平成27年度 春期 ITパスポート試験 公開問題 問47 解説 情報セキュリティポリシ

解き方のポイント

「組織としての方針」や「ルールを規定した文書」というキーワードが出たら、真っ先に情報セキュリティポリシを疑いましょう。この問題は、階層構造を持つセキュリティルール群の総称を答えさせる典型的な知識問題です。

情報セキュリティポリシとは何か

情報セキュリティポリシは、企業が守るべき情報の扱い方について、その「方針」や「基準」をまとめた文書です。多くの組織では、以下のような階層構造で整備されます。

1. 基本方針（ポリシー）：組織の経営陣が示す、セキュリティに対する最も根本的な姿勢や目的。
2. 対策基準：基本方針を実現するために、具体的に何をすべきかを定めたルール。
3. 実施手順：対策基準を現場でどう実行するかを具体的に記したマニュアル。

これら全体をまとめて情報セキュリティポリシと呼びます。問題文にある「包括的に規定した文書」という表現は、まさにこの階層全体を指しています。

なぜ他の選択肢ではいけないのか

選択肢に含まれている用語は、ITパスポートで頻出かつ混同しやすいものです。それぞれの違いを整理しましょう。

情報セキュリティマネジメントシステム（ISMS）は、単なる文書そのものではなく、方針を決め、計画を立て、運用し、評価・改善するという「仕組み（マネジメントサイクル）」全体を指します。

ソーシャルエンジニアリングは、技術的な脆弱性ではなく、人の不注意や心理的な隙をついてパスワードを聞き出したり、盗み見たりする攻撃手法のことです。規定や方針とは全く別の概念です。

リスクアセスメントは、どのようなリスクがあるかを特定し、分析・評価する「プロセス」を指します。情報セキュリティポリシというルールを作るための準備段階で行われる活動の一つです。

実務での活用シーン

実務において、この概念を知っておくことは非常に重要です。例えば、あなたが新入社員として会社に入った際、最初に配布されるのが情報セキュリティポリシです。「なぜPCにパスワードをかけるのか」「なぜUSBメモリを使ってはいけないのか」という問いに対し、その根拠となるのがこの文書です。

もし自社でセキュリティインシデントが発生した場合、まず参照されるのもこのポリシです。「会社としてどうあるべきと決めていたか」を理解することは、組織の一員として正しい判断基準を持つことに直結します。試験対策としては、単に暗記するだけでなく、自分たちのルールブックがどのような構成になっているかを想像しながら学習すると理解が深まります。

参考リンク

• 【ITパスポート】情報セキュリティポリシとISMSをわかりやすく解説！
• 【実例紹介】中小企業が情報セキュリティ基本方針を作ってみた話
• 情報セキュリティマネジメントシステム（ISMS）の概要 - IPA 独立行政法人情報処理推進機構