情報セキュリティ管理のための組織・機関

情報セキュリティを支える組織体制

企業や組織が情報セキュリティを確保するには、技術的な対策だけでなく、「誰が何を担当するのか」という組織的な体制づくりが欠かせません。ここでは、組織内部に設置するセキュリティ体制について学んでいきましょう。

情報セキュリティ委員会

情報セキュリティ委員会は、組織全体の情報セキュリティに関する方針や対策を検討・決定するための組織横断的な委員会です。一般的に、経営層（CISOなど）を委員長とし、各部門の責任者がメンバーとなります。

情報セキュリティ委員会の主な役割は次のとおりです。

情報セキュリティポリシー（方針）の策定・見直し
セキュリティ対策の計画と予算の承認
セキュリティインシデント発生時の対応方針の決定
社内のセキュリティ教育・啓発活動の推進

情報セキュリティは特定の部門だけで守れるものではなく、営業部門、人事部門、IT部門など、すべての部門が連携して取り組む必要があります。そのための司令塔となるのが情報セキュリティ委員会です。

CSIRT（Computer Security Incident Response Team）

CSIRT（シーサート：Computer Security Incident Response Team）は、情報セキュリティに関するインシデント（事故・事件）が発生したときに対応する専門チームです。

CSIRTの主な役割は以下のとおりです。

セキュリティインシデントの検知・分析・対応・復旧
インシデント発生時の社内外への連絡・調整
再発防止策の検討と実施
脆弱性情報や脅威情報の収集・共有

たとえば、社内システムに不正アクセスが発生した場合、CSIRTが中心となって被害範囲の特定、攻撃の遮断、関係機関への届出、再発防止策の策定などを行います。

CSIRTは組織内に常設する場合もあれば、インシデント発生時に招集される場合もあります。いずれの場合も、「いざというときに迅速に動ける体制」を事前に整えておくことが重要です。

SOC（Security Operation Center）

SOC（ソック：Security Operation Center）は、ネットワークやシステムを24時間365日体制で監視し、サイバー攻撃の兆候をいち早く検知する組織です。

SOCの主な業務は以下のとおりです。

ファイアウォールやIDS/IPSなどのログの常時監視
不審な通信やアクセスの検知・分析
検知したインシデントの一次対応とCSIRTへのエスカレーション（報告・引き継ぎ）

SOCは自社内に設置する場合と、専門のセキュリティ企業に外部委託する場合があります。

CSIRTとSOCの違い

CSIRTとSOCはどちらもセキュリティに関わる組織ですが、その役割は異なります。

	CSIRT	SOC
主な役割	インシデント発生時の対応・復旧	システムやネットワークの監視・検知
動くタイミング	インシデントが発生したとき	常時（24時間365日）
たとえると	消防隊（火事が起きたら駆けつけて消火する）	見張り番（火事の兆候がないか常に見守る）

SOCが異常を発見し、CSIRTに報告して対応を引き継ぐという連携が一般的です。

試験で出るポイント

CSIRTとSOCの違いは頻出です。CSIRT＝インシデント対応チーム、SOC＝常時監視センターと整理しましょう。「SOCが検知し、CSIRTが対応する」という連携の流れも押さえておくと確実です。

外部の機関・制度

組織内の体制に加えて、国や公的機関が運営するセキュリティ関連の制度や取り組みも、ITパスポート試験で問われます。ここからは、代表的な届出制度と支援制度を見ていきましょう。

セキュリティに関する届出制度

日本では、サイバー攻撃やウイルス被害などの情報を集約し、社会全体のセキュリティ向上につなげるための届出制度が整備されています。これらの制度はIPA（独立行政法人情報処理推進機構）が届出の受付窓口を担っています。

コンピュータ不正アクセス届出制度

コンピュータ不正アクセス届出制度は、不正アクセスの被害を受けた場合に、その事実をIPAに届け出る制度です。

たとえば、外部の攻撃者に社内サーバーへ不正に侵入された場合や、IDとパスワードを不正利用された場合などが届出の対象です。届け出られた情報はIPAが集計・分析し、不正アクセスの傾向や対策を社会に発信するために活用されます。

