ITパスポート 令和8年度 問79:securityに関する問題
企業のリスクマネジメントの一環として行われるサイバーセキュリティリスク対策の推進において,経営者に求められる役割として,最も適切なものはどれか。
- aIT 部門のセキュリティ担当者に,部門ごとのサイバーセキュリティリスク対応方針の策定と実行を全て任せる。
- bサイバーセキュリティ対策を実施する上での責任者となる CISO を任命し,実行や判断を全て任せる。
- c実施方針の検討,予算や人材の割当て,実施状況の確認や問題の把握と対応を通じて自らリーダーシップを発揮する。正答
- d専門家である外部の経営コンサルタントに,自社の組織や事業におけるリスクの分析と対策の推進に関する権限と責任を委譲する。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは c です。
サイバーセキュリティ対策で社長(経営者)に求められるのは、“人任せにせず、自分が先頭に立って引っ張る”ことです。
たとえば、お店の防犯を考えるとき、店長が「全部バイトに任せた」では困りますよね。お金の使い道(予算)を決め、誰にやらせるか(人)を決め、ちゃんとできているか自分でも確認する——これが経営者の役目です。
👉 覚え方:「セキュリティは経営者の仕事。丸投げ禁止」。
ほかの選択肢:a 担当者に全部任せる/b CISO(責任者)に全部任せる/d 外部コンサルに全部任せる。どれも“丸投げ”なのでダメ。自分でリーダーシップを取るcが正解です。
なぜこれが正解か
正解は c。経済産業省・IPAの「サイバーセキュリティ経営ガイドライン」では、サイバーセキュリティ対策は経営課題であり、経営者が「実施方針の決定、予算・人材の確保、実施状況の確認と問題対応」を通じて自らリーダーシップを発揮することが求められる。担当者やCISOに任せきりにせず、経営トップが関与する点が要点。
各選択肢の解説
- a:IT部門の担当者に方針策定と実行を全て任せる=丸投げで不適切。
- b:CISOを任命するのは適切だが「実行や判断を全て任せる」=経営者の関与放棄で不適切。
- d:外部コンサルに権限と責任を委譲=経営者が責任を負わず不適切。
覚え方・ひっかけ注意
キーワードは「経営者が“自ら”リーダーシップ」。a・b・dはいずれも「全て任せる/委譲する」という丸投げの語が入っており、これが誤りの目印。CISOの任命自体は正しい施策だが、「全て任せる」の一語で不適切に転じる点がひっかけ。セキュリティは技術課題ではなく経営課題、と覚える。
理論的背景
サイバーセキュリティにおける経営者の役割は経済産業省「サイバーセキュリティ経営ガイドライン」(2023年改訂版)で明確に規定されており、正解cの「実施方針の検討・予算・人材配分・実施状況確認・問題対応を通じた自らのリーダーシップ発揮」が経営者に求められる姿勢の核心。
経営ガイドラインの「経営者が認識すべき3原則」:(1)経営者はサイバーセキュリティリスクを認識し、リーダーシップを発揮して対策を進める。(2)自社以外にも、ビジネスパートナーや委託先も含めたサプライチェーン全体のセキュリティ対策を推進する。(3)平時および緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションを取る。この3原則はISO/IEC 27001の要求事項(リーダーシップ・コミットメント)とも整合する。
CISO(Chief Information Security Officer、選択肢b)の役割:CISOはセキュリティ戦略の立案・実施・報告を担う最高情報セキュリティ責任者だが、経営者はCISOに「全権委任」するのではなく、CISOの報告を受けて最終意思決定・予算承認・リスク受容の判断を行う責任を持つ。
実務での使われ方
大企業のセキュリティガバナンス実践では、取締役会レベルでのサイバーセキュリティ議題の定期審議・CISO設置(日本企業では2020年以降急速に普及)・セキュリティ投資予算の取締役会での承認・インシデント時の経営者による意思決定(事業停止・規制当局への報告・プレスリリース等)が標準化されている。東証プライム市場上場企業では有価証券報告書でのサイバーセキュリティリスクの開示が2023年改正内閣府令で義務化され、経営者のセキュリティ関与が法的義務となった。
誤り選択肢aの「IT部門への全権委任」・bの「CISOへの全権委任」・dの「外部コンサルへの権限委譲」は全て「経営者のリーダーシップ不在」という共通の問題を持つ。セキュリティ人材不足を補うための外部委託は有用だが、最終的な責任と意思決定権は経営者に留まる。
試験での位置づけ
経営者のサイバーセキュリティ役割はITパスポートのマネジメント系「セキュリティ管理」分野で出題頻度が増加しているトピック。「経営者は全てを専門家に任せるべき」という誤解(選択肢a・b・d)と「経営者自身がリーダーシップを発揮すべき」(正解c)の対比が典型的な出題パターン。近年はDX推進とサイバーセキュリティの連動(デジタル化が進むほどサイバーリスクが増大するため経営リスク管理の一体化が必要)という文脈での出題が増加。基本情報技術者試験ではサイバーセキュリティ経営ガイドラインの10の重要項目・CISO設置の法的・組織的要件・セキュリティ投資対効果(ROSI:Return on Security Investment)の計算・サプライチェーンセキュリティ管理まで出題される。
選択肢の発展補足
選択肢aの「IT部門のセキュリティ担当者への全権委任」の問題点は責任範囲の限定性にある。IT部門はシステム・ネットワークの技術的保護は担えるが、ビジネスパートナー選定時のリスク評価・事業継続計画の策定・規制当局との交渉・セキュリティインシデントの公表判断等の「ビジネス上の意思決定」は経営者レベルでしか行えない。選択肢dの外部コンサルタントへの権限委譲の問題点は、コンサルタントが自社の内部情報・組織文化・ステークホルダー関係を完全には把握できないため、自社固有のリスクプロファイルに基づく最適な意思決定が困難なことにある。外部コンサルは「専門知識の提供・選択肢の提示」には最適だが「意思決定・責任の担保」は内部のステークホルダーが担う必要がある。日本企業固有の課題として、セキュリティを「コスト」ではなく「投資」として経営層が認識する変革が引き続き重要な課題となっており、経営者の主体的関与が業界全体のセキュリティ成熟度向上の鍵を握る。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和8年度 問79/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。