平成31年度 春期 ITパスポート試験 問50 解説 情報セキュリティ監査

この問題の正解を導くための鍵は、情報セキュリティ監査の対象が「情報システム」という言葉に限定されないことを理解することです。監査の目的は、組織全体の情報セキュリティが確保されているかを評価することにあります。したがって、IT機器の中にあるデータだけでなく、紙の書類や、それらを扱う人、物理的な施設など、組織が管理するあらゆる情報資産が監査の対象となります。

情報セキュリティ監査とは、組織が守るべき情報資産に対して、定めたルール通りにセキュリティ対策が実施されているかを客観的に評価するプロセスです。ここでいう情報資産とは、以下の要素を広く含みます。

・情報そのもの（電子データだけでなく、紙の文書、設計図、顧客リストなど） ・情報システム（サーバ、PC、ネットワーク機器、アプリケーション） ・人的資産（従業員、外部委託先の人員など） ・物理的資産（オフィス、入退室管理設備など）

選択肢のアやウは「情報システム」に限定されていますが、これだけでは不十分です。たとえば、紙の機密書類が鍵のかからない机の上に放置されていないか、重要な情報が記されたメモが適切に破棄されているかといった項目も、セキュリティ監査において非常に重要です。選択肢イの「情報システム以外」も一部を指しているに過ぎません。組織が保有する資産はシステムと非システムを併用しているのが一般的であるため、その全体をカバーしなければ漏れが生じてしまいます。

この問題のパターンは、試験において「情報セキュリティ」の適用範囲を問う際によく用いられます。ITパスポートでは、しばしば「IT＝コンピュータ関連だけ」という思い込みを突く問題が出題されます。セキュリティ対策は、システム技術（ファイアウォールなど）だけでなく、管理体制（パスワード管理ルールなど）や物理的対策（施錠など）を含めた包括的なものであるという考え方を定着させることが、この種の問題で確実に得点するコツです。

実務においては、情報セキュリティマネジメントシステム（ISMS）の運用などにおいて、資産の洗い出し（資産台帳の作成）を行い、それら全てを定期的に監査することで、組織全体のセキュリティレベルを維持・向上させていきます。

情報セキュリティ監査（情報処理推進機構） https://www.ipa.go.jp/security/audit/index.html 情報セキュリティマネジメントシステム（ISMS）とは（JIS Q 27001解説など） https://www.jisq27001.jp/ 情報資産とは（用語解説辞典） https://www.otsuka-shokai.co.jp/words/information-asset.html