情報セキュリティ管理は,基本情報技術者試験をはじめとする情報処理技術者試験で必須となる重要分野です。組織の情報資産を安全に守るための管理手法を,正しく理解できていますか?
情報セキュリティ管理=情報資産を守るための組織的な管理活動
このページでは,情報資産,脅威・脆弱性・リスクの関係,ISMS(情報セキュリティマネジメントシステム),リスクマネジメント,個人情報保護マネジメントシステム(PMS)など,試験で頻出となる管理手法を体系的に整理し,シンプルにまとめています。PDCAサイクルを活用した管理の流れや,リスクアセスメントの考え方も具体例を交えて紹介しています。
情報セキュリティ管理とは
情報セキュリティ管理とは,企業などの組織が,組織的な管理活動により,情報セキュリティを確保し維持していくことをいいます。
※ 情報資産を取り巻く脅威や脆弱性を把握し,それによって生じるリスクを評価・管理する
※ 情報セキュリティ管理の実施については,PDCAサイクルにより,体系的に行う必要がある
情報資産とは
情報資産とは,顧客情報などの情報や,情報システムを構成するハードウェアやソフトウェア,関連する施設や設備などのことをいい,情報セキュリティの保護対象になります。
| 情報資産 | データベース,ファイル(顧客情報など),電子メールなど |
| 物理的資産 | サーバーやPCなどのハードウェア,通信機器,記憶媒体など |
| ソフトウェア資産 | OS,業務アプリケーション,開発ツールなど |
| 人的資産 | 人材,保有資格,経験や技能など |
| 無形資産 | 組織のイメージや評判など |
| サービス資産 | 電源や空調,照明,業務サービスなど |
情報セキュリティインシデントとは
情報セキュリティインシデントとは,情報セキュリティを脅かす事件や事故のことをいいます。
※ インシデント…事件や事故のこと
| 情報漏洩 | 機密情報などが外部に流出すること。損失の発生や,信頼の失墜,イメージ低下などにつながる |
| 情報の改ざん | 権限のない者が,データの書き換えなどを行うこと。ホームページの改ざんで企業イメージが低下したり,請求金額の改ざんで損失が発生したり信用が失墜したりする |
| サービス停止 | 業務システムなどが停止し,利用できなくなること。業務が中断したり,稼働時に見込まれていた利益が失われたりする(機会損失) |
| コンピューター ウイルス感染 | コンピューターウイルスに感染して業務が停止したり,データが破壊されたりする |
情報セキュリティ事象とは
情報セキュリティ事象とは,(事件や事故にはなっていないが)情報セキュリティに影響を与える可能性のある状況のことをいいます。
脅威とは
JIS Q 13335-1:2006では,脅威は「システム又は組織に損害を与える可能性があるインシデントの潜在的な原因」と定義されています。
| 環境的脅威 | 地震,洪水,台風,落雷,火災など |
| 人為的脅威 (意図的) | 不正アクセス,コンピューターウイルス感染,改ざん,盗聴,なりすまし,盗難,破壊など |
| 人為的脅威 (偶発的) | 紛失,操作ミス,会話からの情報漏洩,システム障害,ネットワーク障害,プログラムのバグなど |
脆弱性とは
JIS Q 13335-1:2006では,脆弱性は「一つ以上の脅威がつけ込むことができる,資産又は資産グループが持つ弱点」と定義されています。情報資産の弱点を放置すると脅威に晒されることになるため,対応が必要です。
リスクとは
JIS Q 31000:2019では,リスクは「目的に対する不確かさの影響」と定義されています。ある脅威が,情報資産の脆弱性を突いて損害を与える可能性ということです。
マネジメントシステムとは
JIS Q 9000:2006では,マネジメントシステムとは「方針及び目標を定め,その目標を達成するためのシステム」と定義されています。
※ マネジメントシステムは,PDCAサイクルを繰り返すことにより,マネジメントの品質を高めることができる
| 情報セキュリティ マネジメントシステム | 組織の情報セキュリティの確保に取り組み,維持・改善するしくみ(PDCAサイクルで運用する) |
| リスク マネジメントシステム | リスクの明確化,対策の実施,評価・改善を(PDCAサイクルで)運用するしくみ |
| 個人情報保護 マネジメントシステム | 個人情報を守るためのしくみ。(PDCAサイクルで)構築,維持・管理する |
情報セキュリティマネジメントシステム(ISMS;Information Security Management System)とは(情報セキュリティ管理で用いる枠組み)
情報セキュリティマネジメントシステムとは,組織の情報セキュリティの確保に取り組み,維持・改善するしくみをいいます。情報セキュリティ管理を適切に行うために,構築し運営する必要があります。
ISMSで用いられるPDCAサイクルによる管理活動(流れと目的)
(情報セキュリティマネジメントシステムによる)情報セキュリティ管理の実施については,PDCAサイクルにより体系的に行う必要があります。
ISMSの確立
ISMSを確立する際には,まず,ISMSの適用範囲を決めます。
※ 最初は,重要な事業のみを適用範囲とし,その後,PDCAサイクルを繰り返しながら広げていくというやり方でもよい
