令和7年度 ITパスポート試験 公開問題 問84 解説 情報セキュリティ方針

情報セキュリティ方針の役割と継続的改善の重要性

この問題は、ISMS（情報セキュリティマネジメントシステム）における「情報セキュリティ方針」の性質について問われています。正解は「イ」ですが、その判断根拠は、情報セキュリティ対策が一度行えば完了するものではなく、常に変化する脅威に対応するために継続的な改善が必要であるというISMSの基本的な考え方を理解しているかどうかにあります。

情報セキュリティ方針とは

情報セキュリティ方針は、組織が情報セキュリティに関してどのような姿勢で臨むのか、どのような目的を達成しようとしているのかを、経営層が明確に表明する文書です。これは、組織全体の情報セキュリティ活動の指針となるものであり、従業員一人ひとりが情報セキュリティの重要性を認識し、日々の業務で実践するための基礎となります。

経営層のコミットメントの表明

情報セキュリティ方針は、経営層の強いコミットメント（約束）を示すものです。経営層が情報セキュリティの重要性を理解し、その実現のためにリソース（人、モノ、カネ、情報）を投入することを約束することで、組織全体に情報セキュリティへの意識を浸透させることができます。

組織全体への適用

「ウ」の選択肢にあるように、情報セキュリティ方針を部門ごとに定めるのではなく、組織全体で統一された方針を定めることが一般的です。なぜなら、情報資産は組織全体で共有・活用されるものであり、一部の部門だけがセキュリティ対策を強化しても、他の部門が脆弱であれば組織全体のリスクは軽減されないからです。

継続的な改善（PDCAサイクル）

「イ」の選択肢が正解である理由は、情報セキュリティ対策が「一度実施したら終わり」ではないからです。サイバー攻撃の手法は日々巧妙化・多様化し、新たな脅威も次々と出現します。また、組織の事業内容や利用する技術も変化します。そのため、ISMSではPDCA（Plan-Do-Check-Act）サイクルと呼ばれる継続的な改善の仕組みが導入されています。

• Plan（計画）: 目標設定、リスクアセスメント、対策の計画
• Do（実施）: 計画に基づいた対策の実施
• Check（評価）: 実施した対策の効果測定、リスクの再評価
• Act（改善）: 評価結果に基づいた対策の見直し・改善

情報セキュリティ方針には、このPDCAサイクルを通じてISMSを継続的に改善していくという経営層の意思やコミットメントが盛り込まれるべきです。

伝達範囲と承認プロセス

「ア」の選択肢は、情報セキュリティ方針に機密事項が含まれるからという理由で伝達範囲を限定すべきとしていますが、方針は組織全体の指針となるべきものであるため、従業員全体に周知されるべきです。機密性の高い具体的な技術情報などは、方針とは別に管理されるべきでしょう。 「エ」の選択肢にある「ボトムアップを前提」という点も、方針策定においてはトップダウン（経営層の意思表明）とボトムアップ（現場からの意見吸い上げ）の両方が重要ですが、方針そのものは経営層の承認が必要であり、各職場の管理者によって承認されるべきものという限定は適切ではありません。

知識の活用場面

この問題で問われている「情報セキュリティ方針」の理解は、ITパスポート試験だけでなく、実際のビジネスシーンにおいても非常に重要です。

• 情報セキュリティ担当者: 組織の情報セキュリティ方針を理解し、それを基に具体的な対策を計画・実行・評価する際に役立ちます。
• 一般社員: 自身の業務における情報セキュリティの重要性を認識し、方針に沿った行動をとるための基礎となります。
• 管理者: 部門やチームにおける情報セキュリティ対策を推進し、従業員への教育・指導を行う際の指針となります。
• 経営層: 組織の情報セキュリティに対する責任を果たすために、方針策定・承認、および継続的な改善へのコミットメントの重要性を理解する上で不可欠です。

ITパスポート試験では、ISMSの基本概念や情報セキュリティ方針の役割といった、組織が情報セキュリティをどのように管理していくべきかという、より全体的・戦略的な視点が問われる傾向があります。

参考リンク

• 情報セキュリティ方針の策定・運用のポイント｜IPA
• 【ITパスポート】情報セキュリティポリシーとは？目的、構成要素、注意点をわかりやすく解説！
• 情報セキュリティ方針 – Wikipedia