令和8年度 ITパスポート試験 公開問題 問79 解説 経営者のセキュリティ役割

この問題の正解を導くための判断基準は、サイバーセキュリティはもはやIT部門だけの問題ではなく、経営課題そのものであるという考え方です。したがって、責任を外部や担当者に丸投げする選択肢はすべて誤りであり、経営者が自ら主体的に関与し、資源を投入する姿勢が求められます。

経営課題としてのサイバーセキュリティ

現代の企業活動において、サイバー攻撃による被害は、単なるシステムダウンにとどまらず、個人情報の流出や重要資産の毀損、ひいては社会的信用の失墜といった経営基盤を揺るがすリスクとなります。そのため、セキュリティ対策をIT部門に任せきりにすることは、ガバナンスの欠如とみなされます。

経済産業省が発行しているサイバーセキュリティ経営ガイドラインにおいても、サイバーセキュリティは経営層がリーダーシップをとって推進すべき戦略的な取り組みであると明記されています。経営者が予算、組織、人材といった経営資源を適切に配分し、リスクへの対応状況を常に把握・監督することが、企業全体のレジリエンス（回復力）を高める鍵となります。

なぜ他の選択肢は誤りなのか

選択肢のア、イ、エに共通しているのは、責任の「丸投げ」です。

・ア：現場に全てを任せると、経営判断が必要な場面での意思決定が遅れるほか、部門間の連携がとれず全体最適が実現できません。 ・イ：CISO（最高情報セキュリティ責任者）を任命すること自体は推奨されますが、権限を委譲しても経営者自身の責任が免除されるわけではありません。全てを任せて経営者が関与を止めることは許されません。 ・エ：外部専門家の活用は有効な手段ですが、自社のリスク選好や事業戦略に基づいた最終的な判断は、経営者自身が行う必要があります。コンサルタントはあくまでアドバイザーであり、責任の主体は常に経営陣です。

経営者に求められる具体的な行動

経営者に求められる役割は、単に号令をかけることではありません。

1. 意思決定：自社の事業環境を踏まえ、どの程度のリスクを受容し、どの程度投資を行うかの指針を示す。
2. 資源配分：セキュリティ対策を優先事項として位置づけ、予算と専門人材を確実に確保する。
3. 継続的な関与：定期的な報告の場を持ち、実施状況をモニタリングして、新たな脅威への対応や対策の改善を指示する。

試験対策としては、サイバーセキュリティ関連の問題が出た際、選択肢の中に「経営者が全責任を負う」「自らリーダーシップを発揮する」といった文言があれば、それが正解である可能性が非常に高いと判断してください。逆に「担当者に丸投げ」「外部に全権委譲」といった消極的な表現があれば、即座に除外するのが定石です。

参考リンク

• サイバーセキュリティ経営ガイドライン（経済産業省）
• サイバーセキュリティの確保について（IPA 独立行政法人情報処理推進機構）
• CISO（最高情報セキュリティ責任者）とは（ITmedia エンタープライズ）