ITパスポート 令和8年度 問100：securityに関する問題

答えは c です。

ISMSは『会社の大事な情報を守る活動』のこと。

まず会社にある大事な情報（顧客名簿・設計図など）を全部洗い出して、それぞれ『どんな危険があるか』を調べ、評価して、きちんと管理します。これがISMSの中身（c）。

👉 覚え方：ISMS＝情報を守る活動。守るには『何があるか・どんな危険か』をまず調べる。

ほかの選択肢：a は仕事のやり方を良くする活動／b はITサービスの品質を良くする活動（ITサービス管理）／d は開発のレベルを評価する活動。どれも『情報を守る』が中心ではありません。

なぜこれが正解か

正解は c。ISMS（情報セキュリティマネジメントシステム）は、組織の情報資産を守るための仕組み。具体的には、情報資産を洗い出し、それに対するリスクを特定・分析・評価し、適切に管理（リスク対応）していく活動を指す。cの記述がこれに合致する。

各選択肢の解説

• a：コスト削減・品質・サービス改善のための業務プロセス改善＝品質管理や業務改善（ISMSの主目的ではない）。
• b：顧客満足のためITサービス品質を継続改善＝ITサービスマネジメント（ITIL/ITSMS）の説明。
• c：情報資産の洗い出し・リスクの特定/分析/評価・管理＝ISMS。正しい。
• d：開発プロセスの成熟度を評価・改善＝CMMIなどの説明。

覚え方・ひっかけ注意

ISMSのキーワードは『情報資産＋リスク（特定・分析・評価）』。bのITサービスマネジメント（顧客満足・サービス品質）と混同させるのが定番の罠。『守る対象が情報資産か、提供するサービスか』で見分ける。

理論的背景

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）はISO/IEC 27001で規定されるマネジメントシステムであり、本問正解cの「情報資産を洗い出し、リスクの特定と分析及び評価を行い、情報資産を管理する」がISMSの核心的活動を正確に記述している。ISO 27001の根本目的は「情報の機密性・完全性・可用性を維持するために情報セキュリティリスクを管理すること」であり、情報資産の識別→リスクアセスメント→リスク対応→情報資産管理というサイクルがその実践。

ISMS vs 類似マネジメントシステムとの区別：選択肢aは業務プロセス改善（BPM/BPR・ISO 9001品質管理の要素）。選択肢bはITSM（IT Service Management・ITIL・ISO/IEC 20000）の説明。選択肢dはCMMI（Capability Maturity Model Integration）またはISO/IEC 15504（SPICE：Software Process Improvement and Capability dEtermination）のソフトウェアプロセス成熟度評価モデルの説明。これら4つの管理フレームワークは「何を管理するか（情報リスク/業務プロセス/ITサービス品質/ソフトウェアプロセス成熟度）」という対象の違いで識別できる。

ISO/IEC 27001:2022改訂の主要変更点：Annex Aが114管理策（14グループ）から93管理策（4テーマ：組織・人員・物理的・技術的）に再構成され、脅威インテリジェンス・ICTレディネス・データマスキング・クラウドサービスセキュリティ等の11の新規管理策が追加された。

実務での使われ方

ISMS認証（ISO 27001認証）の取得プロセス：経営層の承認（スコープ・ポリシー決定）→情報資産台帳の作成→リスクアセスメント（ISO 27005準拠）→リスク対応計画→管理策の実装→内部監査→マネジメントレビュー→外部審査機関（BSI・SGS・DNV等）による審査→認証取得→年次サーベイランス審査→3年後の更新審査というサイクル。日本では認証機関（ISMS-AC：ISMS適合性評価制度）が運営を担い、認証数は約7,000件（2024年）と世界最多クラス。

ISMS認証のビジネス価値：金融機関・医療機関・中央省庁との取引要件・入札条件・海外市場参入（GDPR対応の証明）・保険料低減交渉等の実利がある。中小企業向けには「ISMS-CLOUD」（クラウドサービス固有の拡張規格）・「ISMS-PIMS」（個人情報管理・ISO 29151との統合）という専門規格も整備されている。

試験での位置づけ

ISMSの活動内容はITパスポートのセキュリティ分野で毎年出題される最頻出テーマ。ISMS・ITIL・ISO 9001・CMMIの各フレームワークの「管理対象」の識別問題が頻出パターン。ISMS＝「情報セキュリティリスク管理」というコアアイデンティティの理解が重要。本問のポイントはISMSが「ITサービス品質（選択肢b）」や「業務効率（選択肢a）」や「ソフトウェア開発プロセス（選択肢d）」ではなく「情報資産とリスクの管理」に特化していること。近年のITパスポート試験ではサイバーセキュリティ経営ガイドライン・DXとISMSの関係・クラウドセキュリティ（CSPM・CASB）とISMSの統合を問う問題が増加している。基本情報技術者試験ではISO 27001の要求事項の詳細（全条項）・Annex Aの93管理策のカテゴリと主要管理策・ISMS構築プロセスのすべてのステップ・監査証拠の種類まで出題範囲が広がる。

選択肢の発展補足

選択肢bのITSM（IT Service Management）との区別を深く理解する。ITSMはITサービスのライフサイクル（設計・移行・運用・改善）を管理してサービス品質を顧客要求に合わせることが目的。ITSMの代表フレームワークITILv4では「サービス価値システム（SVS）」として定義され、「共創（Co-Creation of Value）」がコアコンセプト。ISMSはITSMの「情報セキュリティ管理」領域と重複するが（ITIL Annex AのA.5情報セキュリティポリシー等）、ISMSはリスク管理・機密性保護を主目的とし、ITSMはサービス品質・可用性・継続性を主目的とする。大企業では両方を同時に運用し、ISMSのセキュリティ要件をITSMのサービス設計・変更管理・インシデント管理に反映させる統合ガバナンスアプローチが推奨される。選択肢dのソフトウェアプロセス成熟度（CMMIの参照）についての補足：CMMI-DEV（開発プロセス）では成熟度レベル1（初期）→2（管理）→3（定義）→4（定量的管理）→5（最適化）の5段階で開発組織の能力を評価する。ISMSはこのような開発プロセス成熟度とは独立して運用される情報セキュリティのマネジメントシステムである。