ITパスポート 2019年 秋期 問25
問題文
経営戦略上、ITの利活用が不可欠な企業の経営者を対象として、サイバー攻撃から企業を守る観点で経営者が認識すべき原則や取り組むべき項目を記載したものはどれか。
選択肢
ア:IT基本法
イ:ITサービス継続ガイドライン
ウ:サイバーセキュリティ基本法
エ:サイバーセキュリティ経営ガイドライン(正解)
🔒 解説は解答すると表示されます
サイバー攻撃から企業を守るための経営者向け指針はどれか【ITパスポート 解説】
正解の理由
設問は「経営戦略上、ITの利活用が不可欠な企業の経営者を対象」「サイバー攻撃から企業を守る観点で経営者が認識すべき原則や取り組むべき項目」を問うています。経営者向けに「認識すべき原則」や「取り組むべき項目」を明確に示している文書は、ガイドライン(指針)として経営に直接結び付く内容を扱います。選択肢のうち、経営者向けにサイバーセキュリティの原則や具体的取り組み(ガバナンス=組織の方針や統制、リスク管理、投資、インシデント対応体制など)を示しているのは エ の「サイバーセキュリティ経営ガイドライン(ガイドライン=指針)」です。したがって、経営者が経営判断として認識・実行すべき項目を扱う点で エ が正解です。
(注)サイバー攻撃(コンピュータやネットワークを狙った攻撃)、ガイドライン(指針)という語は本文中で使っています。
解法ステップ
- 問題文のキーワードを探す
- 「経営者」「認識すべき原則」「取り組むべき項目」「経営戦略上」などが重要。
- 選択肢の語句からターゲットを確認
- 「経営」や「経営者」を明示しているものを優先的に見る。
- 文書の目的を想像する
- 法律(法)は国や行政のルールを定める文書。
- ガイドライン(指針)は実務者向けに具体的な対応を示す。
- 経営者向けかどうかで絞る
- 「経営」を含むガイドラインが該当することが多い。
短縮版:問題の「誰向けか(経営者)」を確認→選択肢に「経営」を含む文書を選ぶ。
選択肢別の誤答解説
-
ア: IT基本法
- 概要: ITに関する基本的な考え方や国の施策の枠組みを示す法律(法)です。
- 理由: 法律は広い枠組みや国レベルの方針を扱うため、経営者個人に向けた「認識すべき原則や具体的項目」を示すガイドラインとは目的が異なります。
-
イ: ITサービス継続ガイドライン
- 概要: 「サービス継続」はサービスの停止を防ぎ、再開するための仕組みを指す内容(事業継続に関する指針)。
- 理由: サービスの継続性(事業継続計画など)に焦点があり、経営者がサイバー攻撃についての経営判断や全社的なガバナンスを認識するための総合的ガイドラインとは異なります。
-
ウ: サイバーセキュリティ基本法
- 概要: 国のサイバーセキュリティ政策や基本的な枠組みを定める法律的な文書です。
- 理由: 基本法は国・行政の責任や枠組みを示すもので、個々の企業の経営者が直ちに取り組むべき実務的な項目を整理したものではありません。
-
エ: サイバーセキュリティ経営ガイドライン
- 概要: 経営者向けに、サイバー攻撃への備えや経営判断として取るべき措置(ガバナンス、リスク管理、投資、体制整備、インシデント対応など)を示した指針です。
- 理由: 質問の条件と完全に一致するため該当します。
よくある誤解
- 「基本法」が経営者向けの指針だと考える
- 理由: 「基本法」と名の付くものは政策の枠組みや法律的な原則を示すため、経営レベルの具体的な実務指針とは目的が違います。
- 「サービス継続(継続ガイドライン)」=サイバーセキュリティ対策だと捉える
- 理由: サービス継続は被害発生時の業務継続や復旧を扱うことが多く、経営者が取るべきセキュリティガバナンス全体を示すものではありません。
- 「経営」という語があれば何でも正解と思い込む
- 対策: 実際には「経営者向けにサイバーセキュリティの原則や取り組みを示すか」を判断基準にしてください。
補足コラム
「サイバーセキュリティ経営ガイドライン」は、企業の経営者がサイバーリスクを経営課題として捉え、組織全体で対処するための考え方や行動例を示すものです。具体的には次の要素を含みます(例):
- ガバナンス(組織の方針や統制) — ガバナンス(組織の方針・統制)
- リスク管理(脅威の評価と優先順位付け)
- 投資判断(どこにどれだけ投資するかの経営判断)
- インシデント対応(事故発生時の対応体制、連絡手順、復旧計画)
- サプライチェーン管理(外部委託先も含めたセキュリティ管理) ガイドラインは企業の規模に応じて実行可能なレベルで対策を示すことが多く、実務に落とし込むためのチェックリストやケーススタディが含まれる場合もあります。
(参考の補足):日本ではこうした経営者向けガイドラインは内閣府や関係省庁が関与して作成することが多く、経営層に向けた説明やツールが用意されています。
FAQ
Q1: 「サイバーセキュリティ経営ガイドライン」は法律ですか?
A1: いいえ。一般にガイドラインは法的拘束力のある法律ではなく、実務の指針やベストプラクティスを示すものです。ただし、ガイドラインを参考にした対応が業務上の評価や規制対応に影響することはあります。
A1: いいえ。一般にガイドラインは法的拘束力のある法律ではなく、実務の指針やベストプラクティスを示すものです。ただし、ガイドラインを参考にした対応が業務上の評価や規制対応に影響することはあります。
Q2: 中小企業でもこのガイドラインは必要ですか?
A2: はい。規模に応じた対策の考え方が示されるため、中小企業でも経営判断として導入する価値があります。費用対効果を考えた施策選定が重要です。
A2: はい。規模に応じた対策の考え方が示されるため、中小企業でも経営判断として導入する価値があります。費用対効果を考えた施策選定が重要です。
Q3: 試験ではどう覚えればよいですか?
A3: キーワード「経営者」「経営」「ガイドライン(指針)」を覚えてください。経営層向けの「サイバーセキュリティ経営ガイドライン」が該当することが多いです。
A3: キーワード「経営者」「経営」「ガイドライン(指針)」を覚えてください。経営層向けの「サイバーセキュリティ経営ガイドライン」が該当することが多いです。
関連キーワード: サイバーセキュリティ経営ガイドライン、経営者向け指針、セキュリティガバナンス、リスク管理、インシデント対応、投資判断、サプライチェーン管理

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

