ITパスポート 令和8年度 問93：securityに関する問題

答えは a（適用範囲の決定） です。

ISMS＝会社の情報を守る仕組みづくり。これは家の防犯計画にたとえられます。

防犯を始めるとき、まず『どこを守るか（玄関？全部屋？）』を決めますよね。これが適用範囲の決定。範囲を決めないと、どこに何の対策をすればいいか分かりません。だから一番最初にやります（a）。

👉 覚え方：守る範囲を決める→危険を調べる→対策する、の順番。

ほかの選択肢：b は危険を調べる作業／c は実際の対策／d は後でちゃんとできているか点検する作業。どれも範囲を決めた『後』にやります。

なぜこれが正解か

正解は a。ISMS構築では、まず『どの組織・業務・情報資産を対象にするか』という適用範囲の決定を行う。範囲が定まらないと、その後のリスクアセスメントも対策も対象が曖昧になり成立しない。よって最初に行うのは適用範囲の決定。

各選択肢の解説（実施順）

• a：適用範囲の決定 ← 最初。
• b：リスクアセスメント（資産の洗い出し・リスクの特定/分析/評価）＝範囲決定の後。
• c：リスク対応（対策の実施）＝アセスメントの後。
• d：内部監査＝運用後に有効性を点検する段階。

覚え方・ひっかけ注意

ISMSはPDCAサイクルで回す。流れは『適用範囲→方針策定→リスクアセスメント→リスク対応→運用→内部監査→マネジメントレビュー→改善』。『何を守るか（範囲）を先に決める』が鉄則。bのリスクアセスメントを先頭と誤認させるのが定番の罠。

理論的背景

ISMS（Information Security Management System）の構築プロセスはISO/IEC 27001:2022（最新版）で定義されており、本問正解aの「ISMS適用範囲の決定」が最初に実施すべき事項。ISO 27001のCondex 4「組織の状況」において「ISMSの適用範囲の決定と文書化」が最初の要求事項として位置づけられている。

ISMSの実施順序（ISO 27001の要求事項の構造）：第4章：組織の状況理解→利害関係者の特定→適用範囲の決定（正解a）。第6章：計画→情報セキュリティリスクアセスメント（選択肢b）→リスク対応（選択肢c）。第9章：パフォーマンス評価→内部監査（選択肢d）→マネジメントレビュー。第10章：改善→不適合と是正処置。

適用範囲の決定が最初である理由：リスクアセスメントはISMSが適用される範囲を前提として実施される。適用範囲が決まらない状態では「何の情報資産を守るか」「どのプロセスを評価するか」が定まらず、リスクアセスメントを実施する意味がない。同様に、リスク対応・内部監査も適用範囲が前提となる。

実務での使われ方

企業のISO 27001認証取得プロジェクトでは、コンサルタントとの最初の打ち合わせで「ISMS適用範囲」を確定することが最重要ステップ。適用範囲の例：「本社情報システム部門が管理するサーバインフラと業務アプリケーションの開発・運用業務」「顧客データを取り扱う全社コールセンター業務」等。スコープを広くしすぎると認証取得コストが増大し、狭すぎると重要な情報資産が管理対象外となるリスクがある。

JIS Q 27001（ISO 27001の国本規格）に基づくISMS認証は、金融・医療・政府・IT企業等で広く取得されており、取引先への信頼証明・入札要件・コンプライアンス対応として機能する。日本のISMS認証取得件数はアジア最多クラスで、経済産業省・総務省のガイドラインでも参照される。

試験での位置づけ

ISMSのPDCAサイクルと各フェーズの実施順序はITパスポートのセキュリティ分野で毎年出題される最頻出テーマ。「最初に行うもの＝適用範囲の決定」は鉄板の正解パターン。「なぜリスクアセスメントが最初ではないか」→「範囲を決めてからでないとリスクを特定できない」という論理を理解することが重要。近年のITパスポート試験ではISO 27001:2022の改訂内容（Annex Aの93管理策への統合・新規4管理策の追加：脅威インテリジェンス・ICTレディネス・物理的セキュリティ監視・データマスキング等）が出題される可能性がある。基本情報技術者試験ではISO 27001の全章（4〜10章）の要求事項・Annex Aの主要管理策・ISMS認証審査プロセス（初回審査・維持審査・更新審査）・SOC 2との違いまで問われることがある。

選択肢の発展補足

リスクアセスメント（選択肢b）の詳細プロセスは「リスクの特定→リスクの分析→リスクの評価」の3ステップ。特定では情報資産・脅威・脆弱性を列挙し、分析では影響度と発生可能性を評価し、評価ではリスクの優先順位付けを行う。ISO 27005（情報セキュリティリスク管理）が詳細方法論を提供し、ISRA（IS Risk Assessment）ツールによる自動化も普及している。リスク対応（選択肢c）は特定されたリスクに対して「回避（Risk Avoidance）・移転（Risk Transfer）・軽減（Risk Reduction）・受容（Risk Acceptance）」の4戦略から選択し、残留リスクが受容可能レベルになるまで管理策を適用するプロセス。内部監査（選択肢d）はISMSが計画通りに機能し、ISO 27001の要求事項に適合しているかを独立した視点で検証するプロセス。内部監査員の独立性（被監査部門の管理者が自部門を監査しない）と力量（ISO 27001の知識・監査技術）がISO 27001の要求事項として明示されている。