ITパスポート 令和6年度 問94:securityに関する問題
企業において情報セキュリティポリシー策定で行う作業のうち、次の作業の実施順序として、適切なものはどれか。 a: 策定する責任者や担当者を決定する。 b: 情報セキュリティ対策の基本方針を策定する。 c: 保有する情報資産を洗い出し、分類する。 d: リスクを分析する。
- aa→b→c→d正答
- ba→b→d→c
- cb→a→c→d
- db→a→d→c
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは a「a→b→c→d」 です。
会社のセキュリティルールを作るときの順番を問う問題。家のリフォームと同じで、いきなり工事は始められません。
1. まず「誰が責任者でやるか」を決める(a)
2. 次に「どんな方針でいくか」の大きな方向性を決める(b)
3. それから「守るべき大事なもの(情報)は何があるか」を洗い出す(c)
4. 最後に「どんな危険があるか」を調べる(d)
責任者がいないと何も始まらないので最初。方針という土台を決めてから、中身(資産→危険)を細かく見ていく流れです。
👉 覚え方:「人を決める→方針→宝物さがし→危険チェック」。
なぜこれが正解か
正解は a(a→b→c→d)。情報セキュリティポリシー策定は、まず推進体制を整え、上位の方針を固めてから、対象(情報資産)を把握し、リスクを評価するという上流から下流への流れで進む。
1. a 責任者・担当者の決定:体制がなければ作業を進められないため最初。
2. b 基本方針の策定:組織としての姿勢・目標を示す最上位文書。以降の判断基準になる。
3. c 情報資産の洗い出し・分類:守るべき対象を特定する。
4. d リスク分析:洗い出した資産に対し、脅威・脆弱性からリスクを評価する。
ひっかけ注意
c(資産洗い出し)とd(リスク分析)の順序が要注意。リスクは『資産に対して』分析するものなので、必ず資産特定(c)が先、リスク分析(d)が後になる。c→dが逆のb・dは誤り。bを先頭にするc・dは、方針より先に体制(a)を作る原則に反する。「体制→方針→資産→リスク」の流れで覚える。
理論的背景
情報セキュリティポリシーの策定プロセスはISO/IEC 27001(ISMS)およびIPAの「情報セキュリティポリシーに関するガイドライン」に基づく体系的アプローチに従う。本問の正解a「a→b→c→d(担当者決定→基本方針策定→情報資産洗い出し→リスク分析)」の論理的根拠:まず責任体制を確立(a)しなければ以降の作業の意思決定主体が不明確になる。次に組織のセキュリティに対する基本的立場・原則・目標を定めた基本方針(Security Policy)を策定(b)することで、以降の作業の判断基準が確立される。その方針に基づいて保護すべき情報資産を特定・分類(c)し、各資産に対するリスクの特定・分析・評価(d)を実施する。リスク分析なしに管理策を選択すると過剰投資・過少投資のどちらかになるリスクがあるため、順序の遵守が重要。この順序はISO/IEC 27001の「組織の状況→リーダーシップ→計画(リスクアセスメント)→支援→運用」のプロセスフローとも整合する。
実務での使われ方
実際の企業でのISMS構築・情報セキュリティポリシー策定プロジェクトでは、本問の手順が基本フローとして適用される。具体的な実施内容:(a)CISO(Chief Information Security Officer)・セキュリティ委員会・各部門責任者の任命(Accountabilityの明確化)。(b)経営層が署名する「情報セキュリティ基本方針」の文書化——対外的な宣言として自社Webサイトでの公開も一般的。(c)情報資産台帳の作成——データ・ハードウェア・ソフトウェア・人材・プロセス・施設を分類し、機密性・完全性・可用性の観点でカテゴリ分け(C1〜C3等の機密レベル設定)。(d)リスクアセスメント——脅威×脆弱性×資産価値でリスク値を算出し、許容水準(リスク受容基準)を超えるリスクへの対処方針(低減・回避・共有・保有)を決定。SOC 2・PCI DSS等の外部フレームワークでも類似の順序が要求されており、ガバナンス体制の証明として重要。
試験での位置づけ
情報セキュリティポリシー策定の手順はITパスポートのセキュリティ管理分野で出題される。本問の4つの作業の論理的な順序づけは「なぜその順序なのか」という理由の理解が必要で、単純な暗記では応用問題に対応できない。誤答を生むパターン:選択肢cの「b→a(基本方針を先に策定してから担当者を決める)」は一見合理的に見えるが、「誰も責任者が決まっていない状態で方針を策定できるのか」という組織論的問題がある(正確には経営層が基本方針の最終承認者となるため、方針策定に関わる担当者の選任が先)。選択肢bとdの「リスク分析を資産洗い出しより先」は論理的に不可能(資産が特定されていないとそのリスクを分析できない)。基本情報技術者(FE)ではリスクアセスメントの定量的評価(ALE:Annual Loss Expectancy=ARO×SLE)・定性的評価(高中低の3段階)・ISMSの認証審査プロセスまで問われる。
選択肢の発展補足
選択肢bの「a→b→d→c(担当者→基本方針→リスク分析→資産洗い出し)」はリスク分析を資産洗い出しより先に実施しており、資産が特定されていない状態でリスクを分析することの矛盾を理解できていないと選んでしまう。リスクアセスメントの定義「リスク=脅威×脆弱性×資産価値」から明らかなように、「資産価値」を確定するための「資産洗い出し」が前提として必要。選択肢cとdの「b→a(方針→担当者)」という順序は「経営者がセキュリティ方針の重要性を理解して人員を配置する」という流れに見えるが、方針を策定するための担当者(プロジェクトマネージャー・CISO)が必要という循環論を生む。実務では「仮のプロジェクトオーナーが基本方針の骨子を作り、正式にCISOを任命してから正式方針として承認する」という並行プロセスになることもあるが、試験の文脈では「担当者決定→基本方針→資産洗い出し→リスク分析」という線形の正解順序を選ぶことが正確。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和6年度 問94/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。