平成22年度 秋期 ITパスポート試験 問76 解説 情報セキュリティポリシ

この問題は、組織の情報セキュリティ対策における「範囲」と「主体」を正しく理解していれば、選択肢を一目見ただけで正解にたどり着ける問題です。

情報セキュリティポリシの対象範囲

情報セキュリティポリシとは、組織が情報資産を守るために策定する方針や対策基準の集合体です。この「ルール」は、組織のセキュリティレベルを維持するために存在するため、組織の一員として活動するすべての人に適用される必要があります。

正社員だけでなく、パートタイム労働者、派遣社員、アルバイト、さらには組織の業務に関わる業務委託先などの関係者まで含めることが必須です。もし特定のグループだけを対象外にしてしまうと、そこがセキュリティホール（弱点）となり、組織全体の安全性が脅かされるリスクがあるからです。そのため、選択肢ウが正解となります。

なぜ他の選択肢は誤りなのか

情報セキュリティポリシの策定や運用に関する一般的な原則と比較して検証します。

選択肢アについては、情報資産の重要度や機密性は個々に異なります。すべてに均一な予算をかけることは非効率であり、重要な情報には強固な対策を、重要度が低いものには合理的なコストをかけるという「コスト対効果」の考え方が基本です。

選択肢イについては、基本方針は組織が何を守り、どのような姿勢で取り組むかを宣言するものです。これは経営者だけでなく、全従業員が理解・共有することで初めて機能します。隠すべき秘密文書ではなく、周知徹底すべき指針であるため誤りです。

選択肢エについては、情報セキュリティポリシは組織の規模、業種、取り扱う情報資産の内容、自社のネットワーク環境などに合わせて独自に作成する必要があります。他社のものをそのまま流用しても、自社の実態と合わないルールばかりになってしまい、現場が混乱するだけで形骸化してしまいます。

セキュリティルールの本質を捉える

この問題の教育的意図は、「ルールは誰のために、何のためにあるのか」という本質を問うことにあります。

実際のビジネス現場では、情報セキュリティポリシが「守るべきもの」ではなく「作業を邪魔するもの」として捉えられがちです。しかし、組織の一員が一人でもルールを知らなかったり無視したりすれば、組織全体が大きな損害を被ります。そのため、立場に関係なく全従業員が当事者意識を持つことが、セキュリティ対策のスタートラインとなります。

ITパスポート試験では、このような「セキュリティを運用する側の視点」や「組織全体のガバナンス」に関する知識が頻出します。単に技術的な知識を覚えるだけでなく、人間系を含めた組織運営としてセキュリティを捉える感覚を養うことが、合格への近道です。

参考リンク

• 情報セキュリティ基本方針の策定（IPA 独立行政法人 情報処理推進機構）
• 組織のセキュリティ担当になったら最初に読むべきこと（Qiita）
• 情報セキュリティマネジメントシステム（ISMS）の概要（JIS Q 27001に関連する解説）