はじめに
今回は、情報セキュリティマネジメントの情報セキュリティ管理について、解説したいと思います。
情報セキュリティ管理
情報セキュリティ管理は、組織全体で行う情報セキュリティ対策の取り組みです。情報セキュリティ製品などの技術的対策だけでは、情報セキュリティは守れません。そのため、情報セキュリティ管理による組織的対策が求められます。
組織の従業者による内部不正などの意図的な場合だけでなく、偶発的な原因による情報セキュリティ事故があります。この要因として、組織の従業者が情報セキュリティに対して意識が低い場合や、組織での社内規程・業務のやり取り方・情業者への周知徹底が不適切な場合もあるでしょう。
その対策として、各企業が個別に対策を打つだけでは、漏れや抜けのある不十分な対策になりがちです。これでは、ITを安心して有効活用できる会社になれません。
そこで、世界中の情報セキュリティ管理の関係者が国際的なルール・取り決めとして、作り上げたものが、ISMSです。ISMSは、組織全体で一丸となって、情報セキュリティの脅威から守る取り組み・仕組みのことです。
ISMS
組織全体で、情報セキュリティを守るために行う。効果的かつ持続的な取り組み・仕組みです。情報セキュリティマネジメントシステムと訳されます。
国際規格を手本にして、情報セキュリティポリシの策定・組織内への教育訓練・セキュリティ評価・見直しなどの行います。規格を手本にすることで、漏れや抜けの無い対策になります。
ISMSについて定義した規格には、国際規格であるISO/IEC27000シリーズや、それを翻訳した国際規格であるJIS Q27000シリーズがあります。規格には、推薦される事例をまとめたもの(ベストプラクティス)が記載されており、自組織の状況に合わせて、取り入れます。
ISMSに関する用語は、次のとおりです。
| ISMS認証 | ISMSを適切に導入している組織を、第三者が認定すること。国際規格を手本に、組織の情報セキュリティ管理の実践していることを意味するために、ISMS認証を取得することが望まれる。 |
|---|---|
| ISMS適合性評価制度 | ISMS認証を与えるための制度 |
ISMSのメリット
ISMSの組織に取り入れるメリットは、次のとおりです。
・セキュリティ事故が派生するメリットを軽減する。
・従業者の意識が向上する。
・外部から信頼を得られるため、ビジネスチャンスが拡大する。
ISMSは、次に挙げるものと同じ位置付けにあり、認証されることで、国際規格に沿った組織運営を社会に広くアピールでき、信頼を得ます。
・品質保証におけるISO 9000。
・環境保護におけるISO 14000。
・個人情報の安全な取扱いにおけるプライバシーマーク(Pマーク)。
ISMSの概要
ISMSについて定義した規格には、「こうあるべきだ」という要求事項や、手本が記載されています。ISMSは、主に次の内容について規定しています。
| 概要 | ISMSの内容 |
|---|---|
| 基本的な考え方 | PDCAサイクルを継続的に回す。 |
| 用語・定義 | 規格で使う用語・定義の説明 |
| 何に足して、どんな対策を打つか | リスマネジメント。 |
| 社内規定 | 情報セキュリティポリシ・就業規則の策定 |
| 組織 | 情報セキュリティ委員会の設置 |
なお、ISMSは、いわばブランドのようなもので、無形です。
一方で、ISMSについて定義する企画は文書としてまとめられており、数年に一度改定されます。
規格
ルール・取り決めのことです。ルールをまとめ、制定したものが規格です。規格は、標準化のために制定します。例えば、PCのキーの一(キーボードの配列)は、規格により決められています。規格が制定される前は、機種によりキーの位置がまちまちで、利用者は不便を強いられました。その後、キーの位置が規格として制定されたことで、標準化され、どのキーボードもキーの位置が同じになりました。
規格から外れても、罰則はありません。規格はルールですが、条約や法律などよりも任意性があります。しかし、実際は規格に沿うことが社会から強く望まれています。
規格には、国際規格と国内規格があります。
国際規格
全世界で広く利用するための企画です。国家規格ともいいます。国際規格をそのまま使う場合と、各国の実績に合わせて国際規格を一部修正して使う場合があります。規格を制定する国際標準化機関として、ISO(国際標準化機構)やIEC(国際電気標準会議)があります。
国内規格
各国で利用するための企画です。国家規格ともいいます。日本の国内規格として、JIS(日本産業企画)やJAS(日本農林規格)があります。なお、国際規格を一部修正したものでない。純粋な国内規格は、他国では通用しないため、他国の人に国内規格に準拠していることをアピールすることができません。
また、規格以外で標準化と関連したものとして、デファクトスタンダードがあります。
デファクトスタンダード
