平成27年度 春期 ITパスポート試験 公開問題 問75 解説 ISMSとPDCA

設問の解き方

この問題は、PDCAサイクルの各アルファベットが何を指しているかを特定するだけで即答できます。

キーワードは「継続的な改善」と「是正処置・予防処置」です。PDCAサイクルにおいて、監査の結果を受けて組織の仕組みを修正し、次の計画へつなげる「改善のフェーズ」はA（Act：処置）に該当します。

PDCAサイクルの各フェーズ

PDCAサイクルは、品質管理や業務改善の現場で広く用いられる継続的な改善のフレームワークです。ISMS（情報セキュリティマネジメントシステム）においても、このサイクルを回すことで組織のセキュリティレベルを向上させます。

P（Plan：計画） 情報セキュリティ目標を達成するために、必要なリスクアセスメントを実施し、ルールや対策を策定する段階です。「何を、いつ、どのように守るか」を決めます。

D（Do：実施） 策定した計画に基づき、情報セキュリティ対策を実行する段階です。社員教育を行ったり、アクセス制限を設定したりといった具体的な運用が含まれます。

C（Check：評価） 計画通りに対策が実施されているか、目標が達成されているかを測定・監視し、内部監査を行う段階です。ここでは「守られているか」を客観的に確認します。

A（Act：改善） 監査結果や運用の実態に基づき、不適合な部分の是正や、将来的なリスクに対する予防処置を講じる段階です。ここで得た知見が次の「P（計画）」へとフィードバックされることで、セキュリティレベルが螺旋状に向上していきます。

なぜこの知識が重要なのか

ITパスポート試験においてこの問題が問われる理由は、ISMSにおいて「作って終わり」は許されないという本質的な考え方を理解しているかを確認するためです。

実務においては、いくら完璧なセキュリティルール（P）を作って運用（D）しても、時代とともに攻撃手法は進化し、組織の環境も変化します。監査（C）を通じて見つかった欠陥をそのまま放置すれば、組織はすぐに脆弱な状態に陥ります。

「監査の結果、想定外のインシデントリスクが見つかった」といった状況で、単に「気をつけましょう」と言うだけでは不十分です。PDCAの「A」の視点を持って、「業務フローそのものを見直す」「システム設定を変更する」といった是正処置をとることで、初めて組織的なセキュリティ管理が成り立ちます。この「改善し続ける」という概念は、システム開発やサービス運営など、ITに関わるあらゆる職場で必要とされる姿勢です。

参考リンク

• 情報セキュリティマネジメントシステム（ISMS）のPDCAサイクルとは？
• 【実務解説】社内LANを構築・運用する上でのPDCAサイクル活用法
• JIS Q 27001:2023 情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項