令和６年度 ITパスポート試験 公開問題 問94 解説 セキュリティポリシー策定

解法のポイント

情報セキュリティポリシーを策定する際は、まず誰がそのプロジェクトを進めるのかという「体制」を整え、次に「方針」を決め、その後に具体的な「中身（資産とリスク）」を精査するという大きな流れを意識してください。

策定プロセスの論理的な流れ

情報セキュリティポリシーは、一度作って終わりというものではなく、組織として継続的に守るべきルールです。このプロセスは、以下の段階を踏むのが標準的です。

1. 責任体制の確立（a） 最初に行うべきは、誰が中心となってポリシーを作るのか、誰が責任を持つのかという「人」の配置です。担当者が決まらなければ、ルール作りは始まりません。

2. 基本方針の策定（b） 次に、組織として「何を大切にし、どのような姿勢で情報セキュリティに取り組むのか」という経営層の意思表示である基本方針を定めます。ここがポリシーの土台となります。

3. 情報資産の特定と分類（c） 土台ができた後、守るべき対象（情報資産）がどれくらいあり、それぞれがどれほど重要なのかをリストアップ（棚卸し）します。

4. リスク分析（d） 最後に、洗い出した資産に対し、どのような脅威（漏えい、改ざん、紛失など）が存在し、どの程度の可能性があるのかを分析します。資産が特定されていなければ、分析のしようがないため、cの後にdが続きます。

なぜこの順番が重要なのか

この問題は、ITガバナンスや管理の基本を問うています。いきなり資産の分析から始めようとしても、組織としての合意（方針）がなければ、何を守るべきか（何が重要か）の判断基準がブレてしまいます。また、責任者が決まっていなければ、分析結果をどのように対策に反映させるのかという意思決定もできません。

このプロセスは、実際の現場で「情報セキュリティ規程」を作成する際や、ISMS（情報セキュリティマネジメントシステム）の認証取得を目指すプロジェクトにおいて、最初に行う手順そのものです。試験ではこの順序の合理性を理解しているかどうかが問われます。

教育的意図

ITパスポートの出題者側は、情報セキュリティを「技術的な対策」だけで考えるのではなく、「組織的な管理プロセス」として捉えてほしいという意図を持っています。ポリシー策定という一見難しそうな言葉も、実は「準備→方針策定→現状調査→リスク評価」という、ビジネスにおけるあらゆるプロジェクト管理の基本形と同じであることを押さえておきましょう。

参考リンク

• 情報セキュリティポリシーの策定と運用の流れ
• 【初心者向け】情報セキュリティポリシーって結局何？実務と資格勉強の架け橋
• ISMS（情報セキュリティマネジメントシステム）の国際規格：JIS Q 27001の概要