コンピュータウイルス届出制度

コンピュータウイルス届出制度は、コンピュータウイルスに感染した場合や、ウイルスを発見した場合にIPAへ届け出る制度です。

ウイルス被害の実態を把握し、注意喚起や対策の普及に役立てることが目的です。たとえば、メールの添付ファイルを開いてウイルスに感染してしまった場合に届け出ます。

ソフトウェア等の脆弱性関連情報に関する届出制度

ソフトウェア等の脆弱性関連情報に関する届出制度は、ソフトウェアやWebアプリケーションに脆弱性（セキュリティ上の弱点）を発見した場合にIPAへ届け出る制度です。

届出を受けたIPAは、開発者に脆弱性情報を通知し、修正（パッチ提供など）を促します。修正が完了した後に脆弱性情報を公表することで、利用者に対策を呼びかけます。この制度により、脆弱性が悪用される前に対処する仕組みが整えられています。

試験で出るポイント

3つの届出制度はいずれもIPAが届出の受付窓口であることを押さえましょう。「不正アクセス」「ウイルス」「脆弱性」のどれに関する届出かを区別できるようにしておくことが大切です。

ISMAP（政府情報システムのためのセキュリティ評価制度）

ISMAP（イスマップ：Information system Security Management and Assessment Program）は、政府が利用するクラウドサービスのセキュリティを事前に評価・登録する制度です。正式名称は「政府情報システムのためのセキュリティ評価制度」です。

政府機関がクラウドサービスを調達する際、ISMAPに登録されたサービスの中から選定することが原則とされています。これにより、政府が利用するクラウドサービスの安全性を一定の基準で確保できます。

J-CSIP（サイバー情報共有イニシアティブ）

J-CSIP（ジェイシップ：Initiative for Cyber Security Information sharing Partnership of Japan）は、IPAが運営するサイバー攻撃に関する情報共有の枠組みです。日本語では「サイバー情報共有イニシアティブ」と呼ばれます。

重要インフラや基幹産業を担う企業・団体が参加し、サイバー攻撃の手口や被害情報を互いに共有します。一つの組織で検知された攻撃の情報を速やかに他の参加組織に展開することで、同様の攻撃への早期対応が可能になります。

サイバーレスキュー隊（J-CRAT）

サイバーレスキュー隊（J-CRAT）（ジェイクラート：Cyber Rescue and Advice Team against targeted attack of Japan）は、IPAが運営する標的型サイバー攻撃の被害拡大を防止するための支援組織です。

標的型攻撃メールなどの高度なサイバー攻撃を受けた組織に対して、IPAの専門家が被害状況の把握や対策の助言を行います。特に、自力で十分な対応が難しい組織を支援することを目的としています。

SECURITY ACTION

SECURITY ACTION（セキュリティアクション）は、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。IPAが運営しています。

中小企業が自ら「情報セキュリティ5か条」に取り組むことを宣言すると「一つ星」、さらに「5分でできる！情報セキュリティ自社診断」を実施して対策を進めると「二つ星」のロゴマークを使用できます。第三者の審査や認証ではなく、あくまで自己宣言である点が特徴です。

試験で出るポイント

ISMAP・J-CSIP・J-CRAT・SECURITY ACTIONはそれぞれ「何のための制度か」を一言で説明できるようにしましょう。特にISMAPは「政府のクラウド調達のためのセキュリティ評価」、SECURITY ACTIONは「中小企業の自己宣言制度」という点がポイントです。

まとめ

情報セキュリティを守るには、組織内部の体制と外部の制度・機関の両方が重要です。

分類	名称	役割
組織内の体制	情報セキュリティ委員会	セキュリティ方針の決定・推進
	CSIRT	インシデント発生時の対応・復旧
	SOC	24時間365日の監視・検知
届出制度	コンピュータ不正アクセス届出制度	不正アクセス被害の届出（IPA）
	コンピュータウイルス届出制度	ウイルス感染・発見の届出（IPA）
	脆弱性関連情報の届出制度	ソフトウェア等の脆弱性の届出（IPA）
外部制度	ISMAP	政府クラウド調達のセキュリティ評価
	J-CSIP	サイバー攻撃情報の共有
	J-CRAT	標的型攻撃への支援
	SECURITY ACTION	中小企業の自己宣言制度