令和元年度 秋期 ITパスポート試験 問25 解説 サイバーセキュリティ経営

この問題は、キーワードの「経営者」と「サイバーセキュリティ」を組み合わせて判断します。選択肢の中で、経営者が主導して取り組むべき事項を具体的に示した文書は「サイバーセキュリティ経営ガイドライン」だけです。

サイバーセキュリティ経営ガイドラインとは

経済産業省と独立行政法人情報処理推進機構（IPA）が策定した、経営者向けのガイダンスです。サイバー攻撃はもはや単なるIT部門の問題ではなく、企業価値を左右する経営課題であるという認識のもと、経営者がリーダーシップを発揮して取り組むべき三つの原則と、十の重要項目がまとめられています。

ITパスポート試験で狙われるポイント

このガイドラインに関連する問題では、以下の構成を整理しておくことが合格の鍵となります。

・対象者：IT活用が不可欠な企業の「経営者」 ・目的：経営課題としてのサイバーセキュリティ対策の推進 ・内容：原則と重要項目（経営者が責任を持つべき指針）

他の選択肢との区別

アのIT基本法や、ウのサイバーセキュリティ基本法は「法律」であり、国が定めたルールや枠組みを示すものです。これに対し、本問が問う「経営者が認識すべき原則や取り組むべき項目」のような、実践的な指針やアドバイスをまとめたものは「ガイドライン」と呼ばれます。

試験問題では、法律なのか、ガイドライン（指針）なのか、あるいは規格（ISOなど）なのかという性質の違いを突く問題がよく出題されます。「法律＝守るべきルール」「ガイドライン＝推奨される取り組み指針」という大枠で理解しておくと、迷わずに解答できます。また、「経営者向け」というキーワードが出たら、真っ先にこのガイドラインを連想できるようにしておきましょう。

サイバーセキュリティ経営ガイドライン（経済産業省） サイバーセキュリティ経営ガイドライン（IPA 独立行政法人情報処理推進機構） サイバーセキュリティ経営ガイドラインVer 3.0の解説（IPA 独立行政法人情報処理推進機構）