平成31年度 春期 ITパスポート試験 問72 解説 ISMSの導入効果

この問題は、ISMS（情報セキュリティマネジメントシステム）の定義と、情報セキュリティの3要素を正しく理解しているかを問うものです。

正解にたどり着くための判断基準は以下の2点です。

1. 情報セキュリティの3要素である機密性、完全性、可用性のセットを覚えていること
2. ISMSが何を管理の対象としているか（品質ではなくリスクであること）を理解していること

空欄bに入る語句は、情報セキュリティの3要素の残りひとつを探すだけです。3要素とは、機密性、完全性、可用性を指します。したがって、空欄bには完全性が当てはまります。次に空欄aについては、ISMSがリスクアセスメントやリスク対応を中心としたリスクマネジメントの仕組みであることを思い出すと、リスクが適切であると判断できます。

情報セキュリティの3要素（CIA） 情報セキュリティにおいては、情報を適切に守るために必要な3つの要素が定義されています。これを頭文字からCIAと呼ぶこともあります。

機密性：許可された人だけが情報にアクセスできること。 完全性：情報が改ざんされたり破壊されたりせず、正確に保たれていること。 可用性：必要なときにいつでも情報やシステムを利用できること。

この3つのうちどれか一つでも欠けると、情報資産に対するセキュリティ脅威となります。たとえば、いくら機密性が高くても、必要なときにシステムが動かなければ（可用性がなければ）セキュリティは保たれているとは言えません。

ISMSとリスクマネジメント ISMSは、組織が抱える情報資産に対するリスクを特定し、それを許容できるレベルまで低減・コントロールするための仕組みです。このプロセスを繰り返すことで、セキュリティレベルを向上させます。ITパスポート試験では、ISMSに関する問題で「リスク」というキーワードがセットで登場することが非常に多いため、マネジメントシステムといえばリスクを管理するもの、と結びつけて記憶しておくと確実です。

この知識は、セキュリティ管理策の選定や、PDCAサイクル（Plan-Do-Check-Act）を回す意義を問う問題でも頻出します。情報資産を守るために、場当たり的な対策ではなく、組織的なリスクマネジメントが必要であるという文脈を理解しておきましょう。

• 情報セキュリティの3要素とは？機密性・完全性・可用性の基礎知識（IT用語辞典 e-Words）