ITパスポート 2018年 秋期 問61
問題文
PDCAモデルに基づいてISMSを運用している組織において、運用しているサーバのソフトウェアに対する最新の修正プログラムの有無を、定められた運用手順に従って毎日調べる業務は、PDCAのどのフェーズか。
選択肢
ア:P (Plan)
イ:D (Do)(正解)
ウ:C (Check)
エ:A (Act)
🔒 解説は解答すると表示されます
サーバのソフトウェア修正プログラムの有無を毎日調べる業務はPDCAのどのフェーズか【ITパスポート 解説】
正解の理由
PDCAとは、Plan(計画)、Do(実行)、Check(点検・評価)、Act(改善)のサイクルです。PDCAはISMS(ISMS:Information Security Management System:情報セキュリティマネジメントシステム)などの運用で使われます。
問題の業務は「定められた運用手順に従って毎日調べる」という、決められた手順どおりに実際に行う作業です。これは計画を実行するフェーズに当たるため、実行(Do)に該当します。選択肢の中では実行に対応するのが イ です。
問題の業務は「定められた運用手順に従って毎日調べる」という、決められた手順どおりに実際に行う作業です。これは計画を実行するフェーズに当たるため、実行(Do)に該当します。選択肢の中では実行に対応するのが イ です。
※「修正プログラム」はパッチ(patch:ソフトウェアの不具合や脆弱性を修正するプログラム)を指します。
解法ステップ
- 文を注意深く読む:「毎日調べる」「定められた運用手順に従って」とある。
- その性質を判断する:ルール通りに行う日常の作業=実際の運用・実行。
- PDCAの定義に当てはめる:計画(Plan)は方針や手順の作成、実行(Do)はその手順に従って行うこと、点検(Check)は結果の評価、改善(Act)は問題があれば見直して改善すること。
- よって「毎日調べる」は実行フェーズ、すなわち イ。
選択肢別の誤答解説
-
ア: P(Plan)
- 誤り。Planは何をどうするかを決める段階(方針作成、手順設計、リスク評価など)です。
- 例:パッチ確認の頻度や方法を決める、運用手順を作るのがPlanです。
-
イ: D(Do)
- 正解。実際に手順に従って毎日調べる行為は「実行」です。
- 例:決められたチェックリストでサーバを確認し、結果を記録する作業。
-
ウ: C(Check)
- 誤り。Checkは実行した結果を監視・測定・評価する段階です。「調べる」と言葉だけ見ると混同しやすいですが、PDCAのCheckは「実行の効果や達成状況を評価する」ことを指します。
- 例:毎日のチェック結果を集計して、未適用パッチが増えていないか評価するのがCheckです。
-
エ: A(Act)
- 誤り。ActはCheckで見つかった問題に対し、手順や対策を見直して改善する段階です。
- 例:毎日の確認で手間が多すぎると判明したら、手順を自動化する・頻度を見直すなどの改善を行うのがActです。
よくある誤解
- 「調べる=Check(点検)」と考えてしまう
- 誤解の原因:日常語では「チェックする」が「点検・評価」を意味することがあるため。PDCAにおけるCheckは「実行の成否や効果を評価する」フェーズであり、手順に従って日常的に行う作業はDoです。
- 「毎日やっているからCheckだ」と思い込む
- 頻度(毎日・週次)ではなく、作業の目的でフェーズを判断します。目的が「定められた作業を実行する」ならDo、「結果を分析する」ならCheckです。
- DoとCheckの境界が曖昧になる場面
- 例えば「結果を記録する作業」は実行(Do)に含まれますが、その集計と評価はCheckになります。記録するだけか、記録を分析するかでフェーズが変わります。
補足コラム
- PDCAの由来:PDCA(Plan-Do-Check-Act)は品質管理の考え方から広まりました。W. Edwards Deming(デミング)が普及させた概念です。
- ISMS(情報セキュリティマネジメントシステム)では、PDCAを回すことで継続的なセキュリティ改善を図ります。一般的な対応例:
- Plan:セキュリティ方針・リスク評価・手順作成
- Do:運用(パッチ確認、ログ監視、アクセス管理)と教育
- Check:監査・ログ分析・月次レポートで評価
- Act:是正処置・手順改訂・ツール導入による改善
- パッチ管理の流れ(例)
- 発見(通知を受ける)→評価(影響度を判断)→適用(実行)→検証(動作確認)→改善(手順や自動化)
- 「毎日調べる」は発見や評価の一部であり、実行フェーズ(Do)に該当します。
FAQ
Q1. 「パッチを実際に適用する」作業はどのフェーズですか?
A1. それも実行に当たるので イ(Do)です。適用後の動作確認や効果測定はCheckになります。
A1. それも実行に当たるので イ(Do)です。適用後の動作確認や効果測定はCheckになります。
Q2. 「毎日の確認結果をまとめて上長に報告し、改善案を出す」はどこに当たりますか?
A2. 報告・分析はCheck、改善案の実施はActです。報告して改善方針を決める部分はCheckに近い活動です。
A2. 報告・分析はCheck、改善案の実施はActです。報告して改善方針を決める部分はCheckに近い活動です。
Q3. 判別のコツはありますか?
A3. 「その作業は『決められたことを行う』か、それとも『結果を評価して判断する』か」で分けます。前者がDo、後者がCheckです。
A3. 「その作業は『決められたことを行う』か、それとも『結果を評価して判断する』か」で分けます。前者がDo、後者がCheckです。
関連キーワード: PDCA、ISMS、パッチ管理、セキュリティ運用、内部監査、運用手順、改善プロセス

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

