情報セキュリティの管理(ISMS・リスクマネジメント)【ITパスポート講座】

2020年2月9日

ITパスポート 情報セキュリティ管理

この記事で学ぶこと

  1. ISMS
  2. リスクマネジメント
  3. インシデント対応

今回はITパスポートセキュリティ管理に関して学習していきます。

くろん
くろん
攻撃手法もわかったし、その対策技術も学んだからセキュリティはこれで完璧にゃー!
モナ
モナ
システムを整えても最後はその利用者がしっかりと管理しないとだめだニャ!最後にセキュリティの管理についても学んでいくニャ!

セキュリティ管理(マネジメント)

ITパスポート 情報セキュリティ管理

情報セキュリティは技術の面だけでなく、システムを利用する側の管理も重要です。

どんなにアンチウイルスソフトを入れたり最新のファイアウォール機器を導入しても、それですら対応できない新型のウイルスや新しい攻撃が日々生み出されています。

くろん
くろん
いたちごっこだにゃ・・・

常に脅威にさらされているとなれば、最後の砦は利用者です。

仕事を行う上でのセキュリティに関する方針をはっきりさせながら、継続的に改善しリスクを減らすことが重要です。

ISMS

ISMS(Information Security Management System)は、組織における情報セキュリティを管理するための仕組みのことです。

セキュリティポリシに従い、PDCAサイクルを回しながら継続的に改善する必要があります。

くろん
くろん
ぴーでぃーしーえー?
モナ
モナ
PDCAサイクルはセキュリティ管理以外でも頻出の言葉だから、押さえておくニャ!

ITパスポート PDCAサイクル

PDCA 意味
PLAN 目標や計画の設定を行う。
DO 導入や運用を行い実際に結果を測定する。
CHECK 得られた結果から見直しを行う。
ACT 見直した改善策を施策し、問題がないなら維持できる取り組みを行う。

組織において情報セキュリティマネジメントシステムが適切に構築・運用されているかを審査して認証する制度を、ISMS適合性評価制度と呼びます。

リスクマネジメント

情報セキュリティに関するリスクは至るところに点在しています。情報の漏えい・改ざん・不正利用などは代表的なリスクであり、リスクは企業や組織に被害が発生するすべての可能性を指しています。

モナ
モナ
リスクと言えば悪い印象があるけど、最近では良いことが起こる可能性の意味合いで用いることもあるから覚えておくニャ!

リスクマネジメントの具体的な手順は以下の通りです。

STEPLIST
  1. リスク特定
  2. リスク分析
  3. リスク評価
  4. リスク対応

リスク特定

リスク特定では、どのようなリスクが点在しているのかを全て列挙します。

思いつく限りをあげる必要があるので該当者達によるブレーンストーミングで意見を出し合うことが大切です。

リスク分析

リスク分析では、列挙したリスクを一つ一つ分析し重要さを判断します。

具体的にはリスクが顕在化した場合の「被害の甚大さ」と「発生確率」を特定し数値化、それぞれ掛け合わせて判断します。

リスク 被害の甚大さ 発生確率
A 5 1 5
B 4 3 12
C 3 5 15
モナ
モナ
表の例ならリスクCが最初に対応するべきリスクだニャ!

リスク評価

リスク評価では、分析されたリスクを所定のリスク基準と比較し、優先順位を決定します。

上記の例であれば「被害の甚大さ」をx軸に、「発生確率」をy軸にプロットします。

これによって誰が見ても一目でどのリスクが重大で優先して対処するべきか分かるようになります。

リスク対応

発生したリスクには対応する必要がありますが、対応方法としてさらに具体的な4つの方法に分かれます。

リスク対応 対応内容
リスク回避 損失が大きく、発生率が高いリスクに関してはリスク自体が発生しないように対応する。場合によっては該当するリスクを廃棄したり業務を停止する必要がある。
リスク転移 損失が大きく、発生率が低いリスクに対して、他者に肩代わりさせることで対応する。具体的には保険をかけたり、リスク業務をメインで行っている業者にアウトソーシングするなどが挙げられる。
リスク低減 損失額が小さく、発生率が高いリスクに関して、損失を許容できる範囲まで軽減させることで対応する。
リスク受容 損失額が小さく、発生確率が低いリスクに関して、対策をせずそのまま放置し費用を抑える。
モナ
モナ
分かりやすくまとめると以下のとおりだニャ!

