コンテンツにスキップ
フライトパス ITパスポート試験

セキュリティに関する基準・制度

セキュリティに関する基準・制度とは

Section titled “セキュリティに関する基準・制度とは”

情報セキュリティ対策を進めるうえで、「何を、どの程度やればよいのか」を示す指針が必要です。日本の政府機関や業界団体は、企業や組織がセキュリティ対策に取り組むためのガイドライン(指針)や基準を数多く策定しています。また、国際的な業界基準も存在します。

これらのガイドラインや基準は、それぞれ対象とする読者目的が異なります。ITパスポート試験では、「どのガイドラインが、誰に向けて、何のために作られたものか」を正しく理解しているかが問われます。

主なガイドライン・基準の一覧

Section titled “主なガイドライン・基準の一覧”

まず、試験に出題される主なガイドライン・基準を表で整理します。

名称策定者主な対象目的
サイバーセキュリティ経営ガイドライン経済産業省・IPA企業の経営者経営者がリーダーシップをとってセキュリティ対策を推進するための指針
中小企業の情報セキュリティ対策ガイドラインIPA中小企業の経営者・担当者中小企業が段階的にセキュリティ対策を進めるための手引き
情報セキュリティ管理基準経済産業省組織全般情報セキュリティのマネジメント(管理)と対策の実施状況を評価するための基準
サイバー・フィジカル・セキュリティ対策フレームワーク経済産業省産業界全般サイバー空間と現実空間(フィジカル空間)をまたぐセキュリティ対策の枠組み
IoTセキュリティガイドライン総務省・経済産業省IoT機器の開発者・利用者IoT特有のリスクに対するセキュリティ対策の指針
PCI DSSPCI SSC(国際的な業界団体)クレジットカード情報を扱う事業者カード情報の安全な取り扱いを定めた国際基準

試験で出るポイント

各ガイドラインの「誰が対象か」を区別できるようにしましょう。とくに「サイバーセキュリティ経営ガイドラインは経営者向け」という点は頻出です。

サイバーセキュリティ経営ガイドライン

Section titled “サイバーセキュリティ経営ガイドライン”

サイバーセキュリティ経営ガイドラインは、経済産業省とIPA(情報処理推進機構)が策定した、企業の経営者に向けたガイドラインです。

セキュリティ対策は、IT部門だけの問題ではなく、経営者自身がリーダーシップをとって取り組むべき経営課題であるという考え方がベースになっています。サイバー攻撃による被害は、企業の信用失墜や多額の損害賠償につながりかねないため、経営者が率先して対策を主導する必要があるのです。

このガイドラインでは、経営者が認識すべき「3原則」と、情報セキュリティ対策を実施するうえで経営者がセキュリティ担当の責任者(CISOなど)に指示すべき「重要10項目」が示されています。

たとえば3原則には、「経営者がリーダーシップをとること」「自社だけでなくサプライチェーン全体を考慮すること」「関係者との適切なコミュニケーションをとること」が含まれています。

中小企業の情報セキュリティ対策ガイドライン

Section titled “中小企業の情報セキュリティ対策ガイドライン”

中小企業の情報セキュリティ対策ガイドラインは、IPA(情報処理推進機構)が策定した、中小企業向けのガイドラインです。

大企業に比べて人員や予算に限りがある中小企業でも、段階的にセキュリティ対策を進められるよう、具体的かつ実践的な手順が示されています。「まず何から始めればよいのか」がわかるように、対策の優先順位が明確にされている点が特徴です。

サイバーセキュリティ経営ガイドラインが経営者の意識改革に重点を置いているのに対し、こちらは具体的な対策手順を中小企業が実行しやすい形でまとめたものといえます。

試験で出るポイント

「サイバーセキュリティ経営ガイドライン」と「中小企業の情報セキュリティ対策ガイドライン」は対象が異なります。前者は経営者全般、後者は中小企業が主な対象です。この違いを押さえておきましょう。

情報セキュリティ管理基準

Section titled “情報セキュリティ管理基準”