情報セキュリティポリシーの策定とは
情報セキュリティポリシーとは,組織の情報セキュリティの方針や基準をまとめたものをいいます。
| 情報セキュリティ 基本方針 | 組織が情報セキュリティ対策に取り組む姿勢を,経営者が表明するもの。従業員や関係者に公表する |
| 情報セキュリティ 対策基準 | 情報セキュリティ基本方針と,リスクアセスメントの結果に基づいて,具体的な対策を策定する |
| 情報セキュリティ 実施手順 | 情報セキュリティ対策基準で策定した基準を実施するための手順を作成する |
※ リスクアセスメントについては後述
※ 具体的なものを見た方が分かりやすいと思いますので,ネットなどで検索してみてください
リスクアセスメントとは
リスクアセスメントとは,情報資産に対する脅威を分析し,その脅威の発生確率と影響度を評価することです。どのリスクに優先的に対応すべきかを判断するために行われます。また,評価したリスクの中で受容可能なものを判定します。
※リスクアセスメントの詳細は後述
管理策の策定とは
リスクアセスメントで評価したリスクへの対応を選択肢として定義します。
- 適切な管理策の適用(リスク低減)
- リスク受容基準を満たすリスクの受容(リスク受容)
- リスクの回避(リスク回避)
- リスクの他者(保険業者や供給者)への移転(リスク移転)
リスク低減という対応をとるものについては,管理策を策定します。
※ リスク対応については後述
適用宣言書とは
ISMS適合性評価制度におけるISMS認証を取得したい場合は,適用宣言書を作成します。
ISMSの導入・運用(要点と実務ポイント)
ISMSの導入では,管理策を実装し,運用できる状態にします。また,ISMSの運用では,ISMSを日常的に運用します。
リスク対応とは
リスク対応では,経営陣による資源の割り当てを行い,管理策を実施します。具体的には,要員を教育・訓練して,情報セキュリティポリシーに基づく管理活動ができるようにしたり,セキュリティ装置やセキュリティソフトウェアを導入・設定したりします。
※ リスク対応については後述
ISMSの運用とは
ISMSの運用では,ISMSを日常的に運用し,情報セキュリティ水準を維持できるように管理します。
※ 必要に応じて,情報セキュリティリスクを見直し,情報セキュリティ対策を改善して,情報セキュリティポリシーに反映させる
情報セキュリティインシデントへの対応とは
ISMSの運用では,情報セキュリティインシデントへの対応策も機能するように管理します。
※ 情報セキュリティインシデントが発生した場合に,迅速に検知・(手順に従い)対応し,管理策が実施できるように管理する
ISMSの監視・レビュー
ISMSの監視・レビューでは,ISMSの有効性を評価します。
ISMSの内部監査とは
ISMSの内部監査では、ISMSの有効性について検証・評価し,情報セキュリティ水準が維持されているかを評価します。
ISMSのマネジメントレビューとは
ISMSの確立,導入・運用の状況や,監視結果,監査結果などに基づき,マネジメントレビューを(ISMSを改善するために)実施します。
ISMSの維持・改善(改善の考え方)
ISMSの維持・改善では,ISMSの内部監査やマネジメントレビューの結果を受けて,是正処置や予防処置などの改善策を実施します。
※ 是正処置…同じ不適合が二度と起きないように原因を除去する処置(適合したものにする処置)
※ 予防処置…不適合が発生する可能性があると予想される場合に,その不適合の発生を未然に防止するための処置
広告
リスクマネジメントとは
リスクマネジメントとは,リスクの明確化,対策の実施,評価・改善を(PDCAサイクルで)運用するしくみをいいます。
※ リスクアセスメント…情報資産に対する脅威を分析し,その脅威が発生する確率と,発生した場合の影響度について評価することである。PDCAサイクルのP(計画)で行う
リスク基準の設定とは
リスク基準の設定では,リスクを評価するための目安となる条件を,あらかじめ設定します。
※ リスク受容基準…リスク対策をするかどうかの基準
リスクアセスメントとは
リスク特定とは
リスク特定では,守るべき情報資産を洗い出して情報資産台帳を作成し,機密性(C),完全性(I),可用性(A)の観点から分類することにより,リスクを特定します。
リスク分析とは
リスク分析では,特定したリスクについて,情報資産に対する脅威と脆弱性を整理します。たとえば,リスクの発生確率を求め,実際にリスクが発生した場合の影響度を,大・中・小などと表したり,被害額などの金額で表したりします。
| 定性的リスク分析 | リスクの大きさを,ランク付けなど,数値以外で分析する手法 |
| 定量的リスク分析 | リスクの大きさを,金額など,数値で分析する手法 |
リスク評価とは
リスク評価では,分析したリスクをリスク基準と比較して受容可能かどうかを判断します。受容できない場合については,対策をしなければならないため,あらかじめ設定しておいた評価基準などを用いて評価し優先度をつけます。
リスク対応とは
リスク対応では,リスク評価を基に,リスクにどのように対応するかを決定します。
リスク対応の考え方
| リスクコントロール | 技術的な対策などにより対応すること |