ITパスポート リスク対応

セキュリティインシデントへの対応

近年は、セキュリティ関連の事故(セキュリティインシデント)が増えており、顧客情報が流出したり業務が止まったりなどのニュースを目にすることが増えてきました。

セキュリティインシデントが起こる原因は、利用者の操作ミス・サイバー攻撃・災害などさまざまです。

なかでも、故意の不正は「不正のトライアングル」によって発生すると言われています。

要因 内容
動機 不正を犯す必要性。仕事への不満や困窮など。
機会 不正が発生する可能性。権限が適切に割り当てられていなかったり、どこでも情報資産にアクセスできる状況など。
正当化 不正行為を正当化する考え方・言い訳。上司からのパワハラや低賃金など。

ネットを利用する場合の注意点

業務上やプライベートでインターネットを使う機会は増えています。インターネットを使うにあたっては、個人情報を公開しない、誹謗中傷をしないなどが考えられます。

モナ
モナ
最近はSNSでのフェイクニュースヘイトスピーチなども問題になっているニャ

昨今ではソーシャルメディアが普及し使用が拡大している中、発信した情報が炎上につながるリスクも高いです。

従業員や関係者が個人でコミュニケーションを使う場合の行動についても、ソーシャルメディアポリシーなどを制定し、未然に回避する必要が出ています。

ELSI(Ethical, Legal and Social Issues)は、日本語で論理的・法的・社会的課題と訳されるケースが多いです。研究の是非や方向性への意見が分かれる文化においては、広範囲に及ぶ合意形成が求められる事柄を指します。

セキュリティ関連組織

インシデントは事前に防ぐことが理想ですが、起こってしまった場合には対応しなければなりません。

CSIRT(Computer Security Incident Response Team)はインシデント対応を専門とした組織で、企業内で設置されることがあれば、国家レベルで設置されることもあります。

また、情報セキュリティ委員会は、情報セキュリティ対策を組織的かつ効果的に管理する目的で設置される社内組織で、経済産業省が「情報セキュリティ管理基準」において設置を求めています。

SoC(Security Operation Center)は、システムが発するアラートやセキュリティインシデントの予兆を専門のスタッフが24時間365日体制で監視し、インシデント発生時にはCSIRTへ報告を行いつつ支援も行う機関です。

サイバー攻撃が増加している昨今では、企業内での取り組みには限界があります。IPAにおいては、コンピュータ不正アクセス届出制度により、国内の不正アクセス被害の届出を受け付けています。

モナ
モナ
届出を分析し実態を把握したうえで、結果を公開し注意喚起や啓発活動を行っているニャ!
関連用語 内容
JVN 日本で使用されているソフトウェアの脆弱性関連情報と対策情報を、JVN#12345678のように識別子をつけて提供しているポータルサイト。JPCERTコーディネーションセンターとIPAが共同運営している。
J-CSIP 公的機関のIPAを情報ハブの役割として、参加する組織間で情報共有を行い、高度なサイバー攻撃対策につなげる取り組み。

セキュリティ関連規格

情報セキュリティを実施するためには、ガイドラインとなる管理基準を参照しましょう。

情報セキュリティ管理基準は、情報セキュリティマネジメント管理策の国際標準規格、ISO/IEC 27001/27002を基に、組織が効果的な情報セキュリティマネジメント体制を構築し、適切に管理し整備・運用すべきです。

キュー
キュー
ISOを日本語にしたやつがJISやで!

