基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,情報セキュリティ管理についてシンプルにまとめています。はじめに,情報セキュリティ管理についての概要を説明し,次に,情報資産,情報セキュリティインシデント(情報漏洩,情報の改ざん,サービス停止,コンピューターウイルス感染),情報セキュリティ事象,脅威,脆弱性,リスク,マネジメントシステムについて説明しています。情報セキュリティマネジメントシステム(ISMS)については,PDCAサイクルによる管理活動,ISMSの確立(情報セキュリティポリシーの策定(情報セキュリティ基本方針,情報セキュリティ対策基準,情報セキュリティ実施手順),リスクアセスメント,管理策の策定,適用宣言書),ISMSの導入・運用(リスク対応,情報セキュリティインシデントへの対応),ISMSの監視・レビュー(ISMSの内部監査,ISMSのマネジメントレビュー),ISMSの維持・改善を,リスクマネジメントについては,リスク基準の設定,リスクアセスメント(リスク特定,リスク分析(定性的リスク分析,定量的リスク分析),リスク評価),リスク対応,リスク対応の考え方(リスクコントロール,リスクファイナンス),リスク対策の方法(リスク低減,リスク受容(保有),リスク回避,リスク移転),リスクアセスメントの例(基本情報技術者試験 平成26年春 午後問1)を,個人情報保護マネジメントシステム(PMS)については,個人情報,PDCAサイクルによる管理活動を説明しています。概念ばかりで,辛いかもしれませんが,頑張りましょう。
情報セキュリティ管理
情報セキュリティ管理とは,企業などの組織が,組織的な管理活動により,情報セキュリティを確保し維持していくことをいいます。
※ 情報セキュリティ管理の実施については,PDCAサイクルにより,体系的に行う必要がある
情報資産
情報資産とは,顧客情報などの情報や,情報システムを構成するハードウェアやソフトウェア,関連する施設や設備などのことをいい,情報セキュリティの保護対象になります。
| 情報資産 | データベース,ファイル(顧客情報など),電子メールなど |
| 物理的資産 | サーバーやPCなどのハードウェア,通信機器,記憶媒体など |
| ソフトウェア資産 | OS,業務アプリケーション,開発ツールなど |
| 人的資産 | 人材,保有資格,経験や技能など |
| 無形資産 | 組織のイメージや評判など |
| サービス資産 | 電源や空調,照明,業務サービスなど |
情報セキュリティインシデント
情報セキュリティインシデントとは,情報セキュリティを脅かす事件や事故のことをいいます。
※ インシデント…事件や事故のこと
| 情報漏洩 | 機密情報などが外部に流出すること。損失の発生や,信頼の失墜,イメージ低下などにつながる |
| 情報の改ざん | 権限のない者が,データの書き換えなどを行うこと。ホームページの改ざんで企業イメージが低下したり,請求金額の改ざんで損失が発生したり信用が失墜したりする |
| サービス停止 | 業務システムなどが停止し,利用できなくなること。業務が中断したり,稼働時に見込まれていた利益が失われたりする(機会損失) |
| コンピューター ウイルス感染 | コンピューターウイルスに感染して業務が停止したり,データが破壊されたりする |
情報セキュリティ事象
情報セキュリティ事象とは,(事件や事故にはなっていないが)情報セキュリティに影響を与える可能性のある状況のことをいいます。
脅威
JIS Q 13335-1:2006では,脅威は「システム又は組織に損害を与える可能性があるインシデントの潜在的な原因」と定義されています。
| 環境的脅威 | 地震,洪水,台風,落雷,火災など |
| 人為的脅威 (意図的) | 不正アクセス,コンピューターウイルス感染,改ざん,盗聴,なりすまし,盗難,破壊など |
| 人為的脅威 (偶発的) | 紛失,操作ミス,会話からの情報漏洩,システム障害,ネットワーク障害,プログラムのバグなど |
脆弱性
JIS Q 13335-1:2006では,脆弱性は「一つ以上の脅威がつけ込むことができる,資産又は資産グループが持つ弱点」と定義されています。情報資産の弱点を放置すると脅威に晒されることになるため,対応が必要です。
リスク
JIS Q 31000:2019では,リスクは「目的に対する不確かさの影響」と定義されています。ある脅威が,情報資産の脆弱性を突いて損害を与える可能性ということです。
マネジメントシステム
JIS Q 9000:2006では,マネジメントシステムとは「方針及び目標を定め,その目標を達成するためのシステム」と定義されています。
※ マネジメントシステムは,PDCAサイクルを繰り返すことにより,マネジメントの品質を高めることができる
| 情報セキュリティ マネジメントシステム | 組織の情報セキュリティの確保に取り組み,維持・改善するしくみ(PDCAサイクルで運用する) |
| リスク マネジメントシステム | リスクの明確化,対策の実施,評価・改善を(PDCAサイクルで)運用するしくみ |