事実上の標準です。標準化団体(ISO・JISなど)が規格として制定していないにもかかわらず、市場競争の結果、世界でルール・取り決めとして利用されることです。例として、世界のPC用OSの約9割を占めるWindowaや、かつてビデテープの企画でベータマックスとの争いに勝ったVHSが上げられます。
ISMSと規格
組織全体で、情報セキュリティを守るために行う取り組み・仕組みであるISMSは、次の規格で制定されています。
・国際規格であるISO/IEC 27000シリーズ。数年に一度改定している。
・ISOとIECが共同で規格を策定しているため、「ISO/IEC」の様に両方の名称が記載されている。
・日本の国内規格であるJIS Q27000シリーズ。ISO/IEC27000シリーズの策定から数年に遅れて日本向けに翻訳され、策定されている。
PDCAサイクル
ISMSの中核となる考え方で、取り組みを継続的に実施することで、レベルアップを図ります。具体的には、Plan(計画)➡Do(実施)➡Check(点検・監査)➡Act(見直し・改善)の4つの段階があります。
| PDCA | 和訳 | 内容 | ISMSの段階 |
|---|---|---|---|
| Plan | 計画 | 問題点を整理し、目標を立て、その目標を達成するための計画を作る。 | ISMSの確立 |
| Do | 実行 | 目標と計画をもとに、その業務を行う。 | ISMSの導入・運用 |
| Check | 点検・監査 | 業務が計画通り行われ、当初の目標を達成しているかを点検し、監査する。 | ISMSの監査・見通し |
| Act | 見直し・改善 | 評価結果をもとに、業務を改善する。 | ISMSの維持・改善 |
PDCAサイクルは、一度Actまで行ったら終わりというわけではありません。さらに次のPDCAサイクルを回し、継続的に改善していくことが重要です。
組織運営
ISMSに基づき、組織全体で情報セキュリティに取り組むために、次の組織運営が求められます。
トップダウンの管理体制を構築する
・担当任せでなく、全社で意思統一し実施するために、経営層の積極的な関与が欠かせない。
各個人の役割と責任を明示する
・実行だけでなく、評価や見直し・継続的な改善まで行うために、誰がいつ、何を行い、内容をどのように評価し、誰が見直すのかを明記する。
・不正行為を防ぐため、承認する人と承認される人、監視する人と監視される人とは、別の人になるように役割を分離する。
ルールを策定し、周知徹底する
・情報セキュリティをはじめとしたルールを策定し、教育や訓練で周知徹底する。
・違反を早期に発見し、再発防止するための組織体系を組み込む。
・故意によるルール違反には、罰則を適用するように、就業規則に記載する。
例外措置を設ける
・情報セキュリティの各種ルール・規定を厳密に運用しすぎると、業務に支障をきたすことがある。
・情報セキュリティ管理自体を目的化せず、あくまでも業務を進めるうえで必要になるものであることを踏まえ、緊急時には柔軟に対応できる例外措置を準備する。例えば、緊急時に承認者が不在の場合に備え、代理の承認者を事前に設置しておく組織や、事後の申請を認める仕組みなどの例外措置を準備しておく。
情報セキュリティ委員会
組織の部門間で生じる、考えの食い違いを調整するために、経営層が関与して作られる、全社横断の運営委員会です。ISMSでは、情報セキュリティ委員会の設置と、次の役職の配置を推薦しています。
・最高情報セキュリティ責任者(CISO)
組織内で情報セキュリティを統括する担当幹部。経営層の人材が担う。
・最高情報セキュリティアドバイザー
知識と経験がる情報セキュリティの専門家。大所高所から助言を行う。
情報セキュリティポリシ
ISMSに基づいて、情報セキュリティに関する組織内の取り組みを規定した文書を情報セキュリティポリシと言います。ISMSのすべての取り組みに作だって策定します。
情報セキュリティポリシの文章構成
情報セキュリティポリシは、3階層の文章で構成されています。
| 情報セキュリティ ポリシの構成文書 |
説明 | 策定者・承認者 | 外部への公開 |
|---|---|---|---|
| 基本方針 (ポリシ) |
Why。なぜ情報セキュリティに取り組むのか? 社会的背景・法令順守の観点から、その必要性を説く宣言文。 例えば、目的・法真・適用範囲・体制などの明記。 |
情報セキュリティ委員会 | 公開 |
| 対策基準 (スタンダード) |
What。何を実施するか? 守るべきルール・規定。 例えば、情報セキュリティ対策基準・事故への対応規定・文章管理規定。 |
情報セキュリティ委員会 | 非公開 |
| 実施手順 (プロシージャ) |
How。どのように実施するか? マニュアル文書・利用手順書。 例えば、情報システム利用手順書・メールやWebの利用手順書。 |
情報システムごと部門ごと | 非公開 |
