fhhm’s blog

情報処理安全確保支援士の試験勉強のまとめ。『情報処理教科書 情報処理安全確保支援士 2026年版』をベースにしている。

情報処理教科書 情報処理安全確保支援士 2026年版 | 翔泳社

信頼と実績で選ばれ続ける。圧倒的支持率の定番対策書！ 過去の試験傾向を分析し、合格に必要な知識を網羅。 セキュリティの専門家がわかりやすく解説するので、 基礎項目から最新傾向問題まで効率的に学び合格が目指せます。 【本書の特徴】 ・本試験の最新傾向を徹底分析 ・幅広い出題範囲を丁寧に解説 ・実際の試験形式で理解度を確認するために、節のテーマに沿った確認問題を掲載 ・旧SC試験を含めた23回分の過去問題解説をWebダウンロード ・令和7年10月試験の解答・解説をWebで提供 ・チェックシートで直前の総仕上げもバッチリOK ・2色刷りで読みやすい紙面 【シリーズ累計310万部超の人気No.…

https://www.shoeisha.co.jp

今回は情報セキュリティマネジメントの基礎についてまとめる。

• 情報セキュリティマネジメントとは、明確な方針や規定に基づいて、組織の情報資産の機密性、完全性、可用性などの特性を適切に維持/管理することと定義できる
• ISMS(Information Security Management System)とも呼ばれる
• PDCAサイクルによって継続的に推進されることが望ましい
  • Plan: 推進計画の立案、ポリシーの策定、リスクアセスメントの実施など
  • Do: 対策の実施/運用、教育、不正アクセスの監視など
  • Check: ポリシー遵守状況の評価、ポリシーの適切性監査など
  • Act: ポリシーの見直し、問題箇所の是正など

• ISMSに関する国際規格はISO/IEC 27000 - 27007、TR 27008, 27010, 27011などからなるISO/IEC 27000ファミリーと呼ばれている
  • 特に、ISO/IEC 27001, 27002が重要

• 下記が規定されている
  • 組織がISMSを確立/実施/維持/継続的な改善を行うための要求事項
  • リスクアセスメント、リスク対応を行うための要求事項
• JIS Q 9000ファミリー(品質マネジメントシステム: QMS)、JIS Q 14000ファミリー(環境マネジメントシステム: EMS)などのマネジメントシステム規格(MSS)との整合が図られている
  • これによって、ISO/IEC 27001: 2022を採用することで、複数のマネジメントシステムの運用を統合し、効率的に行うことができる

• 組織がISMSを実践するための規範となるガイドライン
• 下記の4カテゴリを持つ
  • 組織的管理策
  • 人的管理策
  • 物理的管理策
  • 技術的管理策

• 日本ではISMS適合性評価制度の概要が2001年から開始された
• ISMS適合性評価制度は情報マネジメントシステム認定センター(ISMS-AC)が主管している
  • 審査は、ISMS-ACから認定を受けた認証機関が行う
  • 審査員への資格付与は、ISMS-ACから認定を受けた要員認証機関が行う

情報マネジメントシステム認定センター「ISMS適合性評価制度の概要（パンフレット）」

• 一度認証を取得すればよいわけではなく、サーベイランス審査(継続審査)や再認証審査を定期的に受ける必要がある

上原孝之.

• 推進する組織、体制、構成要員の検討/決定
  • 構成要員はセキュリティの専門家というより、対象業務の経験が豊富な社員が望ましい
• 認証取得までのスケジュール、審査登録機関の検討/決定

• 事業の特徴、組織、所在地、システムなどの観点からISMSを適用する範囲を明確にする
  • 特定の事業、組織(部門)、拠点などの単位で認証を取得することが可能なため
• 適用範囲内外で境界が明確になるように、組織図、ネットワーク図、システム構成図などで定義する

• 情報セキュリティ活動の方向性や、事業に関連する法令などを考慮した上で、方針を確立する

• ISMSの要求事項や、法令などに適したリスクアセスメントの方法を特定する
• リスクの受容可能レベルを特定し、受容基準を設定する

• ISMS適用範囲内の情報資産と、その管理責任者を洗い出す
• それらに対する脅威、脆弱性を洗い出す
• 機密性、完全性、可用性の喪失による影響などからリスクを特定する

• 洗い出したリスクの特質を理解し、そのリスクレベルを算定する
• リスク受容基準に従って、受容するか対応が必要かを判断する

• リスク対応のための選択肢(管理、受容、回避、移転)を特定して評価する

• リスク対応情報の選択肢の実施に必要なすべての管理策を決定する
• 決定した管理策をISO/IEC 27001の附属書Aに示されている目的及び管理策と比較して、必要な管理策が見落とされていないか検証する
• 管理策によって軽減されるリスク、残留するリスクを算出する
• 管理策の実施に伴う文書化した情報を明確にする
  • e.g. 情報セキュリティ委員会の開催→議事録、入退室管理の実施→入退室管理記録簿

• ステップ7の結果を基にリスク対応計画を策定する
• 残留リスクの受容についてリスク所有者の承認を得る

• 下記の項目からなる適用宣言書を作成する
  • 選択した管理目的及び管理策と、それらを選択した理由
  • 実施済みの管理目的及び管理策
  • ISO/IEC 27001の附属書Aに示されている目的及び管理策 の中で、適用除外としたものと、それが正当である理由
  • 管理策を実施するための文書化した情報(e.g. 対策基準、手順書)
  • 管理作の実施に伴う文書化した情報(e.g. 議事録、入退室管理記録簿)

1. 管理策を実施する
   1. 対策基準、実施手順に沿って管理策を実施する
2. ISMSの浸透を図る
   1. 適用対象者全員にISMSを浸透させるための方策の検討/実施をする(e.g. 教育の実施、ハンドブックの配布)
3. 記録を収集する
   1. 実施に伴う記録を収集し、ISMS運用状況を確認する
   2. 記録は審査での重要な証拠書類となる
4. 内部監査を実施する
   1. 運用開始後、一定期間経過した後に内部監査を実施し、問題箇所の改善を図る
   2. ISMSの運用によって業務に支障が出たり、不満が上がることが想定されるため、ヒアリングを行う

• 情報セキュリティマネジメントとは、方針に沿ってCIAなどを維持/管理すること
• ISMSに関する国際規格はいくつかあるが、中でもISO/IEC 27001, ISO/IEC 27002が重要
  • ISO/IEC 27001: ISMSの確立/運用、リスクアセスメント/リスク対応についての要求事項
  • ISO/IEC 27002: ISMSを実践するための規範となるガイドライン
• ISMSの確立までは大きく下記のステップで進める
  • 対象範囲の決定
  • 方針の決定
  • リスクの特定、分析、評価
  • 管理策の検討、決定
• ISMSの運用では管理策の実施だけではなく、浸透推進や記録収集も必要

ISMSの認証取得には実際どれくらいのメリットがあるのか気になった。取得をせずとも情報セキュリティを強化しようとしたときにどのような流れで進めるかは参考になりそう。

また、脅威、脆弱性、リスクの概念がそれぞれちゃんと理解できていなかったので、まとめてみた。