ISO/IEC 27000 情報セキュリティマネジメントシステム（SCP財団パロ）

Posted at 2024-06-21

機密、完全、可用。

資格の勉強のために、ややこしい概念を復習している。
ある程度ストーリーがないと俺は数字が全然頭に入ってこないのでSCP風にしてみた。

アイテム番号: ISO/IEC 27000
オブジェクトクラス: Safe

特別収容プロトコル: ISO 27000シリーズに定められる事項に留意し、情報資産の管理を行ってください。情報の機密性、完全性、可用性は適切に維持される必要があります。

説明

ISO/IEC 27000は、国際標準化機構（ISO）および国際電気標準会議（IEC）が定めた情報セキュリティマネジメントシステムに関する一連の規格です。

エージェント・布川：ISO9000とかISO14000は概要が問われたりしているようなのだが、27000に関しては、細かいものではなく用語の定義について問われた実績があるので、先に用語を確認しておくことにする。

機密性（Confidentiality）
機密性は、情報が許可された個人、プロセス、またはシステムにのみアクセスできることを保証します。情報の不正なアクセスや漏洩を防ぐことが目的です。

損なわれている例：うわ、この管理文書、セキュリティ・クリアランスにかかわらず見ることができるぞ。

損なわれている例：SCP-488-JPが管理方法を書き換えやがった！

可用性（Availability）
可用性は、必要なときに情報や情報システムにアクセスできることを保証します。情報やシステムが必要なときに利用可能であることを確保することが目的です。

損なわれている例：サーバーがダウンしてて文書が読めないんだが！？

責任追及性（Accountability）
責任追及性は、システムの利用者の行動を追跡し、その責任を明確にすることを指します。ログ管理や監査機能により、誰が何を行ったかを記録し、後で確認できるようにします。

損なわれている例：おい、このロックを解除しやがったバカは誰だ！？
（誰がやったのか発覚しない場合、責任追及性が損なわれている。）

真正性（Authenticity）
真正性は、情報の送信者や受信者、あるいは情報そのものが本物であることを保証します。これにより、情報やシステムが信頼できることを確認できます。

損なわれている例：「あっ、このメール。よくログを追跡すると日本生類創研から送られてきてやがる！」
（メールの送信元が偽装されている場合、真正性が損なわれている。）

否認防止（Non-repudiation）
否認防止は、情報の送信者がその送信を否認できないようにすることを指します。これにより、送信者が後でその行為を否認することを防ぎます。

損なわれている例: 「いや、俺はそんな指示を出してない！」
（システムにログが残っていない場合、否認防止が損なわれている。）

信頼性（Reliability）
信頼性は、システムや情報が常に正確かつ一貫して機能することを保証します。これにより、システムが期待どおりに動作し、情報が正確であることが確保されます。

損なわれている例: 「このシステム、二回に一度は違うエラーログが出るんだが」
（システムが安定して稼働しない場合、信頼性が損なわれている。）

以下の定義については細かいことを問われたりはあまりしないようだが、ざっと一読しておくくらいは有用だろう。

目的: 定義。
内容: 規格群の概要と用語集。

布川博士：ゼロ番目が定義であるのはほかの規格と同様である。

目的: 情報セキュリティ管理策の要求事項を定める。
内容: 要求事項を定めている。

「情報セキュリティ方針」「アクセス制御」「暗号化」など、具体的な要求事項が定められており、要求事項を満たすとISMS認定を取得することができます。

目的: 情報セキュリティ管理策の実践のための規範を定める。
内容: 情報セキュリティ管理策の実践のための規範。

目的: 情報セキュリティガバナンスを定める。
内容: 情報セキュリティガバナンス。

目的: クラウドサービスにおける情報セキュリティ管理策の実践の規範を定める。
内容: ISO/IEC 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範。