戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2014年 秋期 83


問題文

社内のISMS活動の一環として、サーバのセキュリティについて監査を行うことになった。最初に実施することとして、適切なものはどれか。

選択肢

監査の計画書を作成する。(正解)
サーバのセキュリティ設定を見直す。
全てのサーバの監査用ログの所在を確認する。
脆弱性検査ツールを利用して、サーバの脆弱性を確認する。

🔒 解説は解答すると表示されます

サーバのセキュリティ監査を最初に実施すること【ITパスポート 解説】

まず用語の説明です(初出のみ簡単に)。
  • ISMS(Information Security Management System:情報セキュリティマネジメントシステム)
    組織全体で情報を守るしくみやルールのこと。
  • 監査(audit)
    構成や運用がルールどおりになっているかを第三者的に確認する行為。
  • ログ(log)
    コンピュータやサーバが記録する「いつ・誰が・何をしたか」の履歴。
  • 脆弱性(vulnerability)
    攻撃されやすい弱点。脆弱性検査ツールはその弱点を自動で探す道具。

正解の理由

監査は「何を・どの範囲で・誰が・いつ・どのように確認するか」を決めたうえで実施します。つまり、最初に必要なのは監査の進め方を定めた計画です。選択肢の中では、監査の実施前にまず計画書を作成することを示す が正しいです。
理由を短くまとめると:
  • 監査計画がないと、範囲や目的があいまいになり、後の作業(ログ確認や脆弱性検査)が無駄になったり証拠が不足したりします。
  • 監査は手順に従って証拠を収集する必要があるため、まず計画(何を証拠とするか、誰が見るか、タイミング等)を決めるのが適切です。

解法ステップ

  1. 問題文で「最初に実施すること」とある点を確認する。
  2. 監査の流れ(計画 → 実施 → 証拠収集 → 結果評価 → 改善)を思い出す。
  3. 選択肢を当てはめ、監査の「最初」に相当するものを選ぶ。
  4. 「計画」を示す選択肢が最優先なので を選ぶ。
短く言えば、「監査は計画から始まる」を基準に選びます。

選択肢別の誤答解説

  • : 監査の計画書を作成する。
    → 正解。監査は計画(目的・範囲・手順・スケジュール・担当者など)を定めてから実施します。
  • イ: サーバのセキュリティ設定を見直す。
    → 誤り。設定見直しは改善・対応の活動です。監査の「実施」や「改善」に当たるため、最初に行うことではありません。
  • ウ: 全てのサーバの監査用ログの所在を確認する。
    → 誤り。ログ確認は監査実施時の証拠収集に該当します。どのログを確認するかは監査計画で決めます。いきなり全サーバを確認するのは非効率であり、計画前の行為として不適切です。
  • エ: 脆弱性検査ツールを利用して、サーバの脆弱性を確認する。
    → 誤り。脆弱性検査は技術的な診断で、監査の一部になることがありますが、実施前にどの検査を行うか・承認・影響評価などを計画で決める必要があります。最初にやるべきではありません。

よくある誤解

  1. 「監査=問題を見つける作業(設定を直すこと)」
    → 監査は現状を評価する活動で、設定を直すのは改善(是正処置)です。監査自体が直接設定変更を行うわけではありません。
  2. 「ログがあればすぐ調べればよい」
    → ログを見ることは重要ですが、何を根拠に評価するか(ログの期間・対象・チェック項目)は計画で定めます。無計画に全ログを調べるのは時間の無駄です。
  3. 「技術的なツールを最初に使えば監査は終わる」
    → ツールは手段であり、監査の目的や範囲を決めた上で使うものです。ツールだけで監査の全てを代替することはできません。

補足コラム

監査計画書に含める主な項目(例)
  • 監査の目的(何を達成するか)
  • 監査範囲(どのサーバ、どの機能を対象とするか)
  • 監査基準(何をもって合格/不合格とするか)
  • 手順とスケジュール(誰がいつ何をするか)
  • 必要な証拠(ログ、設定ファイル、操作記録など)
  • 担当者と役割(内部監査員、外部監査員、協力部署)
  • 連絡方法と緊急対応(監査中に重大問題が見つかった場合の対応)
覚え方のコツ:「監査は家を調べる前に間取り図(計画)を見る」。いきなり物を動かす前に設計図を確認するイメージです。
関連:ISMSの監査はISO/IEC 27001の要求に沿って行われることが多く、計画・実施・評価・改善のPDCA(Plan-Do-Check-Act)サイクルを意識します。

FAQ

Q1. 監査計画は誰が作るべきですか?
A1. 通常は監査部門や情報セキュリティ担当が中心となり、対象部署と調整して作成します。客観性を保つために、可能なら監査担当は独立性を確保します。
Q2. 監査計画があれば、すぐに脆弱性検査をしてよいですか?
A2. 計画で検査範囲・時間帯・影響評価・承認を決めた上で実施します。無断で検査を行うと業務に影響を与える場合があります。
Q3. 小さな組織でも監査計画は必要ですか?
A3. 必要です。規模が小さくても「何を・誰が・いつ」の整理は重要で、無駄や見落としを防げます。


関連キーワード: ISMS監査, 監査計画, 監査手順, ログ確認, 脆弱性診断, セキュリティ監査, PDCA, 監査証拠, 監査範囲, 監査実施
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について