| リスクファイナンス | 資金面で対応すること |
リスク対応の方法
| リスク低減 | リスクの発生確率を下げたり,実際にリスクが発生した場合の影響度を下げるための取り組み 例)損失予防,損失軽減,リスク分離など |
| リスク受容 (リスク保有) | リスクの影響度が低かったり,対策が見当たらない場合に,あえて対策をとらない取り組み 例)リスクによる損失額よりも,対策にかかるコストの方が大きい場合など |
| リスク回避 | リスクの原因を根本的に取り除く取り組み 例)業務を停止する,情報資産を廃棄するなど |
| リスク移転 | リスクを第三者に移す取り組み 例)情報システムの開発・運用をアウトソーシングする,保険会社などの第三者に資金的なリスクを移転するなど |
リスクアセスメントの例
基本情報技術者試験(平成26年度 春期)の午後 問1を参考に,リスクアセスメントの流れを見ていきます。
〔概要〕
- Z社がプロジェクトYに対してリスクアセスメントを実施する。
- プロジェクトYでは,顧客が利用する購買システムを開発する。テストデータは,USBメモリに格納されたものを,プロジェクトメンバが顧客から受け取って自社に持ち帰り,開発用サーバーに複写後,USBメモリから削除する。
- 開発用PCでプログラムを開発し,適宜,開発用サーバーにアップロードする。
- 開発用サーバーは,施錠されたサーバールームにあり,アクセス管理もされている(プロジェクトメンバとシステム管理者だけがアクセスできる)。
- 開発用PCは,プロジェクト開始時に各プロジェクトメンバに貸与され,終了時に返却される。
- 開発時,テストデータのうち必要なものだけを,開発用PCにダウンロードし,不要になったら削除する。
- プロジェクト終了時には,開発用サーバーと開発用PCのテストデータを削除する。
〔リスクアセスメントの手順とリスク値算出方法〕
〔リスクの特定〕
① 情報資産の洗い出し
次の表は,プロジェクトYで扱う情報資産を洗い出した結果の一部です。
② 情報資産の価値の数値化
次の表は,①の各情報資産に対して,C,I,Aのそれぞれについてその価値を評価した値と評価理由をまとめた結果です。
③ 脅威の数値化
次の表は,②の情報資産のうち,情報資産 No.4(テストデータ)について,脅威の内容と脅威の値をまとめた結果です。
④ 脅威に対する脆弱性の数値化
次の表は,③の各脅威に対する脆弱性の低減策と脆弱性の値をまとめた結果です。脆弱性の値は,システム,規則又は運用で,二つ以上対策済みなら1,一つだけなら2,未対策は3としています。
〔リスクの分析・評価〕
次の表は,②~④を基に情報資産 No.4(テストデータ)のリスクの分析・評価を行い,リスク値を算出した結果です。
〔リスク対策〕
リスクの分析・評価の結果を基に,プロジェクトYのプロジェクトマネージャーは,リスク対応計画を作成します。その後,脅威IDが「T1」と「T4」の脅威に対して,リスク対策を実施します。
広告
個人情報保護マネジメントシステム(PMS;Personal information protection Management System)とは(個人情報保護管理の仕組み)
個人情報保護マネジメントシステムとは,個人情報を守るためのしくみをいい,(PDCAサイクルで)構築,維持・管理します。個人情報保護マネジメントの実施では,目的外利用や,第三者提供がないように管理しなければなりません。
個人情報とは
個人情報とは,生存している個人を特定できる情報のことをいいます。具体的には,次のいずれかに該当するものをいいます。
※ 死亡している個人の情報や,法人の情報は,個人情報とはならない
- 情報自体で,特定の個人を識別できるもの(氏名,顔写真など)
- 他の情報と照合することにより特定の個人を識別できるもの(生年月日,住所など)
- 個人識別符号が含まれるもの(DNAなど)
PMSで用いるPDCAサイクルによる管理活動(流れと目的)
(個人情報保護マネジメントシステムによる)個人情報保護マネジメントの実施については,PDCAサイクルにより,体系的に行う必要があります。
※ JIS Q 15001…事業者がPMSを構築し,適切にマネジメントしていくためのガイドライン
その他
MDM(Mobile Device Management)とは
MDMとは,会社などが従業員に貸与するスマートフォンなどに対する設定などを一元管理する仕組みのことをいいます。
まとめ
今回は,情報セキュリティ管理に関する基本的な考え方や管理手法についてシンプルにまとめてみました。ISMSを中心とした情報セキュリティマネジメント,リスクマネジメント,個人情報保護マネジメント(PMS)の枠組みやPDCAサイクルの運用を理解することが重要です。また,情報資産,脅威・脆弱性・リスクの関係を把握し,適切な管理策を策定・運用できることが試験対策に役立ちます。
理解が進んだら,基本情報技術者試験の過去問題等にもチャレンジしてみてください。
※ このページでは読みやすさを考慮し「コンピューター」,「サーバー」など長音付きで表記していますが,試験では「コンピュータ」,「サーバ」と表記されます
基本情報技術者試験の学習におすすめの参考書
基本情報技術者試験の合格を目指す方におすすめの参考書です。
