情報セキュリティ管理
テクノロジ系 / 技術要素
---
情報セキュリティ管理とは何を指すのか
ファイアウォールや暗号化といった個々の「技術対策」だけでは、組織の情報セキュリティは守り切れない。誰がどの情報にアクセスしてよいかのルールを決め、リスクを洗い出して優先順位をつけ、災害時にも業務を止めない仕組みを整え、それらを組織の規程として明文化し、第三者に認証してもらい、いざという時に頼れる専門組織とつながっておく——こうした「仕組みづくり」全体を指すのが、シラバスでいう情報セキュリティ管理である。基本情報技術者試験では、(1)情報セキュリティ管理の基本、(2)リスク分析と評価、(3)情報セキュリティ継続、(4)情報セキュリティ諸規程、(5)ISMS、(6)情報セキュリティ組織・機関、(7)情報セキュリティに関する基準、という7つの切り口で問われる。
(1) 情報セキュリティ管理の基本的な考え方
情報セキュリティ管理の出発点は「情報セキュリティポリシーに基づいて情報資産を管理する」という原則である。ここでいう情報資産とは、顧客データベースや設計図面のようなデータそのものだけでなく、それを扱うサーバやノートPC、さらには紙の書類まで含む、守るべき対象すべてを指す。
管理の実務でとりわけ重要なのがアカウント管理と利用者アクセス権の管理である。たとえば経理担当者には会計システムへのアクセス権を与えるが、人事情報や開発ソースコードへのアクセス権までは与えない、というように、業務上必要な範囲に限定して権限を付与する。この考え方をneed-to-know(最小権限)の原則と呼ぶ。また近年はクラウドサービスの利用が前提になっているため、「クラウド事業者がどこまで守り、利用者側がどこから守る責任を負うのか」を切り分ける責任共有モデルの理解も欠かせない。たとえばSaaS型の会計クラウドであれば、サーバの物理的な安全性は事業者側の責任だが、アカウントのパスワード管理や不要になったユーザーの削除は利用者側の責任、という切り分けになる。
(2) リスク分析と評価(リスクアセスメント、リスク対応)
この項目は「①情報資産の調査 → ②重要性による分類 → ③リスクの種類の把握 → ④リスクアセスメント → ⑤リスク対応」という一連の流れで理解すると整理しやすい。
まず情報資産を洗い出し、機密性・完全性・可用性の観点でどれだけ重要かを分類し、情報資産台帳として一覧化する。次に、設備や金銭そのものの損害である財産損失、取引先や顧客への損害賠償責任を負うことによる責任損失、事業機会を逃すことによる純収益の喪失、要員が業務にあたれなくなることによる人的損失といったリスクの種類を把握したうえで、リスク基準・リスクレベル・リスクマトリックスといった物差しを使い、「リスク特定→リスク分析→リスク評価」というリスクアセスメントのプロセスを回す。評価の方法には、深刻度を「高・中・低」のように言葉で表す定性的分析と、被害額や発生確率を数値化する定量的分析がある。
最後に、洗い出したリスクへのリスク対応を決める。代表的な選択肢は次の4つである。
- リスク回避:そのリスクを伴う業務自体をやめる
- リスク低減(コントロール):対策を講じて発生確率や被害を小さくする
- リスク共有(移転・分散):サイバー保険への加入や外部委託によって、損害を他者と分担する
- リスク保有:許容できる程度のリスクは受け入れて対策をとらない
対応しきれず残ったリスクは残留リスクと呼ばれ、リスク登録簿に記録して継続的に監視する。この決定過程を関係者間で共有する活動がリスクコミュニケーションである。
(3) 情報セキュリティ継続
大地震やシステム障害のような「困難な状況」に陥っても、情報セキュリティの運用そのものを止めない仕組みが情報セキュリティ継続である。事業全体を止めないための事業継続マネジメントシステム(BCMS)の中に、情報セキュリティの観点を組み込む、と理解するとよい。緊急事態の深刻度に応じた緊急事態の区分をあらかじめ定め、有事の行動手順を記した緊急時対応計画(コンティンジェンシー計画)や復旧計画を用意し、平常時からバックアップによる対策を講じておく。たとえば「本番サーバが停止したら、まず遠隔地のバックアップセンターに切り替える」という手順をあらかじめ文書化しておくことが、これに当たる。
