問題
問72
ISMS の導入効果に関する次の記述中のa, bに入れる字句の適切な組合せはどれか。
[出典:ITパスポート試験 平成31年度春期 問72]
正解
正解は「ウ」です。
解説
この問題は、ISMS(情報セキュリティマネジメントシステム)の導入効果について問われています。ISMSは、組織の情報セキュリティを管理するための仕組みであり、その主な目的は「情報の機密性、完全性、可用性」という3つの要素をバランスよく維持・改善することです。また、情報セキュリティにおける「リスク」を適切に管理することで、利害関係者からの信頼を得ることも重要な導入効果となります。 問題文の「情報の機密性, b 及び可用性」という部分から、情報セキュリティの3要素である「機密性、完全性、可用性」が並べられていることが分かります。そのため、bには「完全性」が入ります。
次に、問題文の後半にある「a を適切に管理しているという信頼を利害関係者に与える」という部分に注目します。ISMSは、情報セキュリティにおける様々な脅威から情報を守るために、どのような対策が必要か、どのような問題が起こりうるかを検討し、それらの「リスク」を管理する活動を行います。そのため、「リスク」を適切に管理しているという信頼を得ることが目的となります。したがって、aには「リスク」が入ります。 これらのことから、aが「リスク」、bが「完全性」である選択肢「ウ」が最も適切であると言えます。
ア(品質, 完全性):
aに「品質」を入れると、ISMSの主要な目的である情報セキュリティリスクの管理や情報の信頼性確保という文脈から外れてしまいます。ISMSは情報セキュリティの3要素(機密性、完全性、可用性)の維持を重視します。
イ(品質, 妥当性):
aに「品質」は適切ではありません。また、bに「妥当性」は情報セキュリティの3要素ではないため、問題文の「機密性, b 及び可用性」という文脈に合いません。
エ(リスク, 妥当性):
aに「リスク」は適切ですが、bに「妥当性」は情報セキュリティの3要素(機密性、完全性、可用性)ではないため、この文脈では不適切です。
難易度
この問題の難易度は中程度です。ISMSの基本的な考え方と、情報セキュリティの3要素(機密性、完全性、可用性)を正確に理解していれば、比較的容易に解答できるでしょう。特に、穴埋め問題の形式で出題されているため、文章全体の文脈を読み取り、適切な用語を当てはめる読解力も求められます。ITパスポート試験では頻出のテーマなので、確実に得点したい問題です。
用語補足
ISMS:
ISMS(Information Security Management System)は、組織が保有する情報資産を様々な脅威から保護し、適切なセキュリティレベルを維持・改善するための包括的なマネジメントシステムです。例えば、企業が顧客情報を扱う際に、情報漏洩を防ぐためのルール作りやシステム導入、従業員への教育などを組織的に行う仕組みです。
機密性:
機密性とは、情報にアクセスする権限のない第三者には、情報が漏洩しないように保護することです。例えば、個人のパスワードで保護されたファイルは、そのパスワードを知っている人だけが閲覧できる状態になっていることが機密性の確保にあたります。
完全性:
完全性とは、情報が正確で改ざんされていない状態を保つことです。例えば、銀行の口座残高が勝手に書き換えられないように保護されていることや、送られてきたメールの内容が途中で変更されていないことなどが完全性の確保にあたります。
リスク:
リスクとは、ある事象が発生することによって、組織の目標達成に悪影響を与える可能性のことです。例えば、コンピュータウイルスに感染してデータが消失する可能性や、システム障害でサービスが停止する可能性などが情報セキュリティにおけるリスクです。
対策
この問題を解くためのポイントは、ISMSの基本的な概念と「情報セキュリティの3要素」をしっかりと理解していることです。情報セキュリティの3要素とは「機密性、完全性、可用性」であり、これらが何を意味するのかを具体的に説明できるようにしておくことが重要です。また、問題文の穴埋め箇所が、ISMSの「何を」管理し、その結果「どのような信頼」を得るのかという文脈に合致するかを慎重に判断する必要があります。過去問を繰り返し解き、ISMSに関する出題パターンに慣れておくことが、本番での得点に繋がります。
