情報セキュリティに関するフレームワーク
情報セキュリティを組織的に守る仕組み
Section titled “情報セキュリティを組織的に守る仕組み”企業や組織が情報セキュリティ対策に取り組むとき、「ウイルス対策ソフトを入れた」「パスワードを強化した」といった個別の対策だけでは十分ではありません。組織全体として、どのような方針で、どのような手順で情報を守るのかを体系的に決め、それを継続的に運用・改善していく仕組みが必要です。
このような「組織的に情報セキュリティを管理するための枠組み」のことをフレームワークと呼びます。フレームワークがあることで、担当者が変わっても、組織の規模が大きくなっても、一貫したセキュリティ対策を維持できるようになります。
ISMS(情報セキュリティマネジメントシステム)
Section titled “ISMS(情報セキュリティマネジメントシステム)”ISMSとは
Section titled “ISMSとは”ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、組織が情報セキュリティを確保・維持するための管理の仕組みを体系的にまとめたものです。単なる技術的な対策の集まりではなく、「方針の策定 → 対策の実施 → 効果の確認 → 改善」という一連のプロセスを組織全体で回していくための枠組みです。
ISMSの目的は、情報の機密性(許可された人だけがアクセスできる)、完全性(情報が正確で改ざんされていない)、可用性(必要なときに情報を使える)を適切に管理し、利害関係者(顧客・取引先・株主など)に信頼を与えることにあります。
ISMSの確立で最初に行うこと
Section titled “ISMSの確立で最初に行うこと”ISMSを組織に導入する際、最初に行うべきことは「利害関係者のニーズと期待の理解」です。組織がどのような情報を守る必要があるのか、顧客や取引先がどのようなセキュリティレベルを求めているのかを明確にすることが出発点となります。
たとえば、個人情報を多く扱う企業であれば、顧客から「個人情報が漏えいしないこと」を強く求められますし、金融機関であれば、法規制によって高度なセキュリティ基準が求められます。こうした要求を把握したうえで、自組織に合ったセキュリティの方針や目標を定めていきます。
試験で出るポイント
「ISMSの確立で最初に行うことは何か」という問題では、「利害関係者のニーズと期待の理解」が正解です。「リスク分析」や「セキュリティポリシーの策定」を選ばないよう注意しましょう(2020年 問69で出題)。
PDCAサイクルによる継続的改善
Section titled “PDCAサイクルによる継続的改善”PDCAサイクルとは
Section titled “PDCAサイクルとは”ISMSの運用で中核となる考え方が、PDCA(Plan-Do-Check-Act)サイクルです。PDCAサイクルとは、業務を**Plan(計画)→ Do(実行)→ Check(評価)→ Act(改善)**の4つのフェーズに分けて繰り返し回すことで、継続的改善を実現する手法です。
情報セキュリティは、一度対策を導入すれば終わりではありません。新しい脅威や技術の変化に対応するため、PDCAサイクルを繰り返し回して常に改善し続ける必要があります。この「終わりのない改善の取り組み」を継続的改善と呼びます。
セキュリティにおけるPDCAの各フェーズ
Section titled “セキュリティにおけるPDCAの各フェーズ”PDCAサイクルの各フェーズを、情報セキュリティの文脈で具体的に見ていきましょう。
| フェーズ | 内容 | セキュリティでの具体例 |
|---|---|---|
| Plan(計画) | セキュリティ方針・目標を定め、リスクを分析して対策を計画する | セキュリティポリシーの策定、リスクアセスメントの実施 |
| Do(実行) | 計画した対策を実際に導入・運用する | ファイアウォールの設置、従業員へのセキュリティ教育の実施 |
| Check(評価) | 対策が計画通りに機能しているかを点検・監査する | セキュリティポリシーの監査、インシデント記録の分析 |
| Act(改善) | 評価結果をもとに問題点を是正し、次のサイクルに反映する | ポリシーの見直し、新たな脅威への対策追加 |
試験で出るポイント
「セキュリティポリシーの監査はPDCAのどのフェーズか」という問題が出題されています。監査や点検は「Check(評価)」に該当します。PlanやDoと混同しないようにしましょう(2019年 問68で出題)。
PDCAの各フェーズを見分けるコツ
Section titled “PDCAの各フェーズを見分けるコツ”試験ではPDCAのどのフェーズに該当するかを問われることが多いため、次のように整理しておくと判断しやすくなります。
- Plan:「策定する」「計画する」「方針を決める」などの表現が目印
- Do:「実施する」「導入する」「教育を行う」などの表現が目印
- Check:「監査する」「点検する」「確認する」「評価する」などの表現が目印
- Act:「見直す」「是正する」「改善する」などの表現が目印
リスクコミュニケーション
Section titled “リスクコミュニケーション”ISMSを効果的に運用するうえで欠かせない活動の一つがリスクコミュニケーションです。
リスクコミュニケーションとは、組織が抱える情報セキュリティリスクについて、経営者・IT担当者・一般の従業員・取引先など、さまざまな関係者の間で情報を共有し、意見交換を行うことです。
たとえば、IT部門が把握しているセキュリティリスクを経営者に報告し、対策に必要な予算の承認を得たり、従業員全体にリスクの内容を周知して注意を促したりする活動がリスクコミュニケーションに該当します。
