ITパスポート 2015年 秋期 問69
問題文
PDCAモデルに基づいてISMSを運用している組織において、始業時の手順に従って業務用PCに適用されていないセキュリティパッチの有無を確認し、必要なパッチを適用している。この活動はPDCAサイクルのうちどれに該当するか。
選択肢
ア:P
イ:D(正解)
ウ:C
エ:A
🔒 解説は解答すると表示されます
始業時の手順で未適用パッチを確認し適用している活動のPDCA分類【ITパスポート 解説】
正解の理由
始業時に「業務用PCに適用されていないセキュリティパッチの有無を確認し、必要なパッチを適用している」活動は、計画した対策を現場で実行する段階です。PDCAモデル(Plan:計画、Do:実行、Check:評価、Act:改善)のうち、実際に運用上の作業を行うのはDoに該当します。よってこの問題で示される活動は イ(Do)です。
補助説明:
- ISMS(情報セキュリティマネジメントシステム:組織の情報を守るための仕組み)をPDCAで回すと、パッチ適用の「実務的な実行」はDoの領域になります。
- 「確認して適用する」という能動的な作業が含まれている点が、Doである決め手です。
解法ステップ
- 問題文の行動を分解する:
- 「有無を確認し」=確認のための作業(ただしここは実務のチェック作業)。
- 「必要なパッチを適用している」=具体的な実行作業。
- PDCAの各段階の意味を整理する:
- Plan(計画):方針や手順、スケジュールを決める。
- Do(実行):決めた手順や対策を現場で実行する。
- Check(評価):結果を測定・監査して効果を確認する。
- Act(改善):評価に基づき方針や手順を改める。
- 問題文の行動が「運用・実行」に属するか「評価・改善」に属するかを判断する:
- 実務でパッチを探して適用する=運用の実行なのでDo。これで イ を選ぶ。
選択肢別の誤答解説
- ア(P)について:
Plan(計画)はパッチ管理方針の作成や適用ルール、スケジュール決めに該当します。問題文は「手順に従って確認・適用する」という実務の行為なのでPではありません。 - イ(D)について:
Do(実行)は計画された手順を運用現場で実施するフェーズです。確認してパッチを当てるという作業はここに該当します。 - ウ(C)について:
Check(評価)は監査やログ確認、適用率の測定など、実施後の効果検証や記録の確認を指します。単に未適用を見つけて適用する行為自体は評価よりも「実行」です(※後述の「よくある誤解」を参照)。 - エ(A)について:
Act(改善)は評価結果に基づく手順や方針の見直しです。たとえば「適用漏れが多いので自動化を導入する」といった改善策の立案・適用が該当します。問題文は現場作業なのでAではありません。
よくある誤解
- 「確認する=Check(評価)」と考える誤解
- 誤りの理由:PDCAのCheckは結果の評価や監査、測定を意味します。日常の運用チェック(例:始業前の未適用パッチ確認)は手順に従った実行行為であり、Doに含まれます。評価はその後に集計・分析する段階です。
- 作業の一部が評価や改善に見えるために区別が曖昧になること
- 例:パッチ適用後に「適用ログを集めて適用率を計算する」部分はCheckです。作業の「実行部分」と「評価部分」を分けて考えることが大切です。
- 現場作業=自動化されていてもDoに含まれるという点の見落とし
- 自動適用ツールが動く場合でも、それは「計画に基づく実行」でありDoに該当します。改善(Act)は、自動化の導入自体を決めた段階です。
補足コラム
- パッチ管理の仕事の流れ(PDCAでの位置付け例)
- Plan:どの更新をいつ適用するかの基準、緊急度の分類、適用方針の作成。
- Do:始業時のチェック、必要パッチの適用、適用作業の記録。
- Check:適用状況の集計、適用漏れや失敗の監査、脆弱性状況の確認。
- Act:適用漏れ対策の導入(自動配布ツールの導入、手順修正)、ポリシー更新。
- 覚え方のコツ:Planは「決める」、Doは「やる」、Checkは「見る・測る」、Actは「変える」。短いフレーズで覚えると混同しにくくなります。
- 用語説明:
- ISMS(情報セキュリティマネジメントシステム):組織の情報資産を守るための仕組み。規程や手順、責任分担などを含む。
- セキュリティパッチ:ソフトウェアの脆弱性(攻撃を受ける弱点)を修正する更新プログラム。
FAQ
Q1. 「もしこの確認が監査部門による点検だったら?」
A1. 監査部門が結果を評価・報告する行為であればCheck(C)です。問題文は始業時の運用手順として行う現場作業なのでDoです。
A1. 監査部門が結果を評価・報告する行為であればCheck(C)です。問題文は始業時の運用手順として行う現場作業なのでDoです。
Q2. 「パッチ適用後に効果を評価したらどの段階?」
A2. それはCheckに該当します。例:適用率を測る、適用後の不具合発生率を調べる、ログを分析するなどです。
A2. それはCheckに該当します。例:適用率を測る、適用後の不具合発生率を調べる、ログを分析するなどです。
Q3. 「自動配布設定の変更はどれ?」
A3. 自動化を導入したり手順を変えたりするのはAct(改善)です。改善後はPlanで方針を修正し、Doで運用する流れになります。
A3. 自動化を導入したり手順を変えたりするのはAct(改善)です。改善後はPlanで方針を修正し、Doで運用する流れになります。
関連キーワード: パッチ管理、PDCAモデル、情報セキュリティ、運用手順、監査、脆弱性対策

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

