令和7年度 ITパスポート試験 公開問題 問38 解説 情報セキュリティ監査
問38 情報セキュリティ監査の説明として,最も適切なものはどれか。
- ア 一定の基準に基づいてITシステムの利活用に係る検証・評価を行い,ガバナンスの適切性などに対する保証や改善のための助言を行うもの
- イ コンピュータの盗難や不正な持出しを物理的に防止し,情報セキュリティを確保するためのツール
- ウ 組織体の価値及び組織体への信頼を向上させるために,組織体におけるITシステムの利活用のあるべき姿を示すIT戦略と方針の策定及びその実現のための活動
- エ 組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価 ✓ 正答
解説
情報セキュリティ監査という言葉が出てきたら、キーワードは「リスクマネジメントの客観的な評価」です。選択肢の中で、情報の安全性を守るための仕組みが正しく機能しているかを、専門家が客観的な立場でチェックしている内容を選びます。
情報セキュリティ監査とは何か
情報セキュリティ監査とは、組織が実施している情報セキュリティ対策が、リスクに対して適切かつ効果的であるかを、第三者が検証・評価する活動です。
重要なポイントは、組織自身が自分たちの対策を点検する「自己点検」とは異なり、利害関係のない第三者が基準に基づいて評価を行うという点です。これにより、対策の形骸化を防ぎ、組織のセキュリティレベルを客観的に裏付けることができます。
今回の問題で正解となった「組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価」は、まさにこの活動の定義そのものです。
混同しやすい用語との整理
他の選択肢は、情報セキュリティ監査とは異なる活動を指しています。
選択肢アの内容は「IT監査(システム監査)」全般の説明に近く、セキュリティだけでなく、ITシステム全体のガバナンスや投資対効果なども範囲に含まれます。セキュリティ監査は、このIT監査の一部に含まれる、セキュリティに特化した活動と言えます。
選択肢イは、入退室管理や物理的な鍵などの物理的セキュリティ対策ツールそのものを指しています。監査は「対策そのもの」ではなく、「対策が正しく運用されているかを評価する行為」です。
選択肢ウは「ITガバナンス」の説明です。あるべき姿を目指して戦略を立てることは経営側の活動であり、それを外側からチェックする監査の活動とは目的が異なります。
なぜこの知識が重要なのか
ITパスポート試験でこの項目が問われる背景には、企業が扱うデジタル情報の重要性が増していることがあります。システムを作って終わりではなく、常に脅威の変化に合わせて対策が機能しているかを評価する「PDCAサイクル」を回すことが重要だからです。
実際の現場では、取引先から「セキュリティ対策がしっかり行われているという証明」を求められることがあります。そのような場面で、監査報告書という形で客観的な評価を提示できるようになれば、組織の信頼向上に直結します。試験対策としては、監査=「客観的な評価」「リスクマネジメントのチェック」というセットで覚えておくのが確実です。
参考リンク
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
