問題本文
PDCAモデルに基づいてISMSを運用している組織において,始業時の手順に従って業務用PCに適用されていないセキュリティパッチの有無を確認し,必要なパッチを適用している。この活動はPDCAサイクルのうちどれに該当するか。
解説
ISMSのPDCAサイクルにおける活動分類を問う問題. PDCAはPlan(計画)→Do(実行・運用)→Check(評価・監査)→Act(改善)で循環する. ISMSでの典型対応は,P=情報セキュリティ方針策定・リスクアセスメント・管理策選定,D=方針に従った日常運用(セキュリティパッチ適用,アクセス管理,教育実施等),C=内部監査・有効性レビュー・モニタリング,A=監査結果を踏まえた是正・改善. 本問の「始業時手順に従ってセキュリティパッチを確認・適用」は計画された手順に沿った日常運用そのものでD(Do)に該当. 計画はP,評価はC,改善はAという対応関係を覚えれば一意に判別できる. 日常運用=Doと結び付ける.
選択肢ごとの解説
- ア.誤り. P(Plan:計画)はリスクアセスメント・管理策選定・運用手順策定など事前の計画策定段階. 本問の「手順に従ってパッチを適用する」のはすでに計画された手順を実施する段階であり,計画策定そのものではない. 手順を作る側ではなく実行する側であることに注意する.
- イ.正解. 始業時の手順に従ってセキュリティパッチの有無を確認し必要なパッチを適用する活動は,定められた運用手順を実施する典型的なDo(Do:実行・運用)に該当. ISMSのPDCAでは日常的な運用業務がDの中心活動で,本問の状況と完全に合致する選択肢となる.
- ウ.誤り. C(Check:評価・監視)は運用結果や有効性を点検・評価する活動(内部監査,KPIモニタリング,セキュリティインシデント分析等). 本問の「手順を実行する」のは点検ではなく実施そのものであり,Cの活動には該当しない. 評価と実行を区別する.
- エ.誤り. A(Act:改善)は評価結果を踏まえて手順や管理策を見直し改善する活動. 既存手順をそのまま実施する本問の状況は改善活動ではなく定常運用であり,Aには該当しない. 手順変更や追加対策実施が伴って初めてAになるが,本問はそれを伴わない.
ITパスポート 2015年 (平成27年 秋期) の過去問一覧へ戻る・問69