| 個人情報保護 マネジメントシステム | 個人情報を守るためのしくみ。(PDCAサイクルで)構築,維持・管理する |
情報セキュリティマネジメントシステム(ISMS;Information Security Management System)
情報セキュリティマネジメントシステムとは,組織の情報セキュリティの確保に取り組み,維持・改善するしくみをいいます。情報セキュリティ管理を適切に行うために,構築し運営する必要があります。
PDCAサイクルによる管理活動
(情報セキュリティマネジメントシステムによる)情報セキュリティ管理の実施については,PDCAサイクルにより体系的に行う必要があります。
ISMSの確立
ISMSを確立する際には,まず,ISMSの適用範囲を決めます。
※ 最初は,重要な事業のみを適用範囲とし,その後,PDCAサイクルを繰り返しながら広げていくというやり方でもよい
情報セキュリティポリシーの策定
情報セキュリティポリシーとは,組織の情報セキュリティの方針や基準をまとめたものをいいます。
| 情報セキュリティ 基本方針 | 組織が情報セキュリティ対策に取り組む姿勢を,経営者が表明するもの。従業員や関係者に公表する |
| 情報セキュリティ 対策基準 | 情報セキュリティ基本方針と,リスクアセスメントの結果に基づいて,具体的な対策を策定する |
| 情報セキュリティ 実施手順 | 情報セキュリティ対策基準で策定した基準を実施するための手順を作成する |
※ リスクアセスメントについては後述
※ 具体的なものを見た方が分かりやすいと思いますので,ネットなどで検索してみてください
リスクアセスメント
リスクアセスメントとは,情報資産に対する脅威を分析し,その脅威の発生確率と影響度を評価することです。また,評価したリスクの中で受容可能なものを判定します。
※リスクアセスメントの詳細は後述
管理策の策定
リスクアセスメントで評価したリスクへの対応を選択肢として定義します。
- 適切な管理策の適用(リスク低減)
- リスク受容基準を満たすリスクの受容(リスク受容)
- リスクの回避(リスク回避)
- リスクの他者(保険業者や供給者)への移転(リスク移転)
リスク低減という対応をとるものについては,管理策を策定します。
※ リスク対応については後述
適用宣言書
ISMS適合性評価制度におけるISMS認証を取得したい場合は,適用宣言書を作成します。
※ ISMS適合性評価制度については「」を参照
ISMSの導入・運用
ISMSの導入では,管理策を実装し,運用できる状態にします。また,ISMSの運用では,ISMSを日常的に運用します。
リスク対応
リスク対応では,経営陣による資源の割り当てを行い,管理策を実施します。具体的には,要員を教育・訓練して,情報セキュリティポリシーに基づく管理活動ができるようにしたり,セキュリティ装置やセキュリティソフトウェアを導入・設定したりします。
※ リスク対応については後述
ISMSの運用
ISMSの運用では,ISMSを日常的に運用し,情報セキュリティ水準を維持できるように管理します。
※ 必要に応じて,情報セキュリティリスクを見直し,情報セキュリティ対策を改善して,情報セキュリティポリシーに反映させる
情報セキュリティインシデントへの対応
ISMSの運用では,情報セキュリティインシデントへの対応策も機能するように管理します。
※ 情報セキュリティインシデントが発生した場合に,迅速に検知・(手順に従い)対応し,管理策が実施できるように管理する
ISMSの監視・レビュー
ISMSの監視・レビューでは,ISMSの有効性を評価します。
ISMSの内部監査
ISMSの内部監査では、ISMSの有効性について検証・評価し,情報セキュリティ水準が維持されているかを評価します。
ISMSのマネジメントレビュー
ISMSの確立,導入・運用の状況や,監視結果,監査結果などに基づき,マネジメントレビューを(ISMSを改善するために)実施します。
ISMSの維持・改善
ISMSの維持・改善では,ISMSの内部監査やマネジメントレビューの結果を受けて,是正処置や予防処置などの改善策を実施します。
※ 是正処置…同じ不適合が二度と起きないように原因を除去する処置(適合したものにする処置)
※ 予防処置…不適合が発生する可能性があると予想される場合に,その不適合の発生を未然に防止するための処置
リスクマネジメント
リスクマネジメントとは,リスクの明確化,対策の実施,評価・改善を(PDCAサイクルで)運用するしくみをいいます。
※ リスクアセスメント…情報資産に対する脅威を分析し,その脅威が発生する確率と,発生した場合の影響度について評価することである。PDCAサイクルのP(計画)で行う
リスク基準の設定
リスク基準の設定では,リスクを評価するための目安となる条件を,あらかじめ設定します。
※ リスク受容基準…リスク対策をするかどうかの基準
リスクアセスメント
リスク特定
リスク特定では,守るべき情報資産を洗い出して情報資産台帳を作成し,機密性(C),完全性(I),可用性(A)の観点から分類することにより,リスクを特定します。
リスク分析
