PDCA モデルに基づいて ISMS を運用している組織の活動において、次のような調査報告があった。この調査は PDCA モデルのどのプロセスで実施されるか。
社外からの電子メールの受信に対しては、情報セキュリティポリシーに従ってマルウエア検知システムを導入し、維持運用されており、日々数十件のマルウェア付き電子メールの受信を検知し、破棄するという効果を上げている。しかし、社外への電子メールの送信に関するセキュリティ対策のための規定や明確な運用手順がなく、社外秘の資料を添付した電子メールの社外への誤送信などが発生するリスクがある。
- ア. P
- イ. D
- ウ. C
- エ. A
【答え】ウ
【解説】
PDCAモデルは以下のように構成されます。
| プロセス | 内容 |
|---|---|
| P(Plan) | 情報セキュリティポリシーや対策の計画立案 |
| D(Do) | 計画に基づいた対策の実施 |
| C(Check) | 実施状況の監視・測定・評価・レビューを行い、問題点を発見 |
| A(Act) | 発見した問題点を改善し、対策や手順を見直す |
問題文の内容を確認
「マルウェア付きメールの検知・破棄が効果を上げている」
→対策の実施結果を確認している(評価)
「社外への送信に関しては規定や手順がなく、リスクがある」
→問題点や未整備部分の把握・分析をしている
これらはいずれも「現状の対策が適切かを検証・評価している段階」であり、PDCAのC(Check)の活動に該当します。
以上より、正解はウ.となります。
情報セキュリティ管理 
