令和8年度 ITパスポート試験 公開問題 問100 解説 ISMSの活動

正解の判断根拠

この問題は、ISMSという用語の定義と目的を理解しているかを問うています。ISMSは情報セキュリティを守るためのマネジメントの仕組みであり、その中心的な活動は「リスクアセスメント」です。選択肢の中で、リスクを特定・評価して管理するという、まさにISMSの中核となるプロセスを説明しているのはウだけです。

ISMSの核心：リスクアセスメントとPDCAサイクル

ISMS（Information Security Management System）とは、日本語で「情報セキュリティマネジメントシステム」と呼ばれます。組織が保持する情報資産（顧客データ、設計図、ノウハウなど）を、「機密性」「完全性」「可用性」の3つの観点から守るための仕組みです。

ISMSにおいて最も重要な活動が、リスクアセスメントです。リスクアセスメントは以下の手順で進められます。

1. 情報資産の特定：組織内のどこにどのような情報があるかを把握する。
2. リスクの特定：その情報が漏洩、改ざん、紛失する恐れ（脅威）を洗い出す。
3. リスクの分析・評価：そのリスクが発生する確率と、発生した際の影響度を調べ、どのリスクに優先して対策を打つべきかを決める。

これらのプロセスを経て、必要に応じて物理的な対策（鍵をかけるなど）や技術的な対策（暗号化するなど）、人的な対策（教育を行うなど）を講じていきます。ISMSは一度作って終わりではなく、PDCAサイクル（計画・実行・点検・改善）を回すことで、時代の変化や新たな脅威に対応し続けることが求められます。

なぜ他の選択肢が誤りなのか

各選択肢が示す内容は、ITパスポート試験で頻出する別の管理手法です。これらを混同しないように整理しましょう。

アの「業務プロセスの改善」は、BPR（ビジネスプロセス・リエンジニアリング）やカイゼン活動を指します。効率化を目的とするものであり、セキュリティという特定の枠組みではありません。

イの「ITサービスの品質向上」は、ITIL（IT Infrastructure Library）やITサービスマネジメントに関する記述です。ユーザーの満足度やサービスの安定稼働に焦点を当てており、ISMSの主目的とは異なります。

エの「開発プロセスの成熟度評価」は、CMMIなどのソフトウェア開発におけるプロセス改善モデルの定義です。組織の開発能力や品質管理能力を測るための指標であり、情報セキュリティのマネジメントとは目的が異なります。

学びの活用方法

この知識は、社会人として「情報の守り方」を考える際の土台となります。例えば、職場で「このデータをクラウドに上げていいか？」「パスワード管理はどうすべきか？」と悩んだとき、ISMS的な考え方があれば、「その情報の価値は何か（資産の特定）」「どのような脅威があるか（リスクの特定）」を冷静に分析できます。単に「ルールだから」守るのではなく、リスクに基づいた合理的な判断ができるようになることが、ITパスポート合格後の実務に直結します。

参考リンク

• ISMS（情報セキュリティマネジメントシステム）とは - IPA 独立行政法人 情報処理推進機構
• 情報セキュリティマネジメントシステム - Wikipedia
• ISO/IEC 27001（情報セキュリティマネジメントシステム）の概要 - 日本品質保証機構 (JQA)