平成29年度 春期 ITパスポート試験 公開問題 問83 解説 ISMSの適用範囲とリスク

この問題は、ISMS（情報セキュリティマネジメントシステム）の基本概念と、情報セキュリティの3要素（CIA）を組み合わせることで正解を導き出せます。

1. aには「適用範囲内」が入ります。ISMSは組織が管理すべき情報資産の「適用範囲」を定め、その範囲内にある資産に対してセキュリティ対策を講じる仕組みだからです。
2. bには「完全性」が入ります。情報セキュリティの3要素は「機密性」「完全性」「可用性」であり、問題文にある「機密性」や「可用性」と並列して語られるべき項目であるためです。

これらを踏まえると、選択肢ウが正しい組み合わせとなります。

情報セキュリティマネジメントシステムの適用範囲

ISMSを導入する際、組織はどの範囲（部署、拠点、システムなど）をセキュリティ管理の対象とするかを明確にします。これを適用範囲といいます。リスクの特定や評価は、この適用範囲内で運用されている情報資産に対して行わなければ意味がありません。「適用範囲外」の資産は、そもそもそのISMSの管理対象ではないため、リスク評価の対象からも外れます。

情報セキュリティの3要素（CIA）

情報セキュリティは、以下の3つの要素をバランスよく維持することが求められます。

機密性（Confidentiality） 許可された人だけが情報にアクセスできること。情報の漏えいを防ぐ概念です。

完全性（Integrity） 情報が正確であり、改ざんや破壊がなく、信頼できる状態であること。

可用性（Availability） 許可された人が、必要な時にいつでも情報やサービスを利用できること。システムが停止せず、業務が滞りなく行えることを指します。

今回の問題にある「脆弱性」は、システムの欠陥や弱点を指す言葉であり、3要素（機密性・完全性・可用性）とは分類が異なります。このように、用語の定義を正確に区別しておくことが、ITパスポート試験では非常に重要です。

情報セキュリティマネジメントシステム（ISMS）の概要 - JIPDEC 情報セキュリティの3要素（機密性・完全性・可用性） - IPA（独立行政法人情報処理推進機構）