理的・施設/設備」の対策（入退室管理、施錠、耐震・空調・電源・消火設備、設置場所の秘匿など）。ソフトウェア・データ・ネットワーク上の対策（マルウェア対策、暗号化、アクセス権設定）は論理的対策で別物。「ソフトを入れる＝論理対策」と判断してcを外す。

理論的背景

ファシリティマネジメント（FM：Facility Management）は「施設・設備・環境を最適に管理・運用することで組織の活動を支援するマネジメント活動」と定義され、ISO 41001として国際規格化されている。IT文脈でのファシリティマネジメントは「データセンター・コンピュータ室・ネットワーク設備などの物理的インフラの管理」を指し、電力・冷却・物理セキュリティ・防災が主要管理領域となる。

正解bの「a（認可者のみコンピュータ室入室）とb（コンピュータ設置場所の標識非掲示）」が正しい理由を分析する。

aの「コンピュータ室への入室制限（認可者のみ）」は「物理的アクセス制御（Physical Access Control）」の典型的対策であり、ICカード・生体認証・セキュリティゲートによる実装が標準。これは施設への不正侵入・情報機器の物理的窃盗・破壊を防ぐファシリティマネジメントの核心的対策。

bの「コンピュータ設置場所の標識非掲示」は「セキュリティ・バイ・オブスキュリティ（Obscurity：隠ぺいによるセキュリティ）」の実践であり、攻撃者がターゲットを特定しにくくする「物理的セキュリティの情報管理対策」として位置づけられる。これもファシリティマネジメントの物理的情報セキュリティ対策に含まれる。

cの「利用者PCへのマルウェア対策ソフト導入」はソフトウェアによる論理的（技術的）セキュリティ対策であり、物理的施設・設備の管理であるファシリティマネジメントの範疇外となる。

実務での使われ方

データセンターのファシリティマネジメントは「TIA-942（Telecommunications Infrastructure Standard for Data Centers）」「Uptime Institute Tier分類」といった国際標準に基づいて実施される。Tier分類（I〜IV）はデータセンターの冗長性・可用性を規定し、金融機関・病院・基幹通信事業者ではTier III（99.982%可用性・冗長電源+冷却）以上が要件となることが多い。

物理セキュリティ対策の多層防御（Defense in Depth）モデルは「エリア＞建物外周＞建物入口＞フロア入口＞サーバールーム入口＞機器ラック」という同心円状の階層で設計される。各層での入室制御（認証方式・ログ記録）、CCTV監視、24時間有人警備、タンパーディテクション（改ざん検知）が組み合わされる。近年のゼロトラストセキュリティの文脈でも「物理的アクセス制御のログとITシステムのアクセスログを相関分析する」フィジカルセキュリティ情報管理（PSIM：Physical Security Information Management）が注目されている。

試験での位置づけ

ファシリティマネジメントはITパスポートのサービスマネジメント・情報セキュリティ分野で「どの対策がファシリティマネジメントの範疇か」という識別問題として出題される。本問の核心は「物理的・施設的対策（FM）vs 論理的・ソフトウェア的対策（情報セキュリティ管理）」の区別にある。マルウェア対策がFMでないことは明確だが、「標識の非掲示」がFMに含まれると理解できるかどうかが難易度を上げる設問設計。

基本情報技術者ではISO/IEC 27002（情報セキュリティ管理策の実践規範）の「物理的セキュリティ（Physical and environmental security）」ドメインとの対応関係が問われる。情報セキュリティマネジメント試験（SG）では「ISMS（ISO/IEC 27001）の物理的および環境的管理策」の詳細実装が出題される。

選択肢の発展補足

cのマルウェア対策ソフトの分類詳細：マルウェア対策ソフト（アンチウイルス・EDR：Endpoint Detection and Response）は「技術的セキュリティ対策（Technical Controls）」に分類され、ISMS管理策の「マルウェアに対する管理策」に対応する。これはOSやアプリケーションの脆弱性管理・パッチ管理・アクセス制御（IAM）などと同じ「論理的・技術的対策」の層に属し、「施設・設備の物理的管理」であるファシリティマネジメントとは明確に区別される。

「すべての項目が正解」という選択肢の罠の構造：本問でa, b, c全てをFMと誤選択する場合、「コンピュータのセキュリティ対策はすべてFM」という広すぎる概念理解が原因。FMの「F（Facility）」が「施設・建物・物理的設備」を指すことを再確認し、「PCソフトウェアの管理はFacilityではない」という境界設定ができることが正答への鍵。

FM vs IT Service Managementの概念的関係：ファシリティマネジメント（物理環境の管理）はITサービスマネジメント（ITサービスの提供・品質管理）の「前提条件インフラ」を担う。両者は独立した管理領域だが、データセンター運営では両者を統合管理する「統合型インフラ管理（DCIM：Data Center Infrastructure Management）」が標準的アーキテクチャとして普及している。