令和8年度 ITパスポート試験 公開問題 問93 解説 ISMSの実施手順

問題の解き方：PDCAサイクルと優先順位の理解

ISMS（情報セキュリティマネジメントシステム）の構築プロセスは、順序立てて行うことが重要です。まずは「何を守るのか」という範囲を決めなければ、その後の作業であるリスクの洗い出しや対策の検討ができません。この問題は、ISMSの構築手順における「最初の入り口」を問うています。

ISMS構築の基本フロー

ISMSの構築は、マネジメントシステムにおけるPDCAサイクル（Plan-Do-Check-Act）の考え方に基づいています。このうち、Plan（計画）のフェーズにおいて、まず最初に行うべきことは適用範囲の決定です。

1. 適用範囲の決定：組織全体を対象にするのか、特定の部署やシステムに限定するのかを定めます。
2. 情報セキュリティリスクアセスメント：決定した範囲内において、どのような脅威があり、どれほどのリスクがあるかを分析・評価します。
3. 情報セキュリティリスク対応：評価されたリスクに対して、対策を講じるのか、受け入れるのか等の対応方針を決定します。

この流れの中で、適用範囲が不明確なままリスクアセスメントを行おうとすると、資産の特定漏れや過剰な対策といった不整合が生じます。そのため、選択肢のうち「適用範囲の決定」が最優先となります。

なぜこの知識が重要なのか

ITパスポート試験においてこの問題が出題される背景には、実務でISMSを導入する際、最初に「全体像」を捉えることの重要性を理解してほしいという意図があります。

現実のビジネス現場でも、セキュリティ対策にはコストと時間がかかります。そのため、「どこからどこまでを我々の守るべき資産とするか」という境界線を引くことは、経営層がセキュリティ予算を配分する際の判断材料として不可欠です。

例えば、クラウドサービスを利用している企業であれば、自社のサーバーだけでなく、利用しているクラウドサービスの管理コンソールまでを適用範囲に含めるのかどうかで、リスクアセスメントの結果は大きく変わります。この「範囲の設定」という一段階目を踏まえることで、後の工程であるリスク対応や内部監査が初めて意味を持つようになります。

試験対策のポイント

本問のような「手順を問う問題」では、キーワードの順番を暗記するだけでなく、なぜその順番であるのかという「論理的な依存関係」を考えることが有効です。

• 適用範囲を決めないと、何を評価（アセスメント）してよいかわからない
• 評価しないと、どのような対策（リスク対応）をとるべきか判断できない
• 対策をとらないと、それが適切に運用されているか確認（内部監査）することができない

このように、後ろの工程は前の工程の結果に依存しています。この連鎖関係を理解しておけば、試験本番で迷った際も、論理的に消去法で答えを導き出すことができます。

参考リンク

• ISMS（情報セキュリティマネジメントシステム）とは - JQA 日本品質保証機構
• 情報セキュリティマネジメントシステム（ISMS）の構築・運用を検討される方へ - IPA 独立行政法人 情報処理推進機構
• 情報セキュリティマネジメントシステム（ISMS）- Wikipedia