令和６年度 ITパスポート試験 公開問題 問86 解説 ISMSのPDCAモデル

選択の判断根拠：PDCAの各段階の役割を理解する

この問題を解く鍵は、PDCAの4つのフェーズ（Plan・Do・Check・Act）の定義を正確に把握することです。「Check（評価）」とは、計画に基づいて実施された業務が適切であるかを、客観的なデータや視点を用いて確認し、測定するプロセスを指します。

今回の問題において、「サーバ管理者の業務内容を第三者に客観的に評価する」という行為は、まさに運用がルール通りに行われているかを確認する「内部監査」そのものであり、これが「Check」に該当します。

PDCAサイクルの整理

ISMS（情報セキュリティマネジメントシステム）において、PDCAは以下のように分類されます。

1. Plan（計画）：情報資産の洗い出し、リスク分析、対策目標の決定など「何をするか」を決める段階。
2. Do（運用・実施）：定められた手順書に従って運用する、監視を行うなど「計画を実行する」段階。
3. Check（評価）：内部監査やマネジメントレビューを実施し、運用の有効性を確認する「結果を調べる」段階。
4. Act（改善）：監査結果を基に是正措置を講じたり、システムの仕組みを見直したりする「次に繋げる」段階。

この定義に照らし合わせると、他の選択肢は以下のように分類できます。

・選択肢ア：是正措置を講じる段階なので、Actに分類されます。 ・選択肢イ：情報資産の洗い出しは、リスク分析の前段階であるPlanの一部です。 ・選択肢エ：運用手順に従って作業を行うことは、Doのプロセスそのものです。

学習のポイントと現場での活用

試験対策としては、単に用語を暗記するだけでなく、「その行為が誰の視点で行われるか」を意識するのがコツです。

Check（評価）において重要なのは「客観性」です。自らが行った運用を自ら評価するだけでは、見落としや甘えが生じる可能性があります。そのため、ISMSの運用現場では、第三者によるチェック機能（内部監査や外部監査）が不可欠です。この問題は、セキュリティ管理における「客観的な検証」の重要性を問うています。

実務においても、どのような仕組みであれ「やりっぱなし」にせず、定期的に「想定した通りに動いているか」を立ち止まってチェックし、不備があれば改善するというPDCAの構造を意識することで、セキュリティ事故の未然防止や業務効率の向上に繋げることができます。

参考リンク

• ITパスポート試験ドットコム｜PDCAサイクル
• Qiita｜PDCAサイクルを正しく理解し、個人のスキルアップに応用する
• JIS Q 27001:2023（ISMSの国際規格）｜マネジメントシステム規格の構造とPDCAの定義