リスクコミュニケーションが重要な理由は、セキュリティ対策はIT部門だけで完結するものではないからです。全員がリスクを理解し、共通認識を持って行動することで、組織全体のセキュリティレベルが向上します。
試験で出るポイント
リスクコミュニケーションは「リスクに関する情報を関係者間で共有・意見交換すること」と覚えておきましょう。「リスクを回避すること」や「リスクを数値化すること」とは異なる概念です。
ISMSとセキュリティポリシーの関係
Section titled “ISMSとセキュリティポリシーの関係”ISMSは組織全体のセキュリティ管理の枠組みであり、その中でセキュリティの方針や規則を文書化したものが「情報セキュリティポリシー」です。セキュリティポリシーはISMSのPlan(計画)フェーズで策定され、ISMSを運用するための基盤となります。セキュリティポリシーの詳しい内容については、別のページで解説します。
情報セキュリティを組織的に管理するための重要な概念を整理しておきましょう。
| 用語 | 意味 |
|---|---|
| ISMS | 情報セキュリティを体系的に管理するための組織的な仕組み |
| PDCAサイクル | Plan→Do→Check→Actを繰り返して継続的に改善する手法 |
| 継続的改善 | PDCAサイクルを回し続けて、セキュリティ対策を常に向上させること |
| リスクコミュニケーション | セキュリティリスクに関する情報を関係者間で共有・意見交換すること |
過去問で実力チェック
Section titled “過去問で実力チェック”過去問に挑戦
Q. ISMSの確立,実施,維持及び継続的改善における次の実施項目のうち,最初に行うものはどれか。
- ア 情報セキュリティリスクアセスメント
- イ 情報セキュリティリスク対応
- ウ 内部監査
- エ 利害関係者のニーズと期待の理解
解答(令和2年)
正解: エ
Q. PDCAモデルに基づいてISMSを運用している組織の活動において,PDCAモデルのA(Act)に相当するプロセスで実施するものとして,適切なものはどれか。
- ア 運用状況の監視や運用結果の測定及び評価で明らかになった不備などについて,見直しと改善策を決定する。
- イ 運用状況の監視や運用結果の測定及び評価を行う。
- ウ セキュリティポリシの策定や組織内の体制の確立,セキュリティポリシで定めた目標を達成するための手順を策定する。
- エ セキュリティポリシの周知徹底やセキュリティ装置の導入などを行い,具体的に運用する。
解答(令和2年)
正解: ア
Q. ISMSの計画,運用,パフォーマンス評価及び改善において,パフォーマンス評価で実施するものはどれか。
- ア 運用の計画及び管理
- イ 内部監査
- ウ 不適合の是正処置
- エ リスクの決定
解答(令和4年)
正解: イ
Q. PDCAモデルに基づいてISMSを運用している組織において,C(Check)で実施することの例として,適切なものはどれか。
- ア 業務内容の監査結果に基づいた是正処置として,サーバの監視方法を変更する。
- イ 具体的な対策と目標を決めるために,サーバ室内の情報資産を洗い出す。
- ウ サーバ管理者の業務内容を第三者が客観的に評価する。
- エ 定められた運用手順に従ってサーバの動作を監視する。
解答(令和6年)
正解: ウ
Q. ISMSにおける内部監査に関する記述のうち,適切なものはどれか。
- ア JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく,ISMS活動の組織に対する有効性も判定する。
- イ JIS Q 27001の要求事項ではなく,組織自体が規定した要求事項を監査基準とする。
- ウ 内部監査の実施のためのプログラムを確立するときには,前回の内部監査の結果は考慮しない。
- エ 不定期かつ抜き打ちでの実施を原則とする。
解答(令和7年)
正解: ア
Q. ISMSの運用にPDCAモデルを採用している組織において,サーバ監視に関する次の作業を実施する。各作業とPDCAモデルの各フェーズの組合せとして,適切なものはどれか。
〔作業〕
(1)サーバ監視の具体的な目的及び手順を定める。
(2)サーバ監視の作業内容を第三者が客観的に評価する。
(3)定められている手順に従ってサーバを監視する。
(4)発見された問題点の是正処置として,サーバの監視方法を変更する。
| P | D | C | A | |
|---|---|---|---|---|
| ア | (1) | (2) | (3) | (4) |
| イ | (1) | (2) | (4) | (3) |
| ウ | (1) | (3) | (2) | (4) |
| エ | (1) | (3) | (4) | (2) |
- ア (1) / (2) / (3) / (4)
- イ (1) / (2) / (4) / (3)
- ウ (1) / (3) / (2) / (4)
- エ (1) / (3) / (4) / (2)
解答(令和7年)
正解: ウ
Q. ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
- ア 機密事項が記載されているので,伝達する範囲を社内に限定する必要がある。
- イ 情報セキュリティ対策は一度実施したら終わりではないので,ISMSを継続的に改善するコミットメントを含める必要がある。
- ウ 部門の特性に応じて最適化するので,ISMSを適用する組織全体ではなく,部門ごとに定める必要がある。
- エ ボトムアップを前提としているので,各職場の管理者によって承認される必要がある。
解答(令和7年)
正解: イ