リスク分析では,特定したリスクについて,情報資産に対する脅威と脆弱性を整理します。たとえば,リスクの発生確率を求め,実際にリスクが発生した場合の影響度を,大・中・小などと表したり,被害額などの金額で表したりします。
| 定性的リスク分析 | リスクの大きさを,ランク付けなど,数値以外で分析する手法 |
| 定量的リスク分析 | リスクの大きさを,金額など,数値で分析する手法 |
リスク評価
リスク評価では,分析したリスクをリスク基準と比較して受容可能かどうかを判断します。受容できない場合については,対策をしなければならないため,あらかじめ設定しておいた評価基準などを用いて評価し優先度をつけます。
リスク対応
リスク対応では,リスク評価を基に,リスクにどのように対応するかを決定します。
リスク対応の考え方
| リスクコントロール | 技術的な対策などにより対応すること |
| リスクファイナンス | 資金面で対応すること |
リスク対応の方法
| リスク低減 | リスクの発生確率を下げたり,実際にリスクが発生した場合の影響度を下げるための取り組み 例)損失予防,損失軽減,リスク分離など |
| リスク受容 (リスク保有) | リスクの影響度が低かったり,対策が見当たらない場合に,あえて対策をとらない取り組み 例)リスクによる損失額よりも,対策にかかるコストの方が大きい場合など |
| リスク回避 | リスクの原因を根本的に取り除く取り組み 例)業務を停止する,情報資産を廃棄するなど |
| リスク移転 | リスクを第三者に移す取り組み 例)情報システムの開発・運用をアウトソーシングする,保険会社などの第三者に資金的なリスクを移転するなど |
リスクアセスメントの例
基本情報技術者試験(平成26年度 春期)の午後 問1を参考に,リスクアセスメントの流れを見ていきます。
〔概要〕
- Z社がプロジェクトYに対してリスクアセスメントを実施する。
- プロジェクトYでは,顧客が利用する購買システムを開発する。テストデータは,USBメモリに格納されたものを,プロジェクトメンバが顧客から受け取って自社に持ち帰り,開発用サーバーに複写後,USBメモリから削除する。
- 開発用PCでプログラムを開発し,適宜,開発用サーバーにアップロードする。
- 開発用サーバーは,施錠されたサーバールームにあり,アクセス管理もされている(プロジェクトメンバとシステム管理者だけがアクセスできる)。
- 開発用PCは,プロジェクト開始時に各プロジェクトメンバに貸与され,終了時に返却される。
- 開発時,テストデータのうち必要なものだけを,開発用PCにダウンロードし,不要になったら削除する。
- プロジェクト終了時には,開発用サーバーと開発用PCのテストデータを削除する。
〔リスクアセスメントの手順とリスク値算出方法〕
〔リスクの特定〕
① 情報資産の洗い出し
次の表は,プロジェクトYで扱う情報資産を洗い出した結果の一部です。
② 情報資産の価値の数値化
次の表は,①の各情報資産に対して,C,I,Aのそれぞれについてその価値を評価した値と評価理由をまとめた結果です。
③ 脅威の数値化
次の表は,②の情報資産のうち,情報資産 No.4(テストデータ)について,脅威の内容と脅威の値をまとめた結果です。
④ 脅威に対する脆弱性の数値化
次の表は,③の各脅威に対する脆弱性の低減策と脆弱性の値をまとめた結果です。脆弱性の値は,システム,規則又は運用で,二つ以上対策済みなら1,一つだけなら2,未対策は3としています。
〔リスクの分析・評価〕
次の表は,②~④を基に情報資産 No.4(テストデータ)のリスクの分析・評価を行い,リスク値を算出した結果です。
〔リスク対策〕
リスクの分析・評価の結果を基に,プロジェクトYのプロジェクトマネージャーは,リスク対応計画を作成します。その後,脅威IDが「T1」と「T4」の脅威に対して,リスク対策を実施します。
個人情報保護マネジメントシステム(PMS;Personal information protection Management System)
個人情報保護マネジメントシステムとは,個人情報を守るためのしくみをいい,(PDCAサイクルで)構築,維持・管理します。個人情報保護マネジメントの実施では,目的外利用や,第三者提供がないように管理しなければなりません。
個人情報
個人情報とは,生存している個人を特定できる情報のことをいいます。具体的には,次のいずれかに該当するものをいいます。
※ 死亡している個人の情報や,法人の情報は,個人情報とはならない
- 情報自体で,特定の個人を識別できるもの(氏名,顔写真など)
- 他の情報と照合することにより特定の個人を識別できるもの(生年月日,住所など)
- 個人識別符号が含まれるもの(DNAなど)
PDCAサイクルによる管理活動
(個人情報保護マネジメントシステムによる)個人情報保護マネジメントの実施については,PDCAサイクルにより,体系的に行う必要があります。
※ JIS Q 15001…事業者がPMSを構築し,適切にマネジメントしていくためのガイドライン
まとめ
今回は,情報セキュリティ管理ついて,シンプル(ではないですが)にまとめてみました。一度にたくさん覚えるのは難しいと思いますので,繰り返し読んで定着させましょう。
