ITパスポート 令和6年度 問86：securityに関する問題

答えは c です。「サーバ管理者の仕事ぶりを、第三者が客観的にチェックする」こと。

PDCAは、計画（P）→実行（D）→点検（C）→改善（A）のサイクルを回して、だんだん良くしていく考え方です。

C（Check＝点検）は「ちゃんとできているか確かめる」段階。cの「第三者がチェックする（監査）」がまさに点検です。

👉 覚え方：「C＝Check＝確かめる・チェックする」。

ほかの選択肢：a 結果をもとに直す＝A（改善）／b 計画を立てるための洗い出し＝P（計画）／d 手順どおりに運用・監視する＝D（実行）。「監視（D）」と「監査（C）」が紛らわしいので注意。

なぜこれが正解か

正解は c。PDCAサイクルのC（Check＝点検・評価）は、実施した運用が計画どおり機能しているかを評価・監査する段階。「サーバ管理者の業務内容を第三者が客観的に評価する」は監査にあたり、Cに該当する。

各選択肢の解説

• a 監査結果に基づく是正処置（監視方法の変更）：点検結果を受けて改善する行為なので A（Act＝改善）。
• b 情報資産の洗い出し：対策と目標を決める準備なので P（Plan＝計画）。
• d 運用手順に従い動作を監視：定めた手順を実施する D（Do＝実行）。

覚え方・ひっかけ注意

dの「監視」とcの「監査（評価）」が最大のひっかけ。"日常運用の監視＝Do""第三者による客観評価＝Check"と区別する。aの「是正処置」はCheckの結果を受けた次段階Actである点も押さえる。

理論的背景

PDCAモデル（Plan-Do-Check-Act）はエドワーズ・デミング（W. Edwards Deming）が広めた継続的改善のマネジメントサイクルであり、ISO/IEC 27001に基づくISMS（情報セキュリティマネジメントシステム）の運用モデルとして正式採用されている。各フェーズの定義：Plan（計画）はリスクアセスメントに基づく情報セキュリティ目的の設定・管理策の選択。Do（実施）は計画した管理策・プロセスの実装・運用。Check（確認）はISMSのパフォーマンス・目的達成度の監視・測定・分析・評価、および内部監査・マネジメントレビュー。Act（改善）は是正処置・継続的改善の実施。本問の正解c「サーバ管理者の業務内容を第三者が客観的に評価する」はCheckの「内部監査」または「外部監査」に相当し、実施されているプロセスが計画・基準通りか客観的に評価することがCheck（確認）の核心的活動。なお現行ISO/IEC 27001：2022年版ではPDCAを明示的には記述せず「改善の継続的サイクル」として一般化されているが、概念自体は維持されている。

実務での使われ方

ISMSのCheck（確認）フェーズは実務では「内部監査」と「マネジメントレビュー」の2主要活動として実施される。内部監査ではISO/IEC 27001附属書A管理策の実施状況を監査チェックリストに基づいて検証し、適合性（規格要件との整合）と有効性（リスク低減への実際の効果）を評価する。第三者による外部監査（認証機関による認証審査）はISMS認証取得・維持のために3年ごとの認証更新審査＋毎年のサーベイランス審査として実施される。マネジメントレビューは経営陣がISMSのパフォーマンス指標（KPIの達成率・インシデント統計・監査結果・利害関係者のフィードバック）を評価して戦略的な改善方向を決定するプロセス。SOC 2報告書やISMS認証はISMSのCheckとActの証跡として顧客・パートナーへの信頼性証明にも活用される。

試験での位置づけ

PDCAサイクルとISMSの各フェーズへの活動のマッピングは、ITパスポートのセキュリティ管理分野で頻出の問題パターン。本問のように「4つの選択肢が異なるISMSフェーズの活動例に対応している」という設問は高難度の識別問題。各フェーズの代表的活動を対応表として整理することが重要：Plan→リスクアセスメント・情報資産台帳作成・管理策の選択、Do→管理策の実装・教育訓練・脆弱性スキャン・ログ監視の実施、Check→監査・パフォーマンス評価・KPI測定、Act→是正処置・改善策の実施。基本情報技術者（FE）ではISO/IEC 27001の管理策の分類（技術的・物理的・管理的・人的）・ISMS認証の審査プロセス（文書審査・現地審査）・ISMSの範囲設定まで問われる。

選択肢の発展補足

選択肢aは「監査結果に基づいた是正処置としてサーバ監視方法を変更する」であり、「是正処置の実施」はAct（改善）の典型的活動。Checkで発見された不適合に対しての是正措置（Corrective Action）はActに位置する。選択肢bは「サーバ室内の情報資産を洗い出す」であり、情報資産の特定・分類はリスクアセスメントの前提作業としてPlan（計画）の活動。選択肢dは「定められた運用手順に従ってサーバの動作を監視する」であり、「定められた手順通りの実施」はDo（実施）の典型的活動。「監視」という語がCheckに見えやすい誤答を引き起こすが、「計画されたプロセスの実施としての監視（Do）」と「パフォーマンスの評価・測定としての監視（Check）」は目的が異なる点が識別ポイント。是正処置の発動前に不適合の根本原因分析（Root Cause Analysis）を行うことがISO 9001・ISO/IEC 27001の両方で求められており、単なる表面的な修正でなく再発防止を目的とすることがActの本質。