情報セキュリティマネジメント試験(SG)「情報セキュリティ管理(ISMS・情報セキュリティポリシー・リスクアセスメント/リスク対応・情報資産の管理と分類・機密性/完全性/可用性・PDCA)」の練習問題9問です。解けなかった問題は、各問の解説末尾のリンクから対応する解説記事に進んでください。
Q1. ISMS(情報セキュリティマネジメントシステム)の国際規格として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
ISMS の要求事項を定めた国際規格は ISO/IEC 27001 です。組織が情報セキュリティを 体系的・継続的に管理する ための枠組みを示しており、この規格に基づいて第三者認証を取得できます。
A の ISO 9001 は品質マネジメント、C の ISO 14001 は環境マネジメント、D の ISO/IEC 20000 は ITサービスマネジメントの規格で、いずれも ISMS 本体の規格ではありません。
Q2. 情報セキュリティの3要素(CIA)の組み合わせとして、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
情報セキュリティの3要素は 機密性(Confidentiality)・完全性(Integrity)・可用性(Availability) で、頭文字をとって CIA と呼ばれます。機密性は「許可された人だけが情報にアクセスできること」、完全性は「情報が改ざんされず正確に保たれること」、可用性は「必要なときに情報やシステムを使えること」を指します。
A はシステム性能、B は PDCA 的な管理工程、C はセキュリティ技術の手段で、いずれも CIA の3要素ではありません。
Q3. ISMS で用いられる「PDCA サイクル」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
PDCA サイクル は、計画(Plan)・実行(Do)・点検(Check)・改善(Act) の4段階を繰り返すことで、管理活動を継続的に向上させる考え方です。ISMS では方針や対策を一度作って終わりにせず、運用結果を点検し、見直して改善するという 継続的改善 が重視されます。
B は継続的改善と反対の固定運用、C は CIA、D は暗号強度の話で、いずれも PDCA の説明ではありません。
Q4. 情報セキュリティポリシーの一般的な構成として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
情報セキュリティポリシー は、一般に 基本方針(組織としての考え方・目的)、対策基準(守るべきルールや基準)、実施手順(具体的な手続き)という階層で構成されます。上位ほど普遍的な方針を、下位ほど具体的なやり方を定めるイメージです。会社のルールブックを「理念→規則→マニュアル」の順に整える流れに近いと考えると分かりやすいです。
A・B・D はいずれもポリシーとは無関係な文書の説明で、本問の答えではありません。
Q5. リスクアセスメントの説明として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
リスクアセスメント は、組織が抱えるリスクを 特定(洗い出し)し、分析し、評価する 一連の活動です。どこに、どのくらいの大きさのリスクがあるのかを把握することで、限られた資源をどの対策に振り向けるかを判断できます。健康診断で体の不調を見つけて優先順位をつけるのに近い活動です。
A はインシデント公表、C は人事評価、D は暗号化技術で、いずれもリスクアセスメントの説明ではありません。
Q6. リスク対応の4つの選択肢「回避・低減・移転・受容」のうち、「リスク移転」にあたる例として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
リスク移転 は、リスクによる損失を 保険や外部委託などで他者に肩代わりしてもらう 対応です。リスクそのものをなくすのではなく、被害が出たときの負担を移す考え方です。
A は業務をやめる リスク回避、B は対策で発生可能性や影響を下げる リスク低減、C は小さいリスクをそのまま受け入れる リスク受容 にあたります。4つの違いをセットで押さえておくと得点しやすくなります。
Q7. 情報資産の管理における「情報の分類」を行う目的として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
情報資産を扱うときは、まず何が重要な資産かを洗い出し、重要度(機密性・完全性・可用性の観点)に応じて分類 します。分類することで、重要な情報には強い保護を、そうでない情報には適切な範囲の保護を割り当てられ、対策の めりはり をつけられます。すべてを最高レベルで守るのは現実的でないため、分類が管理の出発点になります。
B は分類の意味を否定する説明、C は保存コストだけに着目した説明、D は人事の話で、いずれも本問の答えではありません。
Q8. 完全性(Integrity)が損なわれている状態の例として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
完全性 は、情報が 改ざんされず、正確で完全な状態に保たれていること を指します。データが書き換えられて内容が正しくなくなるのは、まさに完全性が損なわれた状態です。
A は許可されない人が情報を見ている点で 機密性、B は必要なときに使えない点で 可用性 が損なわれた例です。D はパスワード運用上の不便であり、CIA のどの要素が損なわれたともいえません。3要素のどれが崩れているかを切り分けて考えるのがコツです。
Q9. 内部統制と情報セキュリティ管理の関係として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
内部統制 は、組織が業務を適正かつ効率的に運営するために整える 仕組み・ルール の総称です。情報の管理や保護はこの中の重要な要素であり、情報セキュリティ管理は内部統制の一環 として位置づけられます。両者は別々ではなく、組織を健全に保つために連携する関係です。
A は無関係とする誤り、C は内部統制を攻撃ブロック技術と取り違えた説明、D はリスクがすべてなくなるという言い過ぎで、いずれも本問の答えではありません。
試験全体の流れを俯瞰したい時は、情報セキュリティマネジメント試験(SG) 試験全体概要 に戻れます。
学習の全体像と次に進む分野は、情報セキュリティマネジメント試験 学習ロードマップ で確認できます。