情報セキュリティポリシの策定・承認・見直しを行う担当は、文章校正ごとに異なります。
・基本方針(ポリシ)と対策基準(スタンダード)は、情報セキュリティ委員会で行う。
・実施手順(プロシージャ)は、情報システムごと、または部門ごとに行う。
基本方針(ポリシ)は、公開します。組織の情報セキュリティに対する基本理念をまとめたものであり、外部からの信頼を得るためです。一方で、対策基準(スタンダード)や実施手順(プロシージャ)は、非公開にします。外部に情報セキュリティ対策状況を漏らすと、攻撃の手掛かりを与えるためです。
情報セキュリティポリシの3つの文章(基本方針➡対策基準➡実施手順)の関係は、憲法➡法律➡省令に似ています。また、改定頻度も異なり、次の表のようになります。
| 情報セキュリティポリシの文章構成 | 類似例 | 改訂頻度 |
|---|---|---|
| 基本方針(ポリシ) | 法令 | 頻繁には改訂しない。基本理念であるため。 |
| 対策基準(スタンダード | 法律 | 数年ごと。業務分担の変更・セキュリティ事故の発生に伴って。 |
| 実施手順(プロシージャ) | 省令(法律や法令の実施に関する細かいルール) | ほぼ毎年。システムの更新・情報技術の変化に伴って頻繁に。 |
情報セキュリティポリシの3階層の文章について、ひとつずつ説明します。
情報セキュリティ基本方針
「なぜ私たちは、情報セキュリティに取り組むのか」に対して、経営層が必要性を説く宣言文です。社会的背景・法令順守の観点から基本理念を表明します。組織内の情報セキュリティに関する法令の役割であるため、頻繁に改訂しません。説明と礼は、次のとおりです。
・基本理念・目的
情報がセキュリティに取り組む姿勢を表明する。
「すべての従業者が守るべき包括的な基準として、情報セキュリティポリシを策定する」
・役割・位置づけ
情報セキュリティポリシは何であり、どんな役割を持っているかを記載する。
「情報セキュリティポリシは、情報セキュリティ対策文章の最高位に位置し、すべての授業者の指針となる役割を果たす」
・見直し・改訂
見直しと改訂を定期的に行うことを宣言する。
「情報セキュリティポリシの見直しを定期的に行い、将来にわたり維持するものとする」
・適用対象範囲
適用される対象と範囲を示す。
「会社が作成した文書・会社以外から入手した情報・個人情報を含む」
「すべての従業者に適用する。授業者には経営層・正社員・派遣社員・アルバイトを含む」
・評価
自組織で行う自己点検・第三者による情報セキュリティ監査を行うことを宣言する。
・罰則
情報セキュリティポリシや関係規定に違反した場合に罰則があることを宣言する。
「違反した場合、就業規則・契約書にしたがって、処分の対象となることがある」
情報セキュリティ対策基準
情報セキュリティ基本方針に基づいて記述された具体的なルール・規定です。これを管理策といいます。情報セキュリティ対策基準を白紙から作ると、作業が膨大になります。そのため、既存の管理策表や対策基準をひな型にして、組織の実情に合わせて書き換える方法がとられます。この方法をベースラインアプローチといいます。
・JIS Q 27002
国内規格であるJIS(日本産業企画)。国際規格であるISO/IEC 27002を翻訳したもの。多くの組織が対象。
・政府機関の情報セキュリティ対策のための統一基準
内閣サイバーセキュリティセンター(NISC)が策定。省庁などの政府機関が対象。
・地方公共団体における情報セキュリティポリシに関するガイドライン
省庁が策定。地方公共団体が対象。
情報セキュリティ実施手順
情報セキュリティ対策基準で定められた管理策(ルール・規定)を実施するためにのマニュアル文章・利用手順です。
例えば、利用者IDやパスワードの運用手引き・ウイルス対策運用手順書・バックアップ手順書・外部委託先との契約の手引きなどです。
除法セキュリティ対策基準と同じく、ひな形を利用し、組織の実績に合わせて書き換えるベースラインアプローチが用いられます。
情報セキュリティポリシのポイント
より良い情報セキュリティポリシにするためのポイントは、次のとおりです。
・全社をカバーしており、自組織の状況にあった内容か。
・経営層が承認し、情報セキュリティに関せする予算や人の配分は適切か。
・順守すべき法令を網羅しているか。
リスクマネジメント
組織のリスクを分析・評価し、対策を打つ一連の取り組みです。リスクの対策を決める根拠となるリスクアセスメントを事前に行い、その結果から、客観的で効果的なリスク対策をします。リスクマネジメントの概要は、次のとおりです。
まず、リスクの発見(リスク特定)と、リスクの大きさを示す算出(リスク算定)を行うリスク分析を行います。さらにリスクの値を基準と照らし合わせて、リスク評価します。ここまでが、リスクアセスメントです。
次に、その結果から4種のリスク対応(リスク回避・リスク低減・リスク共有・リスク保有)をします。
