概要
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は、組織の情報セキュリティを体系的に管理するための仕組みで、ISO/IEC 27001 として国際標準化されています。SC試験では「リスクアセスメントの流れ」「リスク対応の4選択肢」「PDCAサイクル」が特に重要です。
仕組みと動作原理
ISMSの適用範囲と目的
情報セキュリティの3要素(CIAトライアド)
| 要素 | 英語 | 意味 |
|---|---|---|
| 機密性 | Confidentiality | 許可された者だけが情報にアクセスできる |
| 完全性 | Integrity | 情報が正確・完全に保たれている |
| 可用性 | Availability | 必要なときに情報・システムを利用できる |
PDCAサイクル
| フェーズ | 内容 | 主な活動 |
|---|---|---|
| Plan(計画) | 適用範囲・目標・リスクアセスメント | ISMSポリシー策定・リスク分析 |
| Do(実施) | 管理策の実装・運用 | 教育・アクセス制御・インシデント対応 |
| Check(評価) | 監視・内部監査・マネジメントレビュー | KPIモニタリング・監査 |
| Act(改善) | 不適合への対処・継続的改善 | 是正処置・予防処置 |
リスクアセスメントの手順
① リスクの特定
情報資産の識別 → 脅威・脆弱性の洗い出し → リスクの特定
② リスクの分析
リスク値 = 脅威の発生可能性 × 情報資産の価値 × 脆弱性のレベル
③ リスクの評価
リスク値 vs リスク受容基準(Risk Appetite)で優先順位付け
④ リスク対応(次項参照)リスク対応の4選択肢
| 対応策 | 説明 | 例 |
|---|---|---|
| 回避(Avoidance) | リスクが生じる活動をやめる | 危険なサービスの提供停止 |
| 低減(Reduction) | 技術・組織的管理策を実施してリスクを下げる | ファイアウォール導入・教育実施 |
| 移転(Transfer) | 保険や委託によりリスクの財務的影響を第三者に移す | サイバー保険・SLAによる委託 |
| 受容(Acceptance) | リスク受容基準以下と判断して許容する | コスト対効果で対策不要と判断 |
ISO/IEC 27001 の構成
本体(要求事項): 組織が満たすべき必須要件(shall の条文)
附属書A(管理策): ISO/IEC 27002 を参照した93の管理策(4テーマ)
| テーマ | 主な内容 |
|---|---|
| 組織的管理策(37策) | ポリシー・リスクマネジメント・供給者管理 |
| 人的管理策(8策) | 教育訓練・懲戒・テレワーク |
| 物理的管理策(14策) | 入退館管理・クリアデスク・機器廃棄 |
| 技術的管理策(34策) | アクセス制御・暗号化・脆弱性管理 |
ISMS と ISMS-P(個人情報保護)
ISMS-P は ISMS に個人情報保護マネジメントシステム(JIS Q 15001)を組み合わせた認証です。個人情報を大量に扱う組織が取得することが多いです。
SC試験での頻出ポイント
- リスク対応の4択:「回避・低減・移転・受容」の具体例から分類する問題
- リスク値の算出式:発生可能性・資産価値・脆弱性の組み合わせ
- PDCA の各フェーズでの活動:「内部監査はCheckに含まれる」など
- 附属書Aの管理策の分類:「鍵管理は技術的管理策」「セキュリティ教育は人的管理策」
- 適用宣言書(SoA):採用/除外した管理策を一覧化した文書。除外理由の明示が必要
よくある誤問・ひっかけパターン
誤り① 「リスク移転でリスクがなくなる」→ 誤。リスクの財務的影響を第三者に移すだけで、リスク自体(事故の発生可能性)はなくなりません。
誤り② 「ISMS 認証を取得すれば法令違反になることはない」→ 誤。ISMS は管理体制の認証であり、すべての法令準拠を保証するものではありません。
誤り③ 「附属書Aの管理策はすべて実装しなければならない」→ 誤。適用除外が可能です。ただし適用宣言書に除外理由を明記する必要があります。
関連用語
- 個人情報保護法と GDPR — ISMS の技術・組織管理策は個人情報保護にも直結
- SOC と SIEM — ISMS の「モニタリング」「インシデント対応」の管理策の実装手段
重要キーワード
| 用語 | 説明 |
|---|---|
| ISO/IEC 27001 | ISMSの国際標準規格。要求事項と附属書Aで構成 |
| リスクアセスメント | 脅威・脆弱性・資産価値からリスクを特定・分析・評価するプロセス |
| リスク受容基準 | 組織がどの程度のリスクを許容するかの基準(Risk Appetite) |
| 適用宣言書(SoA) | 附属書Aの各管理策の採用/除外とその理由を記載した文書 |
| CIAトライアド | 機密性・完全性・可用性。情報セキュリティの3要素 |
| ISMS-P | ISMSと個人情報保護マネジメントシステムを統合した認証 |