ITパスポート 2014年 秋期 問83
問題文
社内のISMS活動の一環として、サーバのセキュリティについて監査を行うことになった。最初に実施することとして、適切なものはどれか。
選択肢
ア:監査の計画書を作成する。(正解)
イ:サーバのセキュリティ設定を見直す。
ウ:全てのサーバの監査用ログの所在を確認する。
エ:脆弱性検査ツールを利用して、サーバの脆弱性を確認する。
🔒 解説は解答すると表示されます
サーバのセキュリティ監査を最初に実施すること【ITパスポート 解説】
まず用語の説明です(初出のみ簡単に)。
- ISMS(Information Security Management System:情報セキュリティマネジメントシステム)
組織全体で情報を守るしくみやルールのこと。 - 監査(audit)
構成や運用がルールどおりになっているかを第三者的に確認する行為。 - ログ(log)
コンピュータやサーバが記録する「いつ・誰が・何をしたか」の履歴。 - 脆弱性(vulnerability)
攻撃されやすい弱点。脆弱性検査ツールはその弱点を自動で探す道具。
正解の理由
監査は「何を・どの範囲で・誰が・いつ・どのように確認するか」を決めたうえで実施します。つまり、最初に必要なのは監査の進め方を定めた計画です。選択肢の中では、監査の実施前にまず計画書を作成することを示す ア が正しいです。
理由を短くまとめると:
- 監査計画がないと、範囲や目的があいまいになり、後の作業(ログ確認や脆弱性検査)が無駄になったり証拠が不足したりします。
- 監査は手順に従って証拠を収集する必要があるため、まず計画(何を証拠とするか、誰が見るか、タイミング等)を決めるのが適切です。
解法ステップ
- 問題文で「最初に実施すること」とある点を確認する。
- 監査の流れ(計画 → 実施 → 証拠収集 → 結果評価 → 改善)を思い出す。
- 選択肢を当てはめ、監査の「最初」に相当するものを選ぶ。
- 「計画」を示す選択肢が最優先なので ア を選ぶ。
短く言えば、「監査は計画から始まる」を基準に選びます。
選択肢別の誤答解説
-
ア: 監査の計画書を作成する。
→ 正解。監査は計画(目的・範囲・手順・スケジュール・担当者など)を定めてから実施します。 -
イ: サーバのセキュリティ設定を見直す。
→ 誤り。設定見直しは改善・対応の活動です。監査の「実施」や「改善」に当たるため、最初に行うことではありません。 -
ウ: 全てのサーバの監査用ログの所在を確認する。
→ 誤り。ログ確認は監査実施時の証拠収集に該当します。どのログを確認するかは監査計画で決めます。いきなり全サーバを確認するのは非効率であり、計画前の行為として不適切です。 -
エ: 脆弱性検査ツールを利用して、サーバの脆弱性を確認する。
→ 誤り。脆弱性検査は技術的な診断で、監査の一部になることがありますが、実施前にどの検査を行うか・承認・影響評価などを計画で決める必要があります。最初にやるべきではありません。
よくある誤解
-
「監査=問題を見つける作業(設定を直すこと)」
→ 監査は現状を評価する活動で、設定を直すのは改善(是正処置)です。監査自体が直接設定変更を行うわけではありません。 -
「ログがあればすぐ調べればよい」
→ ログを見ることは重要ですが、何を根拠に評価するか(ログの期間・対象・チェック項目)は計画で定めます。無計画に全ログを調べるのは時間の無駄です。 -
「技術的なツールを最初に使えば監査は終わる」
→ ツールは手段であり、監査の目的や範囲を決めた上で使うものです。ツールだけで監査の全てを代替することはできません。
補足コラム
監査計画書に含める主な項目(例)
- 監査の目的(何を達成するか)
- 監査範囲(どのサーバ、どの機能を対象とするか)
- 監査基準(何をもって合格/不合格とするか)
- 手順とスケジュール(誰がいつ何をするか)
- 必要な証拠(ログ、設定ファイル、操作記録など)
- 担当者と役割(内部監査員、外部監査員、協力部署)
- 連絡方法と緊急対応(監査中に重大問題が見つかった場合の対応)
覚え方のコツ:「監査は家を調べる前に間取り図(計画)を見る」。いきなり物を動かす前に設計図を確認するイメージです。
関連:ISMSの監査はISO/IEC 27001の要求に沿って行われることが多く、計画・実施・評価・改善のPDCA(Plan-Do-Check-Act)サイクルを意識します。
FAQ
Q1. 監査計画は誰が作るべきですか?
A1. 通常は監査部門や情報セキュリティ担当が中心となり、対象部署と調整して作成します。客観性を保つために、可能なら監査担当は独立性を確保します。
A1. 通常は監査部門や情報セキュリティ担当が中心となり、対象部署と調整して作成します。客観性を保つために、可能なら監査担当は独立性を確保します。
Q2. 監査計画があれば、すぐに脆弱性検査をしてよいですか?
A2. 計画で検査範囲・時間帯・影響評価・承認を決めた上で実施します。無断で検査を行うと業務に影響を与える場合があります。
A2. 計画で検査範囲・時間帯・影響評価・承認を決めた上で実施します。無断で検査を行うと業務に影響を与える場合があります。
Q3. 小さな組織でも監査計画は必要ですか?
A3. 必要です。規模が小さくても「何を・誰が・いつ」の整理は重要で、無駄や見落としを防げます。
A3. 必要です。規模が小さくても「何を・誰が・いつ」の整理は重要で、無駄や見落としを防げます。
関連キーワード: ISMS監査, 監査計画, 監査手順, ログ確認, 脆弱性診断, セキュリティ監査, PDCA, 監査証拠, 監査範囲, 監査実施

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