PCIDSS(Payment Card Industry Data Security Standaer)では、カード会員情報の保護を目的として、国際ペイメントブランド5社が共同でカード情報セキュリティの国際統一基準を制定しています。

国際ペイメントブランド5社
  • アメリカンエクスプレス
  • Discover
  • JCB
  • マスターカード
  • VISA
スポンサーリンク

情報セキュリティ管理の例題

実際に例題を解いて問題に慣れていきましょう。

問1

ISMSの情報セキュリティリスク対応における,人的資源に関するセキュリティ管理策の記述として,適切でないものはどれか。(R.2秋/問84)

ア:雇用する候補者全員に対する経歴などの確認は,関連する法令,規制及び倫理に従って行う。
イ:情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて,周知する。
ウ:組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが,業務を委託している他社には要求しないようにする。
エ:退職する従業員に対し,退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え,退職後もそれを守らせる。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示
問1の解説を表示

ISMSの管理策の具体例は、JIS Q 27002として規格化されています。

ア:雇用する候補者全員に対する経歴などの確認は,関連する法令,規制及び倫理に従って行う。
⇒JIS Q 27002-7.1.1によると、全ての従業員候補者についての経歴などの確認は,関連する法令,規制及び倫理に従って行うことが望ましいとされています。したがって適切です。

イ:情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて,周知する。
⇒JIS Q 27002-7.2.3によると、情報セキュリティ違反を犯した従業員に対して処置をとるための,正式かつ周知された懲戒手続を備えることが望ましいとされています。したがって適切です。

ウ:組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが,業務を委託している他社には要求しないようにする。
⇒JIS Q 27002-15.1.1によると、組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について,供給者と合意し,文書化することが望ましいとされています。したがって、業務を委託している他社に対して適用すべき情報セキュリティ管理策を特定し、それを義務付けることが望まれます。不適切なので正解です。

エ:退職する従業員に対し,退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え,退職後もそれを守らせる。
⇒JIS Q 27002-7.3.1によると、雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め,その従業員又は契約相手に伝達し,かつ,遂行させることが望ましいとされています。したがって適切です。

これより、正解は「ウ」です。

問2

情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。(R.4/問86)

ア:受容基準と比較できるように,各リスクのレベルを決定する必要がある。
イ:全ての情報資産を分析の対象にする必要がある。
ウ:特定した全てのリスクについて,同じ分析技法を用いる必要がある。
エ:リスクが受容可能かどうかを決定する必要がある。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問2の正解を表示
問2の解説を表示

リスクアセスメントは、組織に存在するリスクを認識し、評価することで、そのリスクが許容できるかどうかを決定するプロセスです。

リスクアセスメントは、JIS Q 27000で「リスク特定,リスク分析及びリスク評価のプロセス全体」と定義されているように、リスク特定・リスク分析・リスク評価までの活動を含みます。

ア:受容基準と比較できるように,各リスクのレベルを決定する必要がある。
⇒特定されたリスクを分析し、リスクのレベルを決定するのはリスク分析の活動です。したがって正解です。

イ:全ての情報資産を分析の対象にする必要がある。
⇒リスク分析が対象とするのはリスク特定で認識されたリスクです。リスクが認識されなかった情報資産についてはリスク分析の対象外なので、不正解です。

ウ:特定した全てのリスクについて,同じ分析技法を用いる必要がある。
⇒リスク分析は、ベースラインアプローチ・詳細リスク分析・非公式アプローチなどいくつかの手法があります。1つの手法を用いるケースもありますが、分析にかかる時間とコストを最適化するため、組織や情報資産の重要度に応じて複数の手法を組み合わせるケースが多いです。同じ分析技法を用いる必要はないので、不正解です。

エ:リスクが受容可能かどうかを決定する必要がある。
⇒リスクが受容可能かどうかを決定するのはリスク対応のプロセスです。したがって不正解です。

これより、正解は「ア」です。

問3

JPCERTコーディネーションセンターと情報処理推進機構(IPA)が共同運営するJVN(Japan Vulnerability Notes)で,”JVN#12345678″などの形式の識別子を付けて管理している情報はどれか。(H.30春/問82)

