情報セキュリティマネジメントとは? ITパスポートの学習で身に付くIT用語
スポンサーリンク



情報セキュリティマネジメント

 

今回はITパスポートのテクノロジ系に分類されている、情報セキュリティマネジメントについて解説していきたいと思います。

今回も「情報セキュリティ」に関する事のため、ITパスポート試験では重要視されています。しっかりとポイントを抑えて、得点に繋げていきましょう!

 

また、社会に出てからもこういった情報資産を脅かす脅威や対策を知っておくことができれば、自分の情報を守る力となるでしょう!

 

では、早速見ていきましょう!

スポンサーリンク

情報セキュリティ

 

企業や会社などの組織には、顧客情報や営業機密などたくさんの情報資産を持っています。これらが盗まれたり流出させてしまったりすると、組織としての信用を失うなど大きなダメージを受けてしまうのです。そのために、組織全体で情報資産を守るための対策を講じなければいけません。

情報資産を守る事を「情報セキュリティ」と呼びます。情報セキュリティとは、情報の機密性・完全性・可用性の3つの要素を維持する事を指します。この3つのことを「セキュリティの3大要素」と呼びます。

機密性・完全性・可用性は間違いやすい部分になりますので、しっかり覚えていきましょう!

機密性

 

機密性とは、許可された人にのみにアクセスできる状態にあることです。機密性を維持するには、アクセス権を設定したり、データの暗号化をしたりなど、情報漏洩を防ぐ必要があります。

完全性

 

情報が正確であり、完全な状態にあることです。完全性を維持するためには、情報が正確であるかをチェックする仕組みや体勢を整えたり、ウイルス対策などによってデータの改ざんや破壊を防いだりする必要があります。

可用性

 

利用者が必要と思ったときに、情報が利用できる状態にあることです。可用性を維持するためには、システムに予備電源を確保したり二重化したりする事で、システムに不具合が発生してもデータの利用が継続できるようにする必要があるのです。

 

スポンサーリンク

真正性・責任追跡性・否認防止・信頼性

 

ISO27000シリーズでは、情報セキュリティの要素として、機密性・完全性・可用性の3つに加えて「真正性」「責任追跡性」「否認防止」「信頼性」の4つを付加的な要素として定義しています。

ではその4つを見ていきましょう!

真正性

 

情報屋その利用者が、偽物やなりすましなどでなく、主張通りの本物であることを証明できる状態にあることです。ディジタル署名などによって対策することが可能となっています。

責任追跡性

 

情報に対して操作を行った利用者と、操作した内容を特定できる状態にあることです。アクセスログやデータの更新履歴のように、操作されたら記録されるようにしておき、後から追跡・特定ができるようにします。

否認防止

 

情報に対して行った操作など、ある操作や発生した事象について、後から否認することができないように、事実を証明できる状態にあることをいいます。ディジタル署名などによって対策することが可能です。

信頼性

 

情報システムが、故障や不具合なく稼働して、期待通りの処理を行える状態にあることです。ソフトウェアの不具合をなくしたり、故障しにくいハードウェアを使用したりするような対策をとります。

情報セキュリティポリシ

 

企業は、情報セキュリティに関する取り組みを「情報セキュリティポリシ」として文書にまとめています。情報セキュリティポリシとは、下図のように「基本方針(情報セキュリティ)」「対策基準」「実施手順」の3つで構成されています。

最上位に位置する基本方針は、情報セキュリティに関しての基本的な考え方を示しているもので、トップマネジメントと呼ばれる経営層が策定し、公表します。公表することにより、企業の信頼度を高めることができるのです。対策基準から下の要素は部門ごとに異なる内容を策定することがあります。しかし、基本方針は組織全体で統一されており、全従業員が周知している必要があるのです。

 

<情報セキュリティポリシの構成要素>


 

 

基本方針

→情報セキュリティに関する基本的な考え方や取組の姿勢を示したもの

 

対策基準

→基本方針を実現するために、守るべき規則や判断基準を示したもの

 

実施手順

→対策基準で定めた規定について実施する手順を示したもの

 

リスクマネジメント

 

情報資産を守るためには、企業が保有している情報資産にはどのような危険があるのかを分析し、それを元に対策方法を考える必要があります。

情報資産が抱える危険のことを「リスク」と呼び、リスクを管理することを「リスクマネジメント」と呼びます。

 

リスクマネジメントは

「リスクの特定」→「リスク分析」→「リスク評価」→「リスク対応」

の手順で行います。

①リスク特定

 

自社が所持している情報資産にまつわるリスクにはどのようなリスクがあるのかを特定する。

②リスク分析

 

①で特定したリスクの発生頻度や発生した場合の被害の大きさを分析する。

 

③リスク評価

 

組織の基準と②のリスク分析の結果を比較し、各リスクの重大性によって終戦順位付けを行う。それに合わせて対策方法を決定する。

④リスク対応

 

③のリスク評価で決定した対策方法に従って対策を行う。

 

リスクの洗い出しから対応策の検討までの①~③のプロセスのことを「リスクアセスメント」と呼びます。

リスク対策

 

全てのリスクに対して、完全な対策を行うと膨大な費用がかかってしまいます。そのため、「リスク分析」によって得ることができたリスクの発生頻度や発生した場合の損害額を評価して、優先度を付けて対策を行います。その対策方法には次のような方法があります。見ていきましょう。

 

<リスク対策>

対策方法

説明

リスク回避

リスクの原因を排除する。発生率が高く、損害額も大きい場合にとる対策

サーバをネットワークから切り離す。または災害の少ない場所へ移動

リスク共有

(リスク転移

リスク転嫁

リスク分散)

