問題
問63
PDCA モデルに基づいて ISMS を運用している組織において, A (Act) で実施することの例として、適切なものはどれか。
- 業務内容の監査結果に基づいた是正処置として、サーバの監視方法を変更する。
- サーバ管理者の業務内容を第三者が客観的に評価する。
- サーバ室内の情報資産を洗い出す。
- サーバの動作を定められた運用手順に従って監視する。
[出典:ITパスポート試験 平成31年度春期 問63]
正解
正解は「ア」です。
解説
PDCAモデルの「Act(改善)」フェーズでは、Plan(計画)→Do(実行)→Check(評価)の結果を受けて、さらなる改善を行うための行動を決定し、実施します。具体的には、計画通りに実行できなかった点や、目標を達成できなかった原因を分析し、それに対する是正処置や予防処置を講じる段階です。この問題の選択肢「業務内容の監査結果に基づいた是正処置として、サーバの監視方法を変更する」は、Checkフェーズで得られた「監査結果」という評価に基づき、「監視方法を変更する」という具体的な「是正処置」を行っているため、Actフェーズの活動に該当します。
例えば、定期的な健康診断(Check)でコレステロール値が高いと判明した場合、食生活を見直す(Act)といった改善行動と似ています。ISMS(情報セキュリティマネジメントシステム)においては、監査で発見された情報セキュリティ上の問題点に対して、改善策を実施することがActの役割となります。
イ(サーバ管理者の業務内容を第三者が客観的に評価する。):
これはPDCAモデルの「Check(評価)」フェーズの活動です。監査などによって現状を評価し、問題点を洗い出す段階です。
ウ(サーバ室内の情報資産を洗い出す。):
これはPDCAモデルの「Plan(計画)」フェーズの活動です。情報セキュリティマネジメントシステムを構築する際に、まず管理対象となる情報資産を特定し、洗い出す初期の計画段階の作業です。
エ(サーバの動作を定められた運用手順に従って監視する。):
これはPDCAモデルの「Do(実行)」フェーズの活動です。計画に基づいて、定められた手順に従ってセキュリティ対策を実施・運用する段階です。
難易度
この問題は、PDCAサイクルという基本的なマネジメントサイクルと、情報セキュリティマネジメントシステム(ISMS)の関連付けを問うものです。各フェーズの具体的な内容を理解していれば、比較的容易に正解を導き出せるでしょう。特に、Actが「改善」や「是正処置」に当たることを知っていれば、選択肢「ア」が適切だと判断できます。ITパスポート試験の頻出テーマであり、しっかりと学習していれば難しくない問題です。
用語補足
PDCAモデル:
業務を効率的に改善するためのサイクルで、「Plan(計画)→Do(実行)→Check(評価)→Act(改善)」の4つのステップを繰り返すことです。例えば、ダイエットの目標(Plan)を立てて運動(Do)し、体重を記録(Check)して、結果に応じて運動内容を見直す(Act)といった流れです。
ISMS (情報セキュリティマネジメントシステム):
組織が情報セキュリティを適切に管理・運用するための仕組みのことです。情報漏洩やサイバー攻撃などのリスクから情報を守り、事業を継続するための枠組みをPDCAサイクルに乗せて継続的に改善していくものです。
Act (PDCAモデル):
PDCAモデルの最後のステップで、「改善」や「是正処置」を行うフェーズです。Check(評価)で明らかになった問題点や、目標と実績のギャップを埋めるために具体的な対策を立て、それを次回のPlanに反映させます。
是正処置:
問題が発生した際に、その原因を取り除き、再発を防止するための措置のことです。例えば、製品に不良が見つかった場合、その不良の原因を特定し、製造工程を改善するなどの対策を講じることです。
対策
PDCAサイクルは、ITパスポート試験だけでなく、ビジネス全般で非常に重要な概念です。それぞれのフェーズ(Plan, Do, Check, Act)がどのような活動を指すのかを具体例とともに理解しておくことがポイントです。特に、Checkフェーズの結果を受けてActフェーズで改善を行う、という流れを意識しましょう。ISMS(情報セキュリティマネジメントシステム)のような、他のマネジメントシステムとPDCAサイクルの関連性も合わせて学習すると、より応用力が身につきます。
