平成21年度 春期 ITパスポート試験 問54 解説 情報セキュリティポリシ

情報セキュリティポリシの問題は「経営層の関与」と「現場の実行」の役割分担を理解することが正解への近道です。この問題は、セキュリティ対策が単なるITの技術論ではなく、企業経営におけるガバナンスの問題であることを押さえていれば、すぐに選択肢イが正しいと判断できます。

組織全体で取り組むセキュリティガバナンス

情報セキュリティポリシは、組織が情報資産を守るために掲げる「基本方針」です。これを守るためには、現場の担当者だけでなく、経営トップ自身がその重要性を認め、先頭に立って意思表示を行う必要があります。

トップが「この会社では情報を何よりも大切にする」という姿勢を自ら示さない限り、従業員は日々の業務の中でセキュリティよりも目先の効率を優先してしまいがちです。だからこそ、経営者が率先して方針を説明し、全社的な意識を高める姿勢が、セキュリティ運用の最も重要な出発点となります。

なぜ他の選択肢は誤りなのか

各選択肢には、セキュリティポリシの本来の目的から逸脱した、あるいは順序が逆の内容が含まれています。

選択肢アについては、対策ソフトウェアの設定内容は「実施手順」や「技術的な運用基準」であり、ポリシそのものではありません。ポリシはあくまで「方針」を示すものであり、細かな設定までをポリシに書き込むと、技術革新のたびに方針全体を見直さなければならず非効率です。

選択肢ウについては、遵守すべき基準の策定はプロセスの中盤で検討されるべき内容です。まずは組織として何をどの程度守る必要があるのかという「基本方針（ポリシー）」を固め、その後に詳細な基準や手順を定めるのが正しい順序です。

選択肢エについては、製品選びはセキュリティ対策の「手段」に過ぎません。目標とするレベルに対してどの程度のセキュリティが必要か（リスク分析）を先に行い、その結果として適切な製品を選ぶのが正解です。最初から製品ありきで考えると、コストに見合わない過剰な投資になったり、逆に必要な対策が漏れたりするリスクがあります。

実務におけるポリシ運用の考え方

試験対策としてはもちろんですが、この考え方は実際の職場でも非常に重要です。システム部門だけでセキュリティ対策を決定しても、現場の社員の理解が得られず、かえって利便性を損なうだけのツールが導入されることがあります。

情報セキュリティポリシは「IT部門のルール」ではなく「全社の行動指針」です。経営層がリーダーシップをとって方針を決定し、それを社員一人ひとりが自分事として捉える文化を作ること。この「組織全体を巻き込む」という視点は、ITパスポート試験において最も頻出する、情報セキュリティ管理の核心といえます。

参考リンク

• 情報セキュリティマネジメントの基本（情報処理推進機構）
• 【ITパスポート】情報セキュリティポリシとは？分かりやすく解説（YouTube）
• 情報セキュリティ基本方針の策定と運用ガイドライン（Zenn）