リスクはゼロにはできないため、あえて対策を見送るリスク受容も選択の一つです。また、リスクに関する情報収集のためのリスクコミュニケーションも重要な取り組みです。
ここまでのすべての取り組みがリスクマネジメントからリスクコミュニケーションまでの一連の取り組みです。
リスクマネジメントシステムのPDCAサイクル
リスクは環境の変化・新たな脅威の出現などにより変化するため、一過性の対策では不十分です。そこで、リスクマネジメントの取り組みであるリスクマネジメントシステムでは、次のPDCAサイクルを回します。
| PDCA | リスクマネジメントシステムのPDCAサイクル |
|---|---|
| Plan | リスクアセスメント(リスク分析・リスク評価)。 |
| Do | リスク対応。 |
| Check | リスクマネジメントの効果を測定し、有用性を評価する。 |
| Act | リスクマネジメントの取り組みを改善する。 |
リスクアセスメント
リスク対策を打つリスク対応の前に、リスクの有無・被害の大きさ・発生可能性・許容範囲内かどうかを分析する段階です。リスク分析とリスク評価が含まれます。ISMSでは、客観的に分析するために数値化します。手順は、次のとおりです。
| 区分 | 段階 | 説明 |
|---|---|---|
| 事前準備 | ➀リスク標準 ➁情報資産 |
リスクの評価基準と対応する値を決めておく。 情報資産を棚卸し、情報資産台帳を作成する。 |
| リスク分析 | ➂リスク特定 ➃リスク資産 |
リスク基準をもとに、 気密性・完全性・可溶性・脅威・脆弱性の観点から、 情報資産を数値化する。 リスク特定の値を計算し、リスクレベルを求める。 |
| リスク評価 | ➄リスク評価 | リスク算定の結果をリスク基準と照らし合わせる。 |
リスク基準
リスクアセスメントの事前準備として、評価基準と対応する値を決める段階です。具体的には、次のものを決めます。
・情報資産を、機密性・完全性・可用性の観点から見た評価基準。
・その情報資産が持つ脅威と脆弱性の影響の深刻さの判断基準。
・リスク対応するか、リスク保有するかを見極めるリスク基準。
情報資産
情報セキュリティの3要素である、機密性・完全性・可用性の観点から、情報資産の価値の重要度を示す評価基準を決める。このうち、機密性と完全性の評価基準の例は、次のとおり。
| クラス | 評価基準 | 値 |
|---|---|---|
| 極秘 | 必要最低限の関係者だけに開示できる。 | 4 |
| 関係者外皮 | 部門内だけに開示できる。 | 3 |
| 社外秘 | 社内だけで開示できる。 | 2 |
| 公開 | 社外に開示できる。 | 1 |
| クラス | 評価基準 | 値 |
|---|---|---|
| 高 | 業務への影響は大きい。 | 3 |
| 中 | 業務への影響は小さい。 | 2 |
| 低 | 業務への影響はない。 | 1 |
脅威と脆弱性
リスクの大きさを示す値は、「リスクレベル=情報資産の価値×脅威×脆弱性」で求めるため、情報資産が持つ脅威と脆弱性について、判断基準を決める。判断基準の例は、次のとおり。
| 大きさ | 判断基準 | 値 |
|---|---|---|
| 大きさ | 発生の可能性が高い。 | 3 |
| 中 | 発生の可能性が中程である。 | 2 |
| 低 | 発生の可能性が低い。 | 1 |
| 度合 | 判断基準 | 値 |
|---|---|---|
| 高 | 管理と対策が不十分である。 | 3 |
| 中 | ある程度の管理と対策がなされている。 | 2 |
| 低 | 適切な管理と対策がなされている。 | 1 |
リスク受容基準
リスクアセスメントの結果から、リスク対応するか、リスク保有するかを見極める基準を決める。情報資産が持つ、機密性・完全性・可用性の3つの観点から決める必要がある。例は次のとおり。
| 機密性 | 13 |
|---|---|
| 完全性 | 15 |
| 可用性 | 10 |
情報資産の洗い出し
次に、情報資産を棚卸して、情報資産台帳を作成する段階です。対象となる情報資産は、次のとおりです。
| 分類 | 例 |
|---|---|
| 情報資産 | ファイル・データベース・契約書。 |
| 物理的資産 | コンピュータ・サーバ。 |
| ソフトウェア資産 | 業務用ソフトウェア・OS。 |
| 人的資産 | 人・邦友する資格・技能・経験。 |
| 無形資産 | 組織の評判・イメージ。 |
| サービス | 計算処理・通信サービス・設備(暖房・照明・電源・空調)。 |
ここまでは、リスクアセスメントの手順である。➀リスク基準と➁情報資産の洗い出しであり、事前準備の段階です。これ以降は、実際にリスクアセスメントを行う段階です。➂リスク特定と➃リスク算定は「リスク分析」で、➄リスク評価は「リスク評価」で説明します。
リスク分析
