中小企業のセキュリティ対策に関する自己宣言|情報処理安全確保支援士試験 令和4年春期午前Ⅱ 問7

出典:令和4年春期 午前Ⅱ 問7 分野:セキュリティ / 情報セキュリティ
安全・安心なIT社会を実現するために創設された制度であり,IPA"中小企業の情報セキュリティ対策ガイドライン"に沿った情報セキュリティ対策に取り組むことを中小企業が自己宣言するものはどれか。
  • ア:ISMS適合性評価制度
  • イ:ITセキュリティ評価及び認証制度
  • ウ:MyJVN
  • エ:SECURITY ACTION
この問題を解く
解説

SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。

IPAの「中小企業の情報セキュリティ対策ガイドライン」に沿って、情報セキュリティ対策を進める意思を示すものであり、安全・安心なIT社会の実現を目的として創設されました。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:ISMS適合性評価制度
⇒ISMS適合性評価制度は、組織の情報セキュリティマネジメントシステムが規格に適合しているかを第三者が評価・認証する制度です。中小企業が情報セキュリティ対策への取組を自己宣言する制度ではありません。
イ:ITセキュリティ評価及び認証制度
⇒IT製品やシステムのセキュリティ機能を評価・認証する制度です。Common Criteriaに基づく製品評価に関係するものであり、中小企業の自己宣言制度であるSECURITY ACTIONとは対象が異なります。
ウ:MyJVN
⇒MyJVNは、脆弱性対策情報の収集や確認などに利用される仕組みです。ソフトウェアの脆弱性情報を確認する用途で使われますが、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度ではありません。
TSUNAGARU-ADVICE

まず押さえたいこと

SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。IPAの「中小企業の情報セキュリティ対策ガイドライン」に沿って、自社のセキュリティ対策への取組を宣言する点が特徴です。

迷ったときの判断軸

ISMS適合性評価制度は組織の情報セキュリティマネジメントの認証、ITセキュリティ評価及び認証制度はIT製品などのセキュリティ評価、MyJVNは脆弱性対策情報などの提供に関係します。中小企業が自ら取組を宣言する制度なら、SECURITY ACTIONと判断できます。

科目Bにつなげるために

科目Bでは、中小企業や委託先のセキュリティ対策状況を確認する文脈で、制度の目的を問われることがあります。SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組む姿勢を示す自己宣言制度として理解しておきましょう。

の問題 試験TOPへ の問題