ア:OSSのライセンスに関する情報
イ:ウイルス対策ソフトの定義ファイルの最新バージョン情報
ウ:工業製品や測定方法などの規格
エ:ソフトウェアなどの脆弱性関連情報とその対策

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問3の正解を表示
問3の解説を表示

JVNは日本で用いられているソフトウェアなどの脆弱性関連情報と、その対策情報を提供し情報セキュリティ対策に資することを目的とする脆弱性対策情報サイトでした。

“JVN#12345678″などの番号は脆弱性識別番号と呼ばれ、脆弱性毎に割り振られて与えられます。

ア:OSSのライセンスに関する情報
⇒OSSはオープンソースライセンスと呼ばれる知的財産権に関する内容です。脆弱性とは関係がないため不正解です。

イ:ウイルス対策ソフトの定義ファイルの最新バージョン情報
⇒ウイルス定義ファイルやパッチファイルに関する内容です。脆弱性に関する内容ではないので不正解です。

ウ:工業製品や測定方法などの規格
⇒JIS等に関する内容です。よって不正解です。

エ:ソフトウェアなどの脆弱性関連情報とその対策
⇒JVNに関する内容です。よって正解です。

これより、正解は「エ」です。

問4

情報の漏えいなどのセキュリティ事故が発生したときに,被害の拡大を防止する活動を行う組織はどれか。(H.29春/問67)

ア:CSIRT
イ:ISMS
ウ:MVNO
エ:デジタルフォレンジックス

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問4の正解を表示
問4の解説を表示

CSIRT(Computer Security Incident Response Team)は、対象とする範囲でセキュリティ上の問題が起きていないか監視しながら、発生したセキュリティインシデントについて対応するチームや組織です。

セキュリティ意識の高まりやサイバー攻撃の増加に伴って、企業や組織内で設置される事例も増えています。

ア:CSIRT
⇒解説の通りです。正解です。

イ:ISMS
⇒Information Security Management Systemの頭文字です。情報セキュリティを保つために、組織の情報資産の機密性可用性完全性を維持管理するためのシステムや管理方法のことです。したがって不正解です。

ウ:MVNO
⇒Mobile Virtual Network Operatorの頭文字で、仮想移動体通信事業者のことです。自身では無線通信回線設備を保有せず、電気通信事業者の回線を間借りして移動通信サービスを提供します。UQ mobile・OCNモバイル・mineo・IIJmioなどがMVNOに該当します。したがって不正解です。

エ:デジタルフォレンジックス
⇒情報セキュリティインシデントが発生した際に、原因究明や後の法的手続きに必要となるデータを収集・保全し、解析する一連の作業です。したがって不正解です。

これより、正解は「ア」です。

情報セキュリティ管理のまとめ

今回は情報セキュリティ管理について学習しました。

リスクやISMSに関しては試験において頻出なので、しっかりと押さえておきましょう。

モナ
モナ
特にリスク対応は状況別に答えられるようにしておくニャ!

次回からはコンピュータアーキテクチャに関して学習します。

しかくのいろは
ディジタルとアナログ(ビット・バイト・2進数)【ITパスポート講座】
https://www.sikaku-no-iroha.co.jp/information-technology-examination/ipass/digital-analog-ipass
ITパスポートで問われるディジタル・アナログに関する説明をしていきます。進数表記やビット、バイトなどについても取り扱っているのでしっかり学習していきましょう!

本気でIパスを狙うなら・・・
スタディングがおすすめです!
  • お手頃価格で受講しやすい!
  • スマホ一台でどこでも勉強できる
  • AI問題演習機能で苦手な問題を効率よく学習!

オンライン資格講座 スタディング


スポンサーリンク







独学講義,ITパスポート試験

Posted by 佐野 孝矩