平成30年度 秋期 ITパスポート試験 公開問題 問78 解説 情報資産の管理

この問題は、情報資産の適切な分類と管理運用についての知識を問うものです。正誤を判断するポイントは以下の通りです。

a：不適切です。情報の価値は時間の経過や状況の変化によって変わるため、保護レベルは一度決めたら固定するのではなく、定期的な見直しが必要です。 b：適切です。保護レベルが高い情報は厳重に、低い情報はそれ相応にと、レベルに応じた具体的な取扱い手順（アクセス権限の設定や暗号化の要否など）を定めることが管理の基本です。 c：適切です。組織ごとに何を重要情報とみなすかの基準（情報分類基準）を策定し、それに基づいて一貫性を持ってレベルを決定します。 d：不適切です。保護すべき情報は電子データだけではありません。紙の書類、ホワイトボードの書き込み、あるいは社員の頭の中にあるノウハウなども立派な「情報」であり、これらも分類と管理の対象になります。

情報資産の管理における考え方

情報セキュリティ対策の基本は「守るべきもの」を明確にすることにあります。すべての情報に同じレベルの対策を施すのはコスト的にも効率的にも現実的ではないため、情報の重要度に応じて保護レベルを分け、それぞれにふさわしい対策を講じる「リスクベースのアプローチ」がとられます。

この考え方は、試験では情報セキュリティマネジメントシステム（ISMS）の文脈でよく出題されます。組織は「情報資産台帳」を作成し、そこに記載された資産に対して機密性・完全性・可用性の観点から格付けを行い、それに対応する物理的・技術的・組織的な管理策を適用します。

試験対策としての視点

この問題のパターンを攻略するには、選択肢の「限定」や「不変」といった極端な表現に注意することが重要です。

・「限定する」「だけ」という表現がある場合：多くの場合、紙媒体や口頭伝達などの例外が含まれていないため、誤りである可能性が高まります。 ・「絶対」「変更しない」という表現がある場合：ITの世界では環境変化に合わせて柔軟にルールを変えることが推奨されるため、これも誤りであることが多いです。

実務においては、保護レベルの見直しは年1回の棚卸しなどのタイミングで実施されることが一般的です。過去問を通じて、個々の手段よりも「状況に応じた柔軟な管理」という大原則を理解しておきましょう。

• 情報セキュリティの3要素（機密性・完全性・可用性）の基礎知識（ITパスポート試験ドットコム）