(4) 情報セキュリティ諸規程(情報セキュリティポリシーを含む組織内規程)
組織のセキュリティ対策は、個人の判断に委ねるのではなく規程として明文化する必要がある。その最上位に位置するのが情報セキュリティ方針であり、経営層が「なぜ・何のために」対策を行うのかという目的(情報セキュリティ目的)を示す。方針の下に、具体的な遵守事項を定めた情報セキュリティ対策基準、さらに実務手順を示す情報管理規程・秘密情報管理規程・文書管理規程が続く、という三層構造(方針・基準・手順)で理解すると覚えやすい。加えて、マルウェア感染時の初動対応を定める情報セキュリティインシデント対応規程や、SNS利用時の注意点をまとめたソーシャルメディアガイドラインなども、実務上よく登場する規程である。規程は作って終わりではなく、規程の承認手続や規則更新の規程を通じて定期的に見直す仕組みが組み込まれている点も押さえておきたい。
(5) 情報セキュリティマネジメントシステム(ISMS)
ISMSは、情報セキュリティ対策を場当たり的に行うのではなく、「計画(Plan)→運用(Do)→パフォーマンス評価(Check)→改善(Act)」というPDCAサイクルで継続的に回す仕組みである。国際規格としてはJIS Q 27001(ISO/IEC 27001)が要求事項を定め、その実施の手引きとしてJIS Q 27002(ISO/IEC 27002)が管理策の具体例を示す。JIS Q 27001は2023年に改訂され、附属書A の管理策は旧版の114項目から93項目に整理・統合されるとともに、「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」という4分類に再編された。
さらに、経営層がどのように情報セキュリティの方向性を指示・監督するかという、より上位の統治レベルを扱う規格がJIS Q 27014(ISO/IEC 27014、情報セキュリティガバナンス)である。ISMSが「現場のマネジメント」を扱うのに対し、こちらは「経営としての監督」を扱う、と役割の違いを整理しておくとよい。組織がISMS要求事項に適合していることを第三者機関が確認する仕組みがISMS適合性評価制度であり、認証を取得した組織はISMS認証を名乗ることができる。
(6) 情報セキュリティ組織・機関
情報セキュリティは一組織だけで完結せず、専門組織との連携が前提になる。社内には情報セキュリティ委員会や、インシデント対応の専門チームであるCSIRT(Computer Security Incident Response Team)を置くことが多い。CSIRTが「起きたインシデントへの対応」に軸足を置くのに対し、SOC(Security Operation Center)は「ログやアラートを24時間監視して異常を検知する」役割に軸足を置く、という機能の違いで区別すると理解しやすい。
国内の代表的な公的機関としては、サイバーセキュリティ戦略本部の事務局機能を担ってきた内閣サイバーセキュリティセンター(NISC)、脆弱性情報の届出受付や注意喚起を行うIPAセキュリティセンター、暗号技術の安全性を評価するCRYPTREC、日本国内のインシデント対応調整やJVN(脆弱性情報ポータル)の運用を担うJPCERTコーディネーションセンター(JPCERT/CC)などがある。また、政府調達向けクラウドサービスのセキュリティ水準を評価するISMAPや、業界内で脅威情報を共有し合うISAC(Information Sharing and Analysis Center)も用語例として押さえておきたい。