情報セキュリティ管理基準は、経済産業省が策定した、組織の情報セキュリティ管理体制や対策の実施状況を評価・確認するための基準です。

この基準は、国際規格であるISO/IEC 27001やISO/IEC 27002の内容をもとに作られています。組織が自らのセキュリティ対策を自己点検したり、外部からの監査を受ける際に「何を確認すべきか」の物差しとして使われます。

具体的には、情報セキュリティに関する方針の策定、リスクの管理、アクセス制御、インシデント対応など、幅広い管理項目が体系的に整理されています。

サイバー・フィジカル・セキュリティ対策フレームワーク

Section titled “サイバー・フィジカル・セキュリティ対策フレームワーク”

サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)は、経済産業省が策定したセキュリティ対策の枠組みです。

IoTやAIの普及によって、サイバー空間(インターネットやコンピュータの世界)とフィジカル空間(工場や物流などの現実世界)が密接に結びつくようになりました。たとえば、工場の機械がインターネットに接続されて遠隔制御されるケースでは、サイバー攻撃が物理的な被害に直結する可能性があります。

このフレームワークは、サイバー空間とフィジカル空間の両方にまたがるリスクを包括的に管理するための考え方を提供しています。産業界全体を対象に、サプライチェーン(部品の調達から製品の出荷までの一連の流れ)を含めたセキュリティ対策の指針を示しています。

IoTセキュリティガイドライン

Section titled “IoTセキュリティガイドライン”

IoTセキュリティガイドラインは、総務省と経済産業省が共同で策定した、IoT(Internet of Things)に関するセキュリティ対策の指針です。

IoT機器には、パソコンやスマートフォンとは異なる特有のセキュリティリスクがあります。たとえば、次のような点が挙げられます。

  • 長期間使用される:家電や産業機器は何年も使われるため、ソフトウェアの更新が難しい
  • 処理能力が限られる:小型のセンサーなどは計算能力が低く、高度なセキュリティ機能を搭載しにくい
  • 大量に設置される:数千・数万台の機器を個別に管理するのが困難

このガイドラインでは、IoT機器の設計・開発段階からセキュリティを考慮することの重要性や、利用者が行うべき対策(初期パスワードの変更、ファームウェアの更新など)がまとめられています。

PCI DSS

Section titled “PCI DSS”

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報を安全に取り扱うための国際的なセキュリティ基準です。

クレジットカード業界の国際的な団体であるPCI SSC(Payment Card Industry Security Standards Council)が策定しており、VISA、Mastercard、JCBなどの国際カードブランドが共同で設立した組織です。

PCI DSSは、クレジットカード番号などのカード会員データを「保存・処理・伝送」するすべての事業者に適用されます。ネットショップや決済代行会社はもちろん、カード情報を扱うあらゆる企業が対象です。

PCI DSSでは、ファイアウォールの設置、カード情報の暗号化、アクセス制御、定期的なセキュリティテストなど、具体的な要件が定められています。この基準を満たさない場合、カード会社との取引ができなくなる可能性もあります。

試験で出るポイント

PCI DSSはクレジットカード業界の国際基準であるという点を覚えておきましょう。他のガイドラインが日本政府の策定であるのに対し、PCI DSSは国際的な業界団体が定めた基準です。

まとめ

Section titled “まとめ”

セキュリティに関する基準やガイドラインは数多くありますが、試験対策としては「誰が策定し、誰を対象に、何のために作ったのか」を整理して覚えることが大切です。名称だけを暗記するのではなく、それぞれの背景や目的を理解しておくと、出題の選択肢を正しく判断できるようになります。

過去問で実力チェック

Section titled “過去問で実力チェック”
過去問に挑戦

Q. 情報セキュリティの物理的対策として,取り扱う情報の重要性に応じて,オフィスなどの空間を物理的に区切り,オープンエリア,セキュリティエリア,受渡しエリアなどに分離することを何と呼ぶか。

  • ア サニタイジング
  • イ ソーシャルエンジニアリング
  • ウ ゾーニング
  • エ ハッキング
解答(令和2年)