リスクを特定し、リスクの大きさを決める段階です。リスク特定とリスクが含まれます。
リスク分析手法
リスク分析するための手法は、次のとおりです。
・ベースラインアプローチ
ベースライン(自組織の対策基準)を策定し、チェックしてく手法。取り組みやすい一方で、選ぶベースラインによっては、求められる対策のレベルが高すぎたり、低すぎたりする。ISMSが推奨する手法。
・詳細リスク分析
詳細なリスクアセスメントを実施する手法。情報資産に対して、資産価値・脅威・脆弱性・セキュリティ要件を識別し、リスク分析する。厳密なリスク分析ができる一方で、時間・労力・専門知識が必要である。代表的な評価システムとして、JRMS2010がある。
・組み合わせアプローチ
複数のアプローチを併用する手法。例えば、重要な資産には、詳細リスク分析を使い、それ以外の資産には、ベースラインアプローチを使う。これにより、詳細リスク分析の欠点(時間・労力・専門知識が必要)を補いつつ、利点(厳密なリスク分析ができる)を活かせる。
・非形式的アプローチ
コンサルタントや担当者の経験的な判断によって分析する手法。短期間で実践できるが、コンサルタント・担当者の資質・レベル・判断次第になる恐れがある。
リスク特定
リスクを発見する段階です。評価リスク分析手法を使った例は、次のとおりです。
➀情報セキュリティの3要素(気密性・完全性・可用性)の観点から、評価基準に沿って、情報資産の値を入力します。
➁判断基準に沿って、その情報資産が持つ脅威と脆弱性の値を入力します。
リスク算定
リスクの結果の大きさと起こりやすさを決める段階です。詳細リスク分析手法では、計算で求める方法と、リスクマトリックスを使って求める方法が代表的です。
計算
「リスクレベル=情報資産の価値×脅威×脆弱性」という計算式でリスクレベルを求める。例えば、情報資産の価値(機密性)は2、脅威は3、脆弱性は3の場合、2×3×3=18のため、リスクレベルは18。
リスクマトリックス
リスクレベルを求めるための早見表を使って、リスクレベルを求める。毎回、計算する必要がない。
リスクの定性的分析手法
リスク分析の手法を、次の2つの観点で分析することもあります。
リスクの定性的分析手法
数値でなく、レベル(高・中・低)により、リスクの大きさを表す手法。インタビューやチェックリストなどにより概要を把握する。
・長所:時間・手間がかからない。
・短所:詳細な分析結果は得られない。
リスクの定量的分析手法
数値により、リスクの大きさを表す手法。
・長所:数値のため明確である。
・短所:信頼できる数値を求めるためには、時間・手間・技術が必要である。
分析結果を明確にするために、すべてのリスクを定量的分析手法で行うとすると、手間と時間がかかります。そのため、リスクの定量的分析手法により、主なリスクを分析したうえで、特に重要な点について、個別のリスクの定量的分析を行うことがあります。
リスク評価
リスクが許容範囲内かどうかを決めるために、リスク分析の結果をリスク基準と照らし合わせる段階です。リスク基準で設定した受容可能なリスク基準を超えるリスクレベルは、許容範囲を超えるために、優先的にリスク対応を実施します。
リスク対応
リスクに対し、対策を打つ段階です。リスクアセスメントで、リスク分析した結果をリスト評価したうえで、対策を打つ段階です。4種のリスク対応(リスク回避・リスク低減・リスク共有・リスク保有)から、予算や優先順位などを踏まえて最適な対策を打ちます。
リスク回避
リスクを生じさせる原因をなくしたり、別の方法に置き換えたりして、リスクそのものを取り去る方法です。」リスク自体をなくす抜本的な対策ですが、反面、それによるデメリットも大きいです。
・サーバがインターネット経由で不正侵入されることへの対策として、サーバのインターネット接続を禁止する。
・リスクが大きいにもかかわらず、利益が少ない業務であれば、その業務自体を廃止する。
リスク低減
リスクの発生率を低下させたり、リスクが顕在化した場合の被害の影響度を低下させたりする方法です。リスク自体をなくす抜本的な対策ではありませんが、現実的な選択肢として選ばれます。
・従業者に対して、情報セキュリティ教育を行う。
・就業規則に罰則規定を設ける。
・ノートPCの紛失・盗難に備えて、情報を暗号化しておく。
リスクの共有
リスクを他者と分割する方法です。リスク共有には、リスク転嫁とリスク分散が含まれます。リスクが顕在化した時の影響度は大きいが、発生可能性は低い場合に向いています。
リスク転嫁
外部委託によりリスク自体を他者に移すことや、保険によりリスクの損害額を補うこと。
リスク分散
災害に備えてデータを遠隔地に分散して保管することなど。
リスク保有
リスクに対策を打たず、許容範囲内として、残したままにする方法です。対策が見当たらない場合やコストが見合っていないなどの理由で意図的に残す場合と、リスクが特定されていないために結果的にリスクが残る場合があります。リスク保有は、リスクが顕在化した時の影響度が小さい場合に向いています。
