平成29年度 秋期 ITパスポート試験 公開問題 問80 解説 ISMS適合性評価制度

ISMS認証の定義における「システムや製品の安全性」と「管理の仕組み」の区別がついているかが正解への鍵です。ISMS認証は製品や特定のシステムが完璧であることを保証するものではなく、組織がセキュリティを維持するためのプロセスを構築し、PDCAサイクルを回していることを証明する制度です。

ISMS（情報セキュリティマネジメントシステム）適合性評価制度とは、組織が情報セキュリティを適切に管理するための仕組みを確立し、運用していることを第三者機関が審査・認証する制度です。ここで重要になるのは、この制度が個別の技術的欠陥をカバーするものではないという点です。

aの脆弱性については、システム構成やプログラミングの質に依存する技術的な個別の問題です。ISMSの審査では管理体制が適切かを評価しますが、プログラムコードにバグがないか、特定の通信設定に脆弱性がないかといった個別の技術的詳細まで保証するものではありません。

bの情報資産の管理体制は、ISMSの目的そのものです。組織がどのような情報資産を持ち、どのようなリスクを想定し、それに対してどのような対策を講じるかを計画し実行しているか、という管理プロセス全体が認証の対象となります。

cの暗号モジュールの適切さについては、製品の仕様や性能評価（暗号モジュール試験など）の領域です。ISMS認証はあくまで組織の管理マネジメントに対する認証であり、個別の製品やモジュールの機能が仕様通りに動作することや、実装の正確性を保証するものではありません。

ITパスポート試験では、ISMS（ISO/IEC 27001）やプライバシーマークといった認証制度と、製品ごとの安全性評価制度（共通評価基準や暗号モジュール試験など）の対象範囲を混同させるひっかけ問題が頻出します。「認証は仕組みに対するものか、製品に対するものか」という視点を持つことで、迷わず正解を選べるようになります。

• 一般社団法人日本情報経済社会推進協会（JIPDEC） ISMS認証制度
• 総務省 国民のための情報セキュリティサイト 情報セキュリティマネジメントシステム（ISMS）