戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2015年 秋期 69


問題文

PDCAモデルに基づいてISMSを運用している組織において、始業時の手順に従って業務用PCに適用されていないセキュリティパッチの有無を確認し、必要なパッチを適用している。この活動はPDCAサイクルのうちどれに該当するか。

選択肢

P
D(正解)
C
A

🔒 解説は解答すると表示されます

始業時の手順で未適用パッチを確認し適用している活動のPDCA分類【ITパスポート 解説】

正解の理由

始業時に「業務用PCに適用されていないセキュリティパッチの有無を確認し、必要なパッチを適用している」活動は、計画した対策を現場で実行する段階です。PDCAモデル(Plan:計画、Do:実行、Check:評価、Act:改善)のうち、実際に運用上の作業を行うのはDoに該当します。よってこの問題で示される活動は (Do)です。
補助説明:
  • ISMS(情報セキュリティマネジメントシステム:組織の情報を守るための仕組み)をPDCAで回すと、パッチ適用の「実務的な実行」はDoの領域になります。
  • 「確認して適用する」という能動的な作業が含まれている点が、Doである決め手です。

解法ステップ

  1. 問題文の行動を分解する:
    • 「有無を確認し」=確認のための作業(ただしここは実務のチェック作業)。
    • 「必要なパッチを適用している」=具体的な実行作業。
  2. PDCAの各段階の意味を整理する:
    • Plan(計画):方針や手順、スケジュールを決める。
    • Do(実行):決めた手順や対策を現場で実行する。
    • Check(評価):結果を測定・監査して効果を確認する。
    • Act(改善):評価に基づき方針や手順を改める。
  3. 問題文の行動が「運用・実行」に属するか「評価・改善」に属するかを判断する:
    • 実務でパッチを探して適用する=運用の実行なのでDo。これで を選ぶ。

選択肢別の誤答解説

  • ア(P)について:
    Plan(計画)はパッチ管理方針の作成や適用ルール、スケジュール決めに該当します。問題文は「手順に従って確認・適用する」という実務の行為なのでPではありません。
  • (D)について:
    Do(実行)は計画された手順を運用現場で実施するフェーズです。確認してパッチを当てるという作業はここに該当します。
  • ウ(C)について:
    Check(評価)は監査やログ確認、適用率の測定など、実施後の効果検証や記録の確認を指します。単に未適用を見つけて適用する行為自体は評価よりも「実行」です(※後述の「よくある誤解」を参照)。
  • エ(A)について:
    Act(改善)は評価結果に基づく手順や方針の見直しです。たとえば「適用漏れが多いので自動化を導入する」といった改善策の立案・適用が該当します。問題文は現場作業なのでAではありません。

よくある誤解

  1. 「確認する=Check(評価)」と考える誤解
    • 誤りの理由:PDCAのCheckは結果の評価や監査、測定を意味します。日常の運用チェック(例:始業前の未適用パッチ確認)は手順に従った実行行為であり、Doに含まれます。評価はその後に集計・分析する段階です。
  2. 作業の一部が評価や改善に見えるために区別が曖昧になること
    • 例:パッチ適用後に「適用ログを集めて適用率を計算する」部分はCheckです。作業の「実行部分」と「評価部分」を分けて考えることが大切です。
  3. 現場作業=自動化されていてもDoに含まれるという点の見落とし
    • 自動適用ツールが動く場合でも、それは「計画に基づく実行」でありDoに該当します。改善(Act)は、自動化の導入自体を決めた段階です。

補足コラム

  • パッチ管理の仕事の流れ(PDCAでの位置付け例)
    • Plan:どの更新をいつ適用するかの基準、緊急度の分類、適用方針の作成。
    • Do:始業時のチェック、必要パッチの適用、適用作業の記録。
    • Check:適用状況の集計、適用漏れや失敗の監査、脆弱性状況の確認。
    • Act:適用漏れ対策の導入(自動配布ツールの導入、手順修正)、ポリシー更新。
  • 覚え方のコツ:Planは「決める」、Doは「やる」、Checkは「見る・測る」、Actは「変える」。短いフレーズで覚えると混同しにくくなります。
  • 用語説明:
    • ISMS(情報セキュリティマネジメントシステム):組織の情報資産を守るための仕組み。規程や手順、責任分担などを含む。
    • セキュリティパッチ:ソフトウェアの脆弱性(攻撃を受ける弱点)を修正する更新プログラム。

FAQ

Q1. 「もしこの確認が監査部門による点検だったら?」
A1. 監査部門が結果を評価・報告する行為であればCheck(C)です。問題文は始業時の運用手順として行う現場作業なのでDoです。
Q2. 「パッチ適用後に効果を評価したらどの段階?」
A2. それはCheckに該当します。例:適用率を測る、適用後の不具合発生率を調べる、ログを分析するなどです。
Q3. 「自動配布設定の変更はどれ?」
A3. 自動化を導入したり手順を変えたりするのはAct(改善)です。改善後はPlanで方針を修正し、Doで運用する流れになります。

関連キーワード: パッチ管理、PDCAモデル、情報セキュリティ、運用手順、監査、脆弱性対策
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について