リスクを他者と分けたり、第三者に肩代わりしたりして貰う発生率は低いものの、損害額が大きい場合に取る対策

保険に加入。

情報システムの運用を他者に任せる

リスク軽減

(リスク低減)

対策を講じて、リスクの発生率や損害額を許容範囲内に収まるように小さくする。損害額は小さいものの、発生率が高い場合に取る対策

暗号化や認証システムの採用。

セキュリティ教育の実施

リスク受容

(リスク保有)

リスクをそのままにする。発生率も損害額も小さい場合に取る対策

リスクに対する予備の時間や資金を用意

 

情報セキュリティマネジメントシステム

 

情報資産を取り巻いている環境は日々移り変わっています。そのため情報セキュリティのレベルを維持・向上するために、組織全体で保護すべき情報資産を特定し、総合的・継続的に対策を行っていくことが必要になってきます。この取り組みのこと「情報セキュリティマネジメント」と呼びます。そして、情報セキュリティマネジメントをどのようにして行うべきなのかを示した枠組みとして「情報セキュリティマネジメントシステム(:Information Security Management System)があります。

ISMSでは、サイクルを使用した対策を行うことが推奨されています。

PDCAサイクルとは、物事を「Plan」「Do」「Check」「Act」の4つのステップに分けて繰り返し実行していく方法のことです。

 

<PDCAサイクル>

ステップ

実施する内容

Plan

情報セキュリティ対策の計画を立てる

Do

計画に基づいた対策の導入・運用を行う

Check

実施した結果の監視・評価を行う

Act

対策の改善を行う

 

PDCAサイクルは、このほかにも様々な管理業務を円滑に進めるための手法として利用されていることがあります。試験でも、あらゆる管理業務を例として、提示された作業内容がPDCAサイクルのどのステップであるかを問う問題が良く出題されます。問題文にちりばめられたキーワードを元に、どれであるかをしっかりと判断できるようにしていきましょう!

ISMS適合性評価制度

 

企業における情報セキュリティマネジメントが、ISMSが定めている基準に適合しているかどうかを客観的に評価する制度があります。その制度が「ISMS適合性評価制度」です。

ISMS認証を取得している組織は、情報資産を適切に管理しており、それを守るための取り組みをきちんと行っていると判断されるのです。

また、ISMS適合性評価制度のように組織が持つ全ての情報資産を評価対象とするのではなく、個人情報の取扱のみを対象とした制度があります。その制度のことを「プライバシーマーク制度」と呼びます。

どちらも特定の機関により認定され、認定を受けた企業は情報セキュリティの信頼性が高い企業として認められることができるのです。

CSIRT

 

(Computer Security Incident Response Team)とは、情報漏洩などのセキュリティ事故が発生した際に、被害の拡大を防止する活動を行う組織のことです。

企業内で組織されるものや、国・地域で組織されているものなどがあり、日本では「/」などがあります。

 

まとめ

 

いかがだったでしょうか?今回は情報セキュリティマネジメントについて解説させていただきました。

今回出てきた用語は名前と意味がごちゃ混ぜになってしまう人もいるので、しっかりと覚えていってください。

また、情報セキュリティ以外にも使用するような用語も出てきますので、是非覚えてみてくださいね!

 

では今回はここまでです!

ITパスポート試験におすすめのテキスト

ここでは、数あるITパスポート試験対策用のテキストの中から特におすすめのテキストを紹介していきます。

栢木先生のITパスポート教室

 

令和03年 イメージ&クレバー方式でよくわかる 栢木先生のITパスポート教室

 

この、栢木先生のITパスポート教室は書籍の帯に「103万人が選んだ教科書」と書いてあるように、毎年多くの受験者に読まれている参考書です。

テキストの中でも図を使った解説やイラスト分けを利用した分かりやすい解説が行われており、各章の終わりには問題演習を行う事もできるようになっており、インプットとアウトプットが同時にできるようになっています。

更に、アルファベットで書かれた用語は日本語で読み方を記載しておりますので読み方を調べたりする手間がかかりません。

IT系の知識にこれまで全く縁がなく、これから学習する人の気持ちに寄り添ったテキストだと言えます。

キタミ式イラストIT塾 ITパスポート

 

キタミ式イラストIT塾 ITパスポート 令和03年 (情報処理技術者試験)

 

 

この、キタミ式イラストIT塾は全体的に学習漫画のような書き方がされており、難解なIT用語を暑かったりしているにもかかわらず、スラスラと読みやすいのが特徴です。

おすすめ書籍の例に漏れず、過去問を掲載しているためインプットと同時にアウトプットを行い知識の定着をしっかりと確認しながら進める事ができます。

上記の「栢木先生のITパスポート教室」よりも更にイラストが多く活用されているため、活字を読んで学習するのが苦手だという方や、本当に読み進めやすいテキストを求めている方にもおすすめです。

いちばんやさしいITパスポート 絶対合格の教科書+出る順問題集

【令和3年度】 いちばんやさしいITパスポート 絶対合格の教科書+出る順問題集

このテキストは出題範囲の広いITパスポート試験の中から、試験に出てくる重要なポイントに絞って重点的に解説をしているため、無駄なく短期間で合格を目指したい人におすすめの書籍です。

重要なポイントだけだから穴があると言ったこともなく、しっかりと基本知識を身につける事が出来る非常に良い書籍です。

重要用語を暗記するためのページもあるため、コツコツと隙間時間を使って暗記をする時にも非常に良い使い方ができるでしょう。

スポンサーリンク

Twitterでフォローしよう

おすすめの記事