平成25年度 春期 ITパスポート試験 公開問題 問71 解説 情報セキュリティ管理

正解の判断基準

情報セキュリティリスクマネジメントは、経営者を含む組織全体で取り組む活動であるという原則を理解しているかが問われています。特定の担当者や部署だけで完結させず、組織全体で役割を分担して取り組む選択肢ウが正解です。

組織全体でリスクに向き合う重要性

情報セキュリティのリスクマネジメントとは、組織が抱える情報資産に対するリスクを特定し、分析、評価して、許容できないリスクに対して対策を講じる一連のプロセスを指します。

もし一部の担当者や部署だけで対応しようとすると、他の部署で発生しているリスクが見落とされたり、現場の業務とセキュリティルールが乖離して形骸化したりする恐れがあります。リスクマネジメントは、IT部門だけでなく、営業、総務、経営層など、組織に属する全員が自らの役割を認識し、業務プロセスの中にセキュリティ対策を組み込んでいくことが不可欠です。

なぜ他の選択肢が不適切なのか

アの最終責任者が現場の担当者であるという点は誤りです。リスクマネジメントの最終的な責任は、組織全体の経営判断を行う経営層が負うべきものです。

イの業務から切り離した活動とすることも誤りです。セキュリティ活動は、日々の業務と一体となって運用されなければ意味がありません。業務と切り離してしまうと、現場の利便性を損なうだけの不要なルールになりかねません。

エの各部署が独立して基本方針を定めることも不適切です。セキュリティ基本方針は、組織全体で統一された指針でなければなりません。各部署でバラバラな方針を立てると、組織内でセキュリティレベルに不整合が生じ、かえって脆弱性が生まれる原因となります。

実社会におけるリスクマネジメントの構造

この問題は、セキュリティ対策が単なる「ITの技術的対応」ではなく、「組織のガバナンス」そのものであるという本質を突いています。

実際の企業活動においては、情報セキュリティマネジメントシステム（ISMS）などのフレームワークを用いて、以下のようなサイクルを回します。

1. 組織全体の方針を経営層が策定する。
2. 各部署の業務特性に合わせた具体的なリスクを洗い出す。
3. 全員が自身の役割（パスワード管理、機密情報の取り扱いなど）を遵守する。
4. 状況の変化に合わせて対策を継続的に見直す。

このように、全社員が「自分事」として取り組む体制を構築することこそが、強固なセキュリティを築く鍵となります。ITパスポート試験において、この問いは「セキュリティは技術的な知識だけでなく、組織としての姿勢が問われる」という基本概念を定着させるために出題されています。

参考リンク

• 情報セキュリティマネジメントとは？（IPA 独立行政法人情報処理推進機構）
• 【ITパスポート】情報セキュリティマネジメント（YouTube - かずよしIT教室）
• セキュリティ事故を未然に防ぐ！ISMSの基本と導入のポイント（Qiita）