📅 公開日:2026年3月20日
【情報セキュリティマネジメント試験】ISMS・リスク管理・組織対策を完全解説
情報セキュリティマネジメント試験(SG)では、技術的な攻撃手法の知識だけでなく、組織としてのセキュリティ管理の仕組みが重点的に問われます。ISMS・リスクアセスメント・内部不正対策を体系的に理解しましょう。
1. 情報セキュリティの基本概念
CIA トライアド
情報セキュリティの3要素は CIA と呼ばれます。
| 要素 | 内容 | 対策例 |
|---|---|---|
| C(機密性:Confidentiality) | 許可された者だけがアクセスできる | アクセス制御・暗号化・認証 |
| I(完全性:Integrity) | 情報が正確で改ざんされていない | ハッシュ値・デジタル署名 |
| A(可用性:Availability) | 必要な時に情報・システムを利用できる | 冗長化・バックアップ・BCP |
試験では「信頼性」が CIA に含まれるか問われることがあります。信頼性は CIA に含まれません。
2. ISMS(情報セキュリティマネジメントシステム)
ISMS は ISO/IEC 27001 に基づき、情報セキュリティを組織的・継続的に管理するためのマネジメントシステムです。
ISMS の PDCA サイクル
| フェーズ | 内容 |
|---|---|
| P(Plan:計画) | リスクアセスメントと対策計画の策定 |
| D(Do:実施) | セキュリティポリシーに基づく対策の実行 |
| C(Check:点検) | 内部監査・マネジメントレビューによる評価 |
| A(Act:処置) | 改善策の実施と見直し |
情報セキュリティポリシーの3階層
- 基本方針:経営トップのセキュリティへの姿勢と基本的な方針
- 対策基準:方針を実現するための具体的なルール・基準
- 実施手順:日常業務での具体的な操作手順
3. リスクマネジメント
リスクアセスメントの流れ
- リスク特定:情報資産・脅威・脆弱性の洗い出し
- リスク分析:リスクの大きさの評価(発生可能性 × 影響度)
- リスク評価:許容可能かどうかの判断
- リスク対応:対応策の選択と実施
リスク対応の4種類
| 対応策 | 内容 | 例 |
|---|---|---|
| リスク回避 | リスクの原因となる活動をやめる | 脆弱なシステムの廃止 |
| リスク低減(軽減) | 対策でリスクを小さくする | セキュリティソフト導入 |
| リスク移転(転嫁) | 損失を第三者に移す | サイバー保険加入 |
| リスク受容(保有) | リスクを認識して受け入れる | 影響の小さいリスクは許容 |
4. アクセス管理
認証の3要素(多要素認証)
| 要素 | 内容 | 例 |
|---|---|---|
| 知識(Something you know) | 本人が知っていること | パスワード・PIN・秘密の質問 |
| 所持(Something you have) | 本人が持っているもの | ICカード・スマートフォン・トークン |
| 生体(Something you are) | 本人の身体的特徴 | 指紋・顔・虹彩認証 |
多要素認証(MFA)は異なるカテゴリの要素を 2種類以上 組み合わせることで、セキュリティを大幅に向上させます。
最小権限の原則
ユーザー・プロセス・システムには、業務遂行に必要な 最低限の権限だけを与える セキュリティ原則です。不要な権限を持たせないことで、侵害時の被害を最小限に抑えます。
職務の分離
重要な業務の各段階を複数の担当者に分担させることで、1人の人間が不正を完結させることを防ぐ内部統制の仕組みです。経理の起票・承認・支払を別々の担当者が行うのが典型例です。
5. インシデント対応
CSIRT(Computer Security Incident Response Team)
組織内でセキュリティインシデントが発生した際に、組織的・体系的に対応する専門チームです。
インシデント対応の流れ
- 検知・識別:インシデントの発見と確認
- 封じ込め:被害拡大防止・感染端末の隔離
- 根絶:マルウェアの除去・脆弱性の修正
- 復旧:正常稼働の再開
- 事後対応:原因分析・再発防止策・報告
6. 組織的セキュリティ対策
セキュリティ教育・訓練
技術的対策だけではカバーできない「人的な弱点」を補うために、従業員への継続的な教育・訓練が重要です。標的型メール訓練では実際の攻撃メールを模した訓練メールを送り、セキュリティ意識レベルを測定します。
クリアスクリーン・クリアデスク
- クリアスクリーン:離席時に PC 画面をロックする
- クリアデスク:机上に機密書類・USB メモリ等を放置しない
これらはのぞき見・窃取による情報漏洩を防ぐ基本的な物理的・人的セキュリティ対策です。
まとめ
- CIA トライアド:機密性・完全性・可用性(信頼性は含まない)
- ISMS:ISO/IEC 27001 に基づくセキュリティマネジメントシステム
- リスク対応:回避・低減・移転・受容の4種類
- 多要素認証:知識・所持・生体の異なるカテゴリを2つ以上組み合わせる
- 最小権限の原則・職務の分離:内部不正対策の基本