問題
問100
ISMS の活動に関する記述として,最も適切なものはどれか。
- 企業のコスト削減や製品の品質,サービスの改善のために,業務プロセスを改善する。
- 顧客の満足度を高めるために,IT サービスの品質を継続的に改善する。
- 情報資産を洗い出し,リスクの特定と分析及び評価を行い,情報資産を管理する。
- 製品と開発プロセスの成熟度を評価し,改善する。
[出典:ITパスポート試験 令和8年度 問100]
正解
正解は「ウ」です。
解説
正解は「ウ」です。ISMS(情報セキュリティマネジメントシステム)とは、組織が保有する情報を安全に守るために、計画を立てて実行し、継続的に改善していくための仕組みのことです。この活動で最も重要なステップの一つが、正解の選択肢にあるように「自分たちが守るべきものは何か(情報資産)」を明確にすることです。
これを家を守ることに例えると、まず家の中にどんな通帳があり、どこに貴金属があるかをリストとして把握する作業に似ています。次に、それらが盗まれる危険性(窓が開けっ放しではないか、泥棒が入りやすい場所はどこかなど)を調べるのが「リスクの特定・分析」です。分析の結果、危ない場所には追加の鍵をかけるといった具体的な対策を決めていきます。ITの現場でも、顧客データや社外秘の設計図といった「情報」をすべてリストアップし、それらが漏洩したり壊れたりするリスクを評価した上で、適切なセキュリティ対策を実施し管理します。
単に一度だけ対策するのではなく、環境の変化に合わせてルールを常に見直し続ける一連のプロセス全体がISMSの本質的な役割なのです。
ア(企業のコスト削減や製品の品質,サービスの改善のために…):
これはBPR(業務プロセス再設計)やTQM(総合的品質管理)に関する説明であり、情報セキュリティを主目的とするISMSとは異なります。
イ(顧客の満足度を高めるために,IT サービスの品質を継続的に改善する。):
これはITサービスマネジメント(ITILなど)に関する説明です。情報の保護ではなく、サービスの提供品質の向上に焦点を当てた活動です。
エ(製品と開発プロセスの成熟度を評価し,改善する。):
これはCMMI(能力成熟度モデル統合)など、ソフトウェア開発組織のプロセス改善に関する説明であり、ISMSの活動内容とは異なります。
難易度
難易度は「易しい」部類に入ります。ISMSという用語の定義を「情報の安全を守るための管理体制」と正しく理解していれば、選択肢の中から「情報資産」や「リスク」というキーワードを頼りに正解を導き出すことができます。他の選択肢が品質管理やサービス向上、開発プロセスの話であることを知っていれば、消去法でも確実に正解できる基本問題です。
用語補足
ISMS:
組織の情報セキュリティを管理するための仕組みです。例:社内の情報の取り扱いルールを決め、社員に教育を行い、定期的にチェックする体制のことです。
情報資産:
組織にとって価値のある情報のことです。例:お客様の個人情報、新製品の開発データ、社員の名簿、社内の業務マニュアルなどがこれに該当します。
リスク分析:
情報資産に対して、どのような脅威があるかを探る作業です。例:「USBメモリを紛失してデータが漏れるリスク」や「ウイルス感染でデータが消えるリスク」を調べることです。
機密性:
許可された人だけが情報にアクセスできるようにすることです。例:大切なファイルにパスワードをかけ、関係者以外は見られないように制限をかけることなどです。
対策
ISMSの対策としては、まず「情報の安全(機密性・完全性・可用性)」を守るための活動であることを意識しましょう。キーワードとして「情報資産の洗い出し」「リスクアセスメント(特定・分析・評価)」が出てきたらISMSの活動だと判断してください。また、BPRやITIL、CMMIといった他のマネジメント系用語との違いを整理しておくことが、迷わず正解を選ぶためのポイントです。