正解: ウ

Q. ISMSの情報セキュリティリスク対応における,人的資源に関するセキュリティ管理策の記述として,適切でないものはどれか。

  • ア 雇用する候補者全員に対する経歴などの確認は,関連する法令,規制及び倫理に従って行う。
  • イ 情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて,周知する。
  • ウ 組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが,業務を委託している他社には要求しないようにする。
  • エ 退職する従業員に対し,退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え,退職後もそれを守らせる。
解答(令和2年)

正解: ウ

Q. クレジットカードの会員データを安全に取り扱うことを目的として策定された,クレジットカード情報の保護に関するセキュリティ基準はどれか。

  • ア NFC
  • イ PCI DSS
  • ウ PCI Express
  • エ RFID
解答(令和3年)

正解: イ

Q. 中小企業の情報セキュリティ対策普及の加速化に向けて,IPAが創設した制度である “SECURITY ACTION” に関する記述のうち,適切なものはどれか。

  • ア ISMS認証取得に必要な費用の一部を国が補助する制度
  • イ 営利を目的としている組織だけを対象とした制度
  • ウ 情報セキュリティ対策に取り組むことを自己宣言する制度
  • エ 情報セキュリティ対策に取り組んでいることを第三者が認定する制度
解答(令和3年)

正解: ウ

Q. 情報セキュリティ方針に関する記述として,適切なものはどれか。

  • ア 一度定めた内容は,運用が定着するまで変更してはいけない。
  • イ 企業が目指す情報セキュリティの理想像を記載し,その理想像に近づくための活動を促す。
  • ウ 企業の情報資産を保護するための重要な事項を記載しているので,社外に非公開として厳重に管理する。
  • エ 自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。
解答(令和3年)

正解: エ

Q. 情報セキュリティにおけるPCI DSSの説明として,適切なものはどれか。

  • ア クレジットカード情報を取り扱う事業者に求められるセキュリティ基準
  • イ コンピュータなどに内蔵されるセキュリティ関連の処理を行う半導体チップ
  • ウ コンピュータやネットワークのセキュリティ事故に対応する組織
  • エ サーバやネットワークの通信を監視し,不正なアクセスを検知して攻撃を防ぐシステム
解答(令和4年)

正解: ア

Q. ISMSクラウドセキュリティ認証に関する記述として,適切なものはどれか。

  • ア PaaS,SaaSが対象であり,IaaSは対象ではない。
  • イ クラウドサービス固有の管理策が適切に導入,実施されていることを認証するものである。
  • ウ クラウドサービスを提供している組織が対象であり,クラウドサービスを利用する組織は対象ではない。
  • エ クラウドサービスで保管されている個人情報について,適切な保護措置を講じる体制を整備し,運用していることを評価して,プライバシーマークの使用を認める制度である。
解答(令和5年)

正解: イ

Q. ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。

  • ア 企業が導入するセキュリティ製品を対象として作成され,セキュリティの設定値を定めたもの
  • イ 個人情報を取り扱う部門を対象として,個人情報取扱い手順を規定したもの
  • ウ 自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について,両社間で合意したもの
  • エ 情報セキュリティに対する組織の意図を示し,方向付けしたもの
解答(令和5年)

正解: エ

Q. 情報セキュリティにおける脅威の説明として,適切なものはどれか。

  • ア 攻撃者が付け込むことのできる情報システムの弱点
  • イ 情報資産が被害に遭う確率と被害規模の組合せ
  • ウ 情報資産に損害を与える原因となるもの
  • エ 情報システムの弱点を利用した攻撃によって被害を受ける可能性
解答(令和7年)

正解: ウ

もっと過去問を解きたい方へ

フライトパスアプリなら、詳しい解説や分野別の過去問演習、SRS(間隔反復)学習ができます。

App StoreGoogle Play

アプリで効率的に学習しよう

App Store Google Play