問題
問79 PDCAモデルに基づいてISMSを運用している組織の活動において,次のような調査報告があった。この調査はPDCAモデルのどのプロセスで実施されるか。 社外からの電子メールの受信に対しては,情報セキュリティポリシーに従ってマルウェア検知システムを導入し,維持運用されており,日々数十件のマルウェア付き電子メールの受信を検知し,破棄するという効果を上げている。しかし,社外への電子メールの送信に関するセキュリティ対策のための規定や明確な運用手順がなく,社外秘の資料を添付した電子メールの社外への誤送信などが発生するリスクがある。
選択肢
- アP
- イD
- ウC
- エA
解説
正解:ウ
概要
この問題は、ISMSをPDCAモデルで運用する際に、示された調査報告がどの段階で実施されるかを問うものです。PDCAの各プロセスの役割を正しく理解しているかがポイントです。
正解の理由
提示された内容は、既存の対策が有効に機能している点と、不足している規定や手順によるリスクを評価しています。これは計画や実行そのものではなく、運用状況を点検・評価する活動に当たります。したがって、確認を行うC(Check)の段階で実施されるため、ウが正解です。
各選択肢の解説
ア(×): PはPlanのことで、情報セキュリティポリシーの策定や対策の計画立案を行う段階です。本問は計画の作成ではなく、運用状況を調査・評価しているため誤りです。
イ(×): DはDoのことで、計画に基づいて対策を実施し運用する段階です。本問は実施そのものではなく、その結果を確認している内容なので誤りです。
ウ(〇): CはCheckのことで、対策が有効に機能しているかや不備がないかを点検・評価する段階です。本問の調査報告は現状の有効性とリスクを評価しているため正解です。
エ(×): AはActのことで、評価結果に基づいて改善策を講じる段階です。本問は改善の実施ではなく評価の報告であるため誤りです。
ポイント
PDCAでは、現状の運用状況を点検し問題点を明らかにする活動はC(Check)に該当します。計画・実行・確認・改善の役割を整理して覚えましょう。