平成27年度 春期 ITパスポート試験 公開問題 問81 解説 ISMSの特徴

解答のポイント

ISMS（情報セキュリティマネジメントシステム）は「継続的な改善」と「組織全体での取組み」というキーワードが最大の特徴です。そのため、「一度やって終わり」という記述がある選択肢は誤りであり、逆に「組織の上層部が関与して維持し続ける」という記述がある選択肢が正解となります。

ISMSの本質：PDCAを回し続けること

ISMSは、組織が保有する情報資産を守るために、計画（Plan）、実行（Do）、点検（Check）、処置（Act）のPDCAサイクルを回し、セキュリティレベルを向上させ続ける仕組みです。

aの「一過性の活動でなく改善と活動を継続する」が正しいのは、IT環境や脅威は日々変化するためです。一度完璧なセキュリティ対策を導入しても、新しいウイルスや攻撃手法が現れればすぐに陳腐化します。そのため、終わりを設けず常に最新の状態を保つことが求められます。

cの「経営層を頂点とした組織的な取組み」が正しいのは、セキュリティ対策には予算、人員配置、社内規定の策定といった経営判断が不可欠だからです。現場だけでセキュリティ対策をしようとしても、権限や予算が足りず、組織全体を守ることはできません。

なぜボトムアップや期間限定ではいけないのか

bの「現場主導のボトムアップ」が誤りである理由は、セキュリティは組織全体の文化として根付かせる必要があるからです。現場の意欲だけで進めようとすると部署間の連携がうまくいかず、会社全体としてのリスク管理に穴が開いてしまいます。

dの「目標と期限を定めて終了する」が誤りである理由は、ISMSはプロジェクト（特定の成果物を期日までに作る活動）ではなく、マネジメントシステム（仕組み）だからです。終わりのある活動にしてしまうと、終わった瞬間にセキュリティの運用や監視が放置され、重大な事故につながるリスクが高まります。

現場でどう役立つ知識か

この問題は、試験対策としてだけでなく、実社会の仕事において非常に重要です。例えば、社内で「セキュリティ対策をしよう」という話になったとき、それが「ツールを入れて終わり」なのか、「組織として運用ルールを定め、定期的に見直す仕組みを作るのか」という視点の違いに気づけるようになります。

ISMSの考え方はセキュリティだけでなく、品質管理（ISO 9001）や環境マネジメント（ISO 14001）など、他のマネジメントシステムにも共通する基本概念です。ITパスポートの試験では、このような「仕組みをどう維持するか」という概念的な問いが頻出するため、この考え方をしっかりマスターしておくことが合格への近道です。

参考リンク

• 情報セキュリティマネジメントシステム（ISMS）とは？わかりやすく解説｜ITパスポート試験対策
• セキュリティ対策を文化にするための社内研修：なぜISMSの考え方が重要なのか｜Qiita
• 情報セキュリティマネジメントシステム（ISMS）の定義と目的｜日本工業標準調査会（JIS Q 27001）