リスク対応の関係
最適な対策を打つために、リスク対応は4種類に分類されています。
・基本となる対策は、リスク低減。
・リスクの影響度(リスク発生の際の被害の大きさ)が大きく、かつ、リスクの発生可能性が高い場合は、リスク回避を選ぶ。
・影響が小さく、かつ発生可能性が低い場合は、リスク保有を選ぶ。
・影響度は大きいが、発生の可能性が低い場合は、リスク共有を選ぶ。
リスクコントロールとリスクファイナンシング
4種のリスク対応(リスク回避・リスク低減・リスク共有・リスク保有)を、次の2つに分類することもあります。
リスクコントロール
リスクの顕在化を防いだり、万が一顕在化した場合に被害の拡大を防止したりする方法。4種のリスク対応のうち、リスク回避(リスクをなくす)・リスク低減(リスクを起こりにくくする)などが該当する。
リスクファイナンシング
リスクが顕在化した場合に、その被害から復旧させるために、金銭面の損害額を補う方法。リスクそのものは低減されない。4種のリスク対応のうち、リスク共有のリスク転嫁(保険で補う)・リスク保有(自己負担で補う)が該当する。
リスク受容
リスク対策をせずに見送ることを、組織内で意思決定することです。リスク対策の1つであるリスク保有と似ていますが、次の点で異なります。
リスク保有は、リスク特定で見逃し、リスクとして発見されていないものが含まれますが、リスク受容は含まれません。つまり、リスク受容は、あくまでもリスクを認識し承知したうえで、あえて受け入れることです。
リスクコミュニケーション
リスクに関する情報提供のために、関係者と繰り返し行う対話です。組織がリスクの存在・特徴・起こりやすさ・重大性などを知ることに役立ちます。
リスクに関する用語
リスクに関するその他の用語は、次のとおりです。
リスク所有者
リスクについて、アカウンタビリティ(説明責任)や権限を持つ人など。
リスクヘッジ
起こりうるリスクを予測して、リスクに備えること。
残留リスク
リスク対応の後で、リスク保有などによって残ったリスク。リスクとして特定されていないものが含まれる。
リスク選好・リスク忌避
考え方と状況の例は、次のとおりです。
・リスク選好:当たると5,000円をもらえるが、外れると何ももらえない(0円)。
・リスク忌避:当たりはずれがなく、確実に5,000円をもらえる。
リスクマネジメントとリスクアセスメント
リスクマネジメントとリスクアセスメントの違いは、次のとおりです。
リスクマネジメント
リスク対応のためのPDCAサイクルの一連の取り組み。
リスクアセスメント
リスクマネジメントのPDCAサイクルのうち、Planに該当する。
リスク保有とリスク受容
リスク保有とリスク受容の違いは、次のとおりです。
リスク保有
リスクが特定されていないために結果的に残ったリスクを含む、すべてのリスクについて対策を見送ること。リスク対応の一つであり、組織の決定ではない。
リスク受容
特定されていないリスクは含まず、リスクを承知したうえであえて対策を見送ること。また、対策を見送ることを、組織で意思決定する。
リスク分析とリスク評価
リスク分析とリスク評価の違いは、次のとおりです。
リスク分析
リスクを発見し(リスク特定)、リスクの大きさを決める(リスク算定)。この2つを含めた段階。分析をするためだけで、評価(意味づけ)はしない。
リスク評価
リスク分析の結果をリスク基準と照らし合わせる。分析結果を意味付けする。
情報セキュリティ管理の実践
情報セキュリティポリシを策定し、リスクアセスメントを行うだけでは、被害を防げません。授業者への教育・セキュリティ事故の対応・外部委託先の管理など、ISMSのPDCAサイクルのDO(実践)・Check(点検・監査)の段階などを説明します。
情報セキュリティ教育
情報セキュリティのルールや手順を、組織の全従業者に周知徹底するために行う教育です。受講の対象者は全従業者です。派遣社員・アルバイトも対象です。主に組織の次の内容を伝達します。
・情報セキュリティポリシや関連規定。
・緊急時の対応。
・情報セキュリティの脅威と対策。
情報セキュリティ教育は、次の時期に行います。
・情報セキュリティポリシの運用開始時と変更時。
・新人や中途採用者の入社時、異動時。
・セキュリティ事故発生後・ルールを守っていない場合。
情報セキュリティ訓練
サイバー攻撃を想定した訓練です。代表的な訓練は、次のとおりです。
標的型攻撃メール訓練
従業者に対し、偽の標的型攻撃メールを送信し、添付ファイルの開封・本文中のURLのクリックなどの危険な行動を回避できるかを確認するための訓練です。
レッドチーム演習
情報セキュリティの専門家で構成された攻撃側のチーム(レッドチーム)が、依頼した組織で構成された防御側のチーム(ブルーチーム)に対して、実際に攻撃を仕掛ける対戦型の演習です。依頼した組織の情報セキュリティ対策の実効性を検証するために行います。