> 注記(試験対策上の留意点):シラバスVer.9.2は組織名として「内閣サイバーセキュリティセンター(NISC)」を用語例に挙げているが、実際の組織体制は2025年7月1日付でNISCを発展的に改組した「国家サイバー統括室」へ移行している(サイバー対処能力強化法に基づく改組)。試験ではシラバス記載の名称(NISC)で出題される可能性が高いため学習上はそのまま覚えつつ、実務・ニュースで「国家サイバー統括室」という名称に接した際は同じ系譜の組織だと理解しておくとよい。
(7) 情報セキュリティに関する基準
最後に、組織や業界が守るべき基準・ガイドライン群を押さえる。経営者向けの代表格が、経済産業省とIPAが共同で発行するサイバーセキュリティ経営ガイドライン(2023年公開のVer3.0が最新)であり、経営者が認識すべき3原則と、CISO等の実施責任者に指示すべき重要10項目で構成される。中小企業向けにかみ砕いた中小企業の情報セキュリティ対策ガイドラインや、IoT機器特有のリスクに対応するIoTセキュリティガイドラインも同じ系譜にある。
業界特化の基準としては、クレジットカード情報を扱う事業者に求められるPCI DSS(現行版はv4.0.1)が代表例である。また、Society5.0時代のサプライチェーン全体を「企業間のつながり」「サイバー空間とフィジカル空間のつながり」「サイバー空間内のつながり」という三層構造で捉え直す、経済産業省のサイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)も用語例に挙がっている。なお、IPA公式の科目Bサンプル問題集(問17〜問20)では、ECサイト委託先の脆弱性対応責任の切り分けや、BYOD+VPN接続に伴うリスク、社内システムの職務分離といった、まさにこの中項目の考え方を土台にした事例問題が出題されている。
まとめ
情報セキュリティ管理は、「資産を把握し((1))、リスクを評価して対応を決め((2))、有事にも運用を止めず((3))、ルールとして明文化し((4))、PDCAで継続的に改善し((5))、専門組織と連携し((6))、業界横断の基準に照らして水準を確認する((7))」という一連の管理サイクルである。個々の用語を単体で暗記するのではなく、この一連の流れのどの段階に位置する概念かを意識すると、初見の事例問題にも対応しやすくなる。
---
本資料は IPA(独立行政法人 情報処理推進機構)が公表する「基本情報技術者試験シラバス(Ver.9.2)」中分類11「セキュリティ」中項目2「情報セキュリティ管理」小項目(1)〜(7)(p.40-42)に基づく自作の解説テキストである。
- シラバス本文・用語例は要約・言い換えて解説しており、原文の丸ごと転載ではない
- 解説本文・具体例・図解・演習問題は本資料著者(nomuraya-dojo)の独自作成
- シラバスそのものの著作権はIPAに帰属する。原文はIPA公式シラバスPDFを参照すること
- 本文中で言及するIPA公式「科目Bサンプル問題集」の問17〜問20は、問題番号と出典のみを参照し、問題文・選択肢本文は転記していない。原文はIPA公式サンプル問題PDFを参照すること
- 本資料の利用にあたっては、IPAの著作権・利用規約に従うこと
考えてみよう
既定では正解・不正解の判定はしません。自分のペースで「答えを見る」を。採点してほしい場合だけ「採点してほしい」を押してください。
問1
情報セキュリティにおける「need-to-know(最小権限)の原則」の説明として、最も適切なものはどれか。
ア 全ての従業員に、組織内の全システムへの標準的なアクセス権を一律に付与する。
イ 従業員には、自身の業務遂行に必要な範囲に限定してアクセス権を付与する。
ウ 管理者権限を持つアカウントは、一つのIDを全従業員で共有して運用する。
エ 退職者のアカウントは、引き継ぎが完了するまで無期限に有効化しておく。
解答: イ
解説: need-to-know(最小権限)の原則は、業務上必要な範囲に限定してアクセス権を付与する考え方である。アは一律付与であり原則に反する。ウはアカウントの個人特定性を損ない、監査証跡の観点からも不適切である。エは不要になった権限を放置しており、アカウント管理として不適切である。
