令和5年度 ITパスポート試験 公開問題 問79 解説 PDCAモデルのプロセス
PDCA モデルに基づいて ISMS を運用している組織の活動において,次のような調査報告があった。この調査は PDCA モデルのどのプロセスで実施されるか。 社外からの電子メールの受信に対しては,情報セキュリティポリシーに従ってマルウェア検知システムを導入し,維持運用されており,日々数十件のマルウェア付き電子メールの受信を検知,破棄するという効果を上げている。しかし,社外への電子メールの送信に関するセキュリティ対策のための規定や明確な運用手順がなく,社外秘の資料を添付した電子メールの社外への誤送信などが発生するリスクがある。
- ア P
- イ D
- ウ C ✓ 正答
- エ A
解説
この問題の判断ポイントは、報告内容が現状の運用に対する「分析と評価」を行っているかどうかにあります。PDCAモデルにおいて、現在の業務が計画通りに進んでいるか、リスクや改善点はないかを調査・評価する工程はC(Check:評価)に該当します。
PDCAモデルの各プロセスの役割 P(Plan:計画):情報セキュリティ方針の策定や、目標設定、リスク対応計画の立案を行います。何を守るべきか、どう対策するかという「ルール作り」の段階です。 D(Do:実施):計画に基づいて、システムへのマルウェア対策ソフト導入や、職員への教育など、実際の運用を行う段階です。 C(Check:評価):実施した運用が計画通りか、あるいはどのようなリスクが残っているかを監視・点検・測定する段階です。本問のように、現状の「対策の有無」や「リスクの残存」を客観的に報告する作業は、まさにこのプロセスの役割です。 A(Act:改善):評価結果を受けて、不十分な部分を是正したり、より良い方法へ見直したりする段階です。
試験における見分け方 情報セキュリティマネジメントシステム(ISMS)の問題では、文章の中に「点検」「監査」「測定」「調査」という言葉が出てきたら、それはCheck(C)のプロセスであると判断できます。逆に、「~を規定した」「~を計画した」であればPlan(P)、「~を導入した」「~を実施した」であればDo(D)、「~を是正した」「~を再構築した」であればAct(A)というように、動詞に注目して分類するのがコツです。
この問題のケースでは、現状の対策状況を分析した結果として「誤送信のリスクがある」という評価が導き出されています。この後のステップとして、この評価を基に「規定を作る(Act)」という改善活動へと繋がっていく流れをイメージすると、より確実に理解できます。
- 情報セキュリティマネジメントシステム(ISMS)とは - ITパスポート試験ドットコム
- PDCAサイクルとは - 経済産業省
- 情報セキュリティマネジメント - IPA 独立行政法人 情報処理推進機構
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