Capture The Flag
コンピュータを守る技術やサイバー攻撃への対処などを、クイズ形式や攻守工房で学ぶ情報セキュリティ技術の競技です。ハッカーコンテストとも呼ばれます。
脆弱性検査
情報システムにある脆弱性を発見するための検査です。システム構築時・更新時に行う運用前検査と、システム運用後に行う定期検査に分かれます。
ペネトレイションテスト
サーバ・しいステムを対象に、攻撃者が侵入可能かどうかを確認するために、疑似的な攻撃を試みる検査です。
ファジング
組み込み機器やソフトウェアを対象に、バグ(欠陥)・未知の脆弱性を検出するためのセキュリティテストです。問題を引き起こしそうな細工を施したデータを検査対象に送り、異常な動作の有無により検査します。
脆弱性検査のその他の例は、次のとおりです。
・接続先のポート番号に抜け穴があるかを調べるポートスキャンを試みる。
・セキュリティパッチを適用状況を調べる。
・未使用や不要な利用者IDを無効にしたかを調べる。
脆弱性管理
脆弱性情報を管理するための代表的な仕様は、次のとおりです。
CVE
脆弱性情報を世界で一意に識別するためのID(識別子)です。
CVSS
脆弱性の深刻度を評価する手法です。脆弱性を世界共通の基準で定量的に評価します。
CWE
脆弱性の種類の一覧です。脆弱性がどのカテゴリに属するかを分類します。
委託先管理
業務委託する外部業者を情報セキュリティの面から適切に管理します。業務の外部委託では、次の対応が求められます。
| 委託前 | 情報取扱いルールなど、 委託先に求める情報セキュリティ事項と委託先の現状との相違を確認して是正する。 |
|---|---|
| 委託中 | 委託先の不正防止・機密保護などの状況を確認する。 委託業務内容と契約内容に相違がある場合は、対処して是正する |
| 委託後 | 委託先に提示した資料やデータを回収・廃棄する。 |
インシデント管理
情報セキュリティ事故が発生した場合の対処を管理します。関係する用語は、次のとおりです。
| 情報セキュリティ事象 | 必ずしも被害が出るわけでない事象 |
|---|---|
| 情報セキュリティインシデント | 被害が出そうな事件・事故・事態 |
| アクシデント | インシデントの結果、実勢に被害が出る事 |
インシデント管理の代表例である、証拠保全と連絡を説明します。
証拠保全
インシデント発生時に、被害が発生し、広がるのを食い止める対応をします。それに加えて、インシデントの原因を分析するためには、証拠を保全しなければいけません。インシデントが発生した情報機器を発見し、専門家に分析してもらために、次の対応を取ります。
ネットワークケーブルを抜く
ネットワーク経由での他の情報機器へのマルウェアの伝染を防ぐ。不正アクセス時点の状態は消えるが、踏み台にされて他への被害を与える危険は回避できる。
管理権限でログインし、シャットダウンする。
シャットダウンすることで、マルウェアを伝染を防ぐ。
電源ケーブルを抜く
シャットダウン時にファイルが上書き・削除されて、証拠が消去される危険性があるため、電源を落とす。副作用として、情報機器のデータが破壊される恐れがある。
連絡
インシデント発生時に、管理者などに報告することが求められています。
・管理者や関係部署に連絡する。
・影響度の大きさ・範囲を想定して対策の優先順位を検討し、被害の拡大を防ぐ。
・事故に対する書道処理を記録し、状況を報告する。
セキュリティ評価
情報セキュリティ対策の有用性・実施状況を確認するために、評価を実施します。評価の方法は、自己評価と第三者評価があります。
自己評価
情報システム担当者が、自組織の情報セキュリティ対策状況を自ら評価する方式です。チェックリストを使って、毎日・毎週・毎月定期的に行います。手間・時間・費用がかからなくて済みます。
自己点検
従業者が、対策順守状況を自らチェックする方式。順守状況の把握・守るべき対策の徹底・情報セキュリティ意識向上の効果がある。従業者が行う点が、自己評価と異なる。
CSA
従業者が、自部門の活動の監査を自ら行う方式。
第三者評価
中立の立場の専門家に評価を依頼する方式です。事前準備が必要となるため、手間・時間・費用がかかりますが、信頼できる評価方式です。なお、情報セキュリティ監査では、内部監査と外部監査を行います。
・内部監査:組織内部の監査部門が行う監査。
・外部監査:外部の専門家に依頼する監査。
評価基準・方法
情報セキュリティ評価に関するそのほかの用語は、次のとおりです。
PCI DSS
クレジットカード情報を保護するための、クレジットカード業界のセキュリティ基準。カード会員情報を、格納・処理・伝送するすべての機関・加盟店に対して適用する。
情報セキュリティ対策ベンチマーク
自組織の情報セキュリティ対策状況と企業情報を回答することで、情報セキュリティレベルを確認できる自己診断システム。
ISMAP
