問題
問90
情報セキュリティマネジメントが PDCA サイクルに基づくとき、Cに相当するものはどれか。
- 情報セキュリティの目的、プロセス、手順の確立を行う。
- 評価に基づいた是正及び予防措置によって改善を行う。
- プロセス及び手順の導入、運用を行う。
- プロセスの効果を測定し、結果の評価を行う。
[出典:ITパスポート試験 平成30年度春期 問90]
正解
正解は「エ」です。
解説
正解は「プロセスの効果を測定し、結果の評価を行う」です。PDCAサイクルは、Plan(計画)、Do(実行)、Check(評価)、Act(改善)の頭文字をとったもので、業務改善や品質管理に用いられるフレームワークです。情報セキュリティマネジメントにおいても、このPDCAサイクルを適用することで、継続的なセキュリティレベルの向上が期待できます。
具体的には、P(計画)では情報セキュリティの目的や方針を定め、D(実行)では策定した方針に基づきプロセスや手順を導入・運用し、C(評価)でその効果を測定・評価し、A(改善)で評価結果に基づいて改善策を実施するという流れになります。したがって、C(Check)に相当するのは、プロセスの効果を測定し、結果を評価することです。
ア(情報セキュリティの目的、プロセス、手順の確立を行う。):
これはPDCAサイクルのP(計画)に相当するため、不正解です。Pは「Plan(計画)」を意味し、目標設定や計画立案を行います。
イ(評価に基づいた是正及び予防措置によって改善を行う。):
これはPDCAサイクルのA(改善)に相当するため、不正解です。Aは「Act(改善)」を意味し、評価結果に基づいて実際に行動を起こします。
ウ(プロセス及び手順の導入、運用を行う。):
これはPDCAサイクルのD(実行)に相当するため、不正解です。Dは「Do(実行)」を意味し、計画したことを実行に移します。
難易度
この問題は、PDCAサイクルという基本的なフレームワークの理解を問うものであり、ITパスポート試験の初学者でも比較的解きやすい問題と言えます。各選択肢がPDCAサイクルのどの段階に該当するかを正しく判断できれば、正解を導き出すことが可能です。ITILなどのITサービスマネジメントの学習経験がある方にとっては、さらに容易に解答できるでしょう。基本的な用語の理解があれば、迷うことなく解答できるレベルです。
用語補足
PDCAサイクル:
PDCAサイクルとは、Plan(計画)、Do(実行)、Check(評価)、Act(改善)の4つの工程を繰り返すことで、業務の継続的な改善を目指す手法です。例えば、ダイエットを成功させるために、まず目標を設定し(P)、食事制限や運動を行い(D)、体重の変化を記録・確認し(C)、目標達成のために計画を見直す(A)といった具合です。
情報セキュリティマネジメント:
情報セキュリティマネジメントとは、企業などが保有する情報資産を、不正アクセスや情報漏えいなどの脅威から守るための管理活動のことです。例えば、会社の顧客情報を守るために、パスワードの規則を設けたり、ファイアウォールを設置したりすることがこれに当たります。
プロセス:
プロセスとは、ある目的を達成するための一連の作業や手順のことです。例えば、顧客から注文を受けるプロセスでは、「注文を受ける」「在庫を確認する」「商品を発送する」「代金を受け取る」といった一連の手順が含まれます。
運用:
運用とは、システムやサービスなどを実際に動かし、継続的に維持・管理していくことです。例えば、ウェブサイトを常に公開し、問題なく閲覧できるように管理したり、サーバーのメンテナンスを行ったりすることが運用に当たります。
対策
この問題を解くためのポイントは、PDCAサイクルにおける各段階の役割を正確に理解することです。特に、C(Check)は「評価」の段階であり、計画通りに進んでいるか、目標が達成されているかなどを確認・測定する活動を指します。選択肢の中から、この「評価・測定」に最も合致する内容を選び出すことが対策となります。ITパスポート試験では、PDCAサイクルは頻出のテーマですので、それぞれの頭文字が表す意味と具体的な活動内容をセットで覚えることが重要です。
