情報セキュリティマネジメント監査・BCP｜過去問題形式で8問

情報セキュリティマネジメント試験のマネジメント・ストラテジ分野「システム監査・内部統制・委託先管理・CSIRT/SOC・インシデント対応・BCP・セキュリティ教育」の練習問題8問です。解けなかった問題は、各問の解説末尾のリンクから対応する解説記事に進んでください。

Q1. システム監査の目的として、もっとも適切なものはどれですか？

A. 情報システムが適切に管理・運用されているかを独立した立場で点検・評価し、改善につなげること

B. 情報システムの新機能を設計し、プログラムを実装すること

C. 社員の勤務時間を集計して給与を計算すること

D. インシデント発生時に検知・対応・復旧を担うこと

回答

解説

正解は「A」です。

システム監査 は、情報システムが適切に管理・運用されているかを、業務の担当部門から 独立した立場 で点検・評価し、問題点を指摘して改善につなげる活動です。監査人は実装や運用そのものを行うのではなく、第三者の目で「ちゃんとできているか」を確かめる役割を担います。健康診断で体の状態をチェックする医師のような立場、とイメージすると分かりやすいです。

B は開発、C は給与計算の説明で、いずれもシステム監査の目的ではありません。D は CSIRT が担うインシデント対応の役割で、独立した立場で点検・評価するシステム監査とは別物です。

システム監査とは？目的と進め方をやさしく解説を見る

Q2. 内部統制の説明として、もっとも適切なものはどれですか？

A. 外部の監査法人だけが行う、企業の決算チェックの作業

B. 社外の取引先との契約条件を取り決めるための交渉

C. 業務が適正に行われるよう、組織自らがルールや仕組みを整備・運用する取り組み

D. 製品の販売価格を決めるための市場調査

回答

解説

正解は「C」です。

内部統制 は、業務が適正かつ効率的に行われ、不正やミスを防げるよう、組織自身が ルール・手続き・仕組みを整備して運用する取り組みです。職務の分離（一人に権限を集中させない）や承認手続き、記録の保管などがその例にあたります。システム監査が外からチェックする健康診断なら、内部統制は組織が日々続ける自己管理の習慣、というイメージです。

A は外部監査、B は契約交渉、D は市場調査の説明で、いずれも内部統制そのものではありません。

内部統制とは？目的と4つの要素をやさしく解説を見る

Q3. 委託先（外部委託）のセキュリティ管理として、もっとも適切なものはどれですか？

A. 業務を委託したら、委託元はセキュリティ上の責任を一切負わなくてよい

B. 委託先の選定基準を定め、契約でセキュリティ要件を明確にし、状況を定期的に確認する

C. 委託先には情報を渡すだけで、その後の取り扱いを確認する必要はない

D. 委託先の業務をすべて自社で巻き取り、委託をやめること

回答

解説

正解は「B」です。

業務やデータの取り扱いを外部に委託する場合でも、委託元には 委託先を適切に監督する責任 が残ります。そのため、選定基準 を設けて委託先を選び、契約でセキュリティ要件 を明確にし、運用後も 定期的に状況を確認 することが重要です。委託先のさらに先（再委託先）まで含めた供給網全体のリスク管理は、サプライチェーン攻撃への備えにもつながります。

A・C は委託したら責任や確認が不要とする誤った説明で、いずれも本問の答えではありません。D は委託をやめてすべて自社で抱える過剰な反応で、委託を適切に管理するという本問の趣旨とは異なります。

サプライチェーン攻撃とは？仕組みと対策をやさしく解説を見る

Q4. CSIRT の役割として、もっとも適切なものはどれですか？

A. 製品の売上を伸ばすためのマーケティング戦略を立案する

B. 社員の人事評価や昇進を決定する

C. オフィスの備品購入や経費精算を取りまとめる

D. セキュリティインシデントに備え、発生時の検知・対応・再発防止を担う専門チーム

回答

解説

正解は「D」です。

CSIRT（シーサート） は、組織内でセキュリティ事故（インシデント）に備え、発生時に 検知・対応・復旧・再発防止 を担う専門チームです。日頃は情報収集や体制整備を行い、事故が起きたら司令塔として動きます。一方、ログ監視やアラート分析を通じて脅威を 常時監視 する拠点は SOC（Security Operation Center） と呼ばれ、見張り役の SOC と対応役の CSIRT が連携する形が一般的です。