政府が求めるセキュリティ要求を満たしたクラウドサービスを評価・登録する制度。クラウド・ハイ・デフォルト原則(政府情報システムは、クラウドサービスの利用を第一候補とする基本方針)を円滑に行うことを目的としている。
組織・機関
情報セキュリティを守るために作られた組織・機関は、次のとおりです。
CSIRT
情報セキュリティのインシデント発生時に対応する組織です。インシデント報告を受付・対応の支援・手口の分析・再発防止策の検討と助言を、技術面から行います。
国際連携CSIRT
国や地域を対象としたCSIRT。
JOCERT/JPCERTコーディネーションセンター
日本を代表するCSIRT。組織向けCSIRTを構築するためのガイドラインであるCSIRTマテリアルを作成する。
組織内CSIRT
組織を対象にしたCSIRT。企業や役所などで、自組織で起きたインシデントに対応する。
SOC
サイバー攻撃を防ぐために、情報機器の監視を専業で担当する組織です。監視を外部業者のセキュリティオペレーションセンターに委託することも多いです。背景として、セキュリティを監視する技能を持つ人材の確保が難しく、かつ24時間・365日、その体制を維持できないことが上げられます。
JVN
日本で使用されているソフトウェアの脆弱性情報(セキュリティーホール)と、その対策情報を提供するポータルサイトです。IPAセキュリティーセンターとJPCERT/CCが共同で運営します。
関連する用語は、次のとおりです。
JVN iPedia
日本で使用されているソフトウェアにおける脆弱性情報(セキュリティーホール)のデータベース。JVNが運営している。
MyJVN
JVNで提供しているバージョンチェッカ。
J-CRAT(サイバーレスキュー隊)
標的型攻撃の被害拡大を防止するための組織です。相談を受けた組織の被害を低減させたり、攻撃の連鎖を食い止めたりする活動を担います。IPAが運営しています。
J-CSIP(サイバー情報共有イニシアティブ)
参加組織におけるサイバー攻撃の情報を集約・共有するための組織です。参加組織内で検知されたサイバー攻撃の情報を、公的機関であるIPAに集約し、情報を匿名化したうえで、参加組織間でその情報を共有することで、高度なサイバーく劇対策につなげます。
午前問題の傾向
午前問題の傾向は、次のとおりです。
・午前問題は、90分間で50問を説く問題。
・知識問題がほとんどを占める。知っていれば解ける問題がずらりと並ぶ。
・苦手意識の強い受験者が多い、計算問題・数学記号を使った問題・図や表を読み取る問題の出題数が少ない。
・複数の知識・解法が問われる問題は少なく、1つのみの知識・解法で解ける問題が多い。
・試験の「出題範囲」や「シラバス」の用語例から逸脱した内容は、あまり出題されない。受験者・関係者からのクレームになりかねないため。
・最新の用語が出題されるわけではない。ある程度の周知期間を経た用語が出題される。
・文字を見ただけでは内容がわかりにくい用語が出題されがち。
・即答できる知識問題が多いため、90分間の試験時間内で途中退出する受験者が多い。
午後試験の傾向
午後試験の傾向は、次のとおりです。
・ITを用いた技術面の対策だけでなく、人による乾麺の対策が適切か問う問題が出題される。具体的には、情報資産の管理・部門内の情報セキュリティの確保・情報セキュリティ事故発生時の対応・従業員の意識向上などについて、業務の現場のケーススタディにより出題され、現状が適切かどうか、改善策は何かが問われる。
・知識問題はあまり出ない。知識でなく、説明内容で関連する記述を探し、それを根拠に回答する必要がある。
・1問当たり、12から15ページ(6,000から7,000文字)の長文問題を3問回答する必要がある。
・午前問題は4個の選択肢から選ぶ形式だが、午後問題は最大10個の選択肢から選ぶ形式のため、難しい。
・誤答を誘うために、出題者がトラップ(罠)を仕掛けた問題を出題する。
・サイバー攻撃手法を理解し、情報セキュリティの脅威を事前に把握しておくと、内容を理解しやすい。
・ドミノ倒しの危険がある。組み合わせの選択肢では、1問誤ると、関連する設問すべてを誤答する危険性がある。
・解答に時間がかかる長文問題であるため、90分間の試験ぎりぎりまで、回答に時間を要する危険性がある。
・問1・問2・問3のうち、解くのにかかる時間は均等でない。つまり、1問はとても時間がかかるが、残る2問は素早く溶けるといったことも多い。
・他の試験(基本情報技術者試験・応用情報技術者試験など)の情報セキュリティ分野の過去問(午後)とは、傾向が異なる。情報セキュリティマネジメント試験で問われる情報セキュリティ事故のリスク対応などは、他の試験ではあまり出題されない。
終わりに
今回は、情報セキュリティマネジメント試験の「情報セキュリティ管理」をやりました。
次回は、「情報セキュリティ対策」ついてやっていきたいと思います。
エンジニアファーストの会社 株式会社CRE-COエンジニアリングサービス 吉川真史