問2
あるリスクへの対応として、サイバー保険に加入し、被害発生時の損害の一部を保険会社に分担してもらうことにした。このリスク対応の分類として、最も適切なものはどれか。
ア リスク回避
イ リスク低減
ウ リスク共有
エ リスク保有
解答: ウ
解説: サイバー保険への加入は、損害を保険会社と分担する対応であり「リスク共有(リスク移転)」に分類される。リスク回避(ア)はリスクを伴う活動自体をやめること、リスク低減(イ)は対策により発生確率や被害を小さくすること、リスク保有(エ)は対策をとらずそのまま受け入れることを指し、いずれも設問の対応とは異なる。
問3
JIS Q 27001(ISO/IEC 27001)とJIS Q 27014(ISO/IEC 27014)の関係に関する説明として、最も適切なものはどれか。
ア JIS Q 27001はクレジットカード情報の取扱基準であり、JIS Q 27014はIoT機器のセキュリティ基準である。
イ JIS Q 27001は情報セキュリティマネジメントシステム(ISMS)の要求事項を定め、JIS Q 27014は経営層による情報セキュリティガバナンス(監督)の概念・原則を扱う。
ウ JIS Q 27001とJIS Q 27014は同一規格の異なる呼称であり、内容に違いはない。
エ JIS Q 27001は脆弱性の深刻度を数値化する基準であり、JIS Q 27014はその数値の算出手順を定める。
解答: イ
解説: JIS Q 27001はISMSの要求事項(PDCAによる運用管理)を定める規格であり、JIS Q 27014はそれより上位の、経営層が情報セキュリティをどう評価・指示・監督するかという情報セキュリティガバナンスの概念・原則を扱う規格である。アはPCI DSSやIoTセキュリティガイドラインの内容と混同しており誤り、ウ・エも実態と異なる。
問4
社内のCSIRT(Computer Security Incident Response Team)とSOC(Security Operation Center)の役割の違いに関する説明として、最も適切なものはどれか。
ア CSIRTはログやアラートを常時監視して異常を検知することに軸足を置き、SOCは発生したインシデントへの対応・調整に軸足を置く。
イ CSIRTは発生したインシデントへの対応・調整に軸足を置き、SOCはログやアラートを常時監視して異常を検知することに軸足を置く。
ウ CSIRTとSOCはどちらも同一の業務を指す別名であり、役割上の違いはない。
エ CSIRTは社外の公的機関のみを指し、SOCは社内組織のみを指す名称である。
解答: イ
解説: CSIRTはインシデント発生時の対応・調整(原因究明・復旧・再発防止)に軸足を置く組織であり、SOCはログやアラートを常時監視し異常の兆候を検知することに軸足を置く組織である。役割は重なる部分もあるが、対応(CSIRT)と監視(SOC)という機能の違いで区別される。アは説明が入れ替わっており誤り、ウ・エも実態と異なる。
問5
ファイアウォールの設定変更、変更ログの確認、変更内容の承認をすべて同一の担当者一人が行っている体制について、内部統制の観点から指摘される問題として、最も適切なものはどれか。
ア 処理速度が遅くなるという可用性上の問題
イ 職務が適切に分離されておらず、不正な設定変更が行われても発見・抑止しにくいという問題
ウ 暗号化アルゴリズムの強度が不足しているという問題
エ 物理的な入退室管理が行われていないという問題
解答: イ
解説: 設定変更・ログ確認・承認を同一人物が担うと、その担当者が不正な変更を行っても自分自身でログを確認・承認してしまうため、不正の発見・抑止が働きにくくなる。これは「職務分離(segregation of duties)」が確保されていない典型例であり、情報セキュリティ管理・内部統制の観点から改善が求められる。アは可用性、ウは暗号強度、エは物理的セキュリティの問題であり、いずれも設問の状況とは直接関係しない。