A・B・C はそれぞれマーケティング・人事・総務の業務で、いずれも CSIRT の役割ではありません。

CSIRT・SOCとは？役割の違いをやさしく解説を見る

Q5. セキュリティインシデント発生時の対応手順として、もっとも適切なものはどれですか？

A. 検知・連絡（報告）・初動対応（被害拡大の抑制）・復旧・再発防止の流れで進める

B. 担当者個人の判断だけで対処し、上長や関係部門には知らせない

C. 原因が完全に判明するまでは、被害が広がっても何もせず待つ

D. 再発防止策の策定を最優先し、検知・初動対応は後回しにする

回答

解説

正解は「A」です。

インシデント対応は、検知（異常に気づく）→ 連絡・報告（関係者へ速やかに共有）→ 初動対応（通信遮断などで被害拡大を抑える）→ 復旧（サービスを元に戻す）→ 再発防止（原因分析と対策）という流れで進めるのが基本です。被害を最小限に抑えるには、隠さず早く報告し、決められた手順に沿ってチームで動くことが欠かせません。火事を見つけたらまず通報し、初期消火で燃え広がりを防ぐ流れに似ています。

B は報告を怠る対応、C は被害拡大を放置する対応で、いずれも避けるべき進め方です。D は再発防止を先に置いて検知・初動対応を後回しにする順序の誤りで、まず被害拡大を抑えるという基本に反します。

インシデント対応とは？CSIRT の役割と流れを解説を見る

Q6. BCP（事業継続計画）の目的として、もっとも適切なものはどれですか？

A. 平常時の売上を最大化するための販売計画を立てること

B. 災害や障害などの緊急時でも、重要業務を継続または早期復旧できるよう備えること

C. 新しい製品のデザインを決めること

D. 平常時のシステム監査を定期的に実施すること

回答

解説

正解は「B」です。

BCP（事業継続計画） は、地震・水害・大規模なシステム障害・サイバー攻撃などの緊急事態が起きても、重要な業務を止めない、または早期に復旧させる ために、あらかじめ手順や代替手段を定めておく計画です。優先して守る業務を選び、復旧の目標時間を決め、訓練して見直す、というサイクルで備えます。非常持ち出し袋を準備しておくように、「もしも」に先回りして備える発想です。

A は平常時の販売計画、C は製品デザインの話で、いずれも BCP の目的ではありません。D は平常時のシステム監査の説明で、緊急時に業務を継続・早期復旧させる BCP とは別の概念です。

BCP（事業継続計画）とは？目的と作り方を解説を見る

Q7. 組織における情報セキュリティ教育の目的として、もっとも適切なものはどれですか？

A. 技術部門の担当者だけがルールを覚えればよく、一般社員には不要である

B. 一度実施すれば十分で、その後は繰り返す必要がない

C. 高性能な機器を導入することで、教育そのものを省略できる

D. 全従業員にルールや脅威への対処を理解させ、人的ミスや不正による事故を防ぐこと

回答

解説

正解は「D」です。

情報セキュリティ教育は、全従業員 にセキュリティポリシーや脅威への対処方法を理解させ、人的なミスや不正 による事故を防ぐことを目的とします。どれだけ高度な技術対策を導入しても、利用する人がだまされたりルールを破ったりすれば事故は起きます。脅威は変化し続けるため、教育は 定期的に繰り返し 実施することが大切です。

A は対象を技術部門に限る、B は繰り返しを不要とする、C は機器で教育を代替できるとする説明で、いずれも適切ではありません。

リスクマネジメントとは？進め方と対策をやさしく解説を見る

Q8. SOC（Security Operation Center）の主な役割として、もっとも適切なものはどれですか？

A. 自社の製品を販売する店舗の運営を統括する

B. 社内の人事異動や採用の計画を立てる

C. ログやアラートを常時監視し、サイバー攻撃の兆候を早期に検知・分析する

D. 社員食堂のメニューや在庫を管理する

回答

解説

正解は「C」です。

SOC（Security Operation Center） は、ネットワークやサーバから集めた ログやアラートを常時監視 し、サイバー攻撃の兆候をいち早く 検知・分析 する役割を担う拠点です。見張り台から24時間あたりを監視する役割にあたり、異常を見つけると対応チームである CSIRT に引き継ぎます。監視役の SOC と対応役の CSIRT を分けて覚えると、両者の違いが整理しやすくなります。

A・B・D はそれぞれ店舗運営・人事・食堂管理の業務で、いずれも SOC の役割ではありません。