問題
問38
情報セキュリティ監査の説明として、最も適切なものはどれか。
- 一定の基準に基づいてITシステムの利活用に係る検証・評価を行い、ガバナンスの適切性などに対する保証や改善のための助言を行うもの
- コンピュータの盗難や不正な持出しを物理的に防止し、情報セキュリティを確保するためのツール
- 組織体の価値及び組織体への信頼を向上させるために、組織体におけるITシステムの利活用のあるべき姿を示すIT戦略と方針の策定及びその実現のための活動
- 組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価
[出典:ITパスポート試験 令和7年度 問38]
スポンサーリンク
正解
正解は「エ」です。
解説
情報セキュリティ監査とは、組織における情報資産(顧客情報、社内データ、機密情報など)に対するリスクマネジメントやセキュリティ対策が、きちんと計画どおり実施されているかを第三者的な立場から検証・評価する活動です。
主な目的は、セキュリティポリシーや対策が適切であるか、また運用面で不備がないかをチェックし、必要に応じて改善の提案を行うことにあります。選択肢「エ」はこの内容を正しく説明しており、情報資産のリスクマネジメントが効果的に行われているかどうかを検証・評価する点がポイントです。
日常生活で例えるなら、家の防犯対策(鍵の施錠やセンサーの設置など)が機能しているかどうかを点検する防犯診断のようなもので、問題が見つかれば改善するのが情報セキュリティ監査の役割です。
ア(一定の基準に基づいてITシステムの…):
これは「ITガバナンス」や「IT監査」全般の説明であり、情報セキュリティに限定した監査の説明ではありません。
イ(コンピュータの盗難や不正な持出し…):
これは物理的セキュリティの対策ツールの説明であり、「監査」ではなく「防止策」に関するものです。
ウ(IT戦略と方針の策定及びその実現の…):
これは「IT戦略立案」や「ITガバナンス」に関する記述であり、監査の活動とは異なります。
難易度
この問題は、情報セキュリティに関する基本的な用語の理解を問うもので、初学者にとっても比較的取り組みやすい内容です。「監査」と「対策」や「戦略」などの用語の違いを明確に区別できるかどうかが鍵です。基本的なIT用語の意味を把握していれば正解しやすい問題といえます。
スポンサーリンク
用語補足
情報セキュリティ監査:
組織のセキュリティ対策や運用が適切に行われているかどうかを検証・評価する活動です。外部からの不正アクセスへの対策、運用のルール遵守などが主なチェック対象です。
リスクマネジメント:
組織が直面する可能性のある危険(リスク)を洗い出し、それに対処するための計画・実行・監視を行う一連のプロセスです。例:情報漏洩を防ぐためのアクセス制御。
対策
「監査」「対策」「戦略」など似た用語が出たときに混乱しないよう、それぞれの目的や対象範囲の違いを整理して覚えることが重要です。情報セキュリティ監査は「検証・評価」の活動であるという点を中心に理解を深めましょう。
