「JIS Q 27001:2014」とは?
情報セキュリティマネジメントシステム(ISMS: Information Security Management System)に関する日本工業規格(JIS)の一つで、国際規格 ISO/IEC 27001:2013 に基づいています。
情報の機密性、完全性、可用性を適切に管理し、企業や組織が情報セキュリティを確保するためのルールや仕組みを定めています。
組織のトップマネジメントは、ISMS(情報セキュリティマネジメントシステム)に関するリーダーシップおよびコミットメントを実証しなければならない。
具体的に求められる行動として、以下の 8つ が挙げられる。
1.情報セキュリティ方針の策定と承認
組織の情報セキュリティ方針を策定し、承認する。
企業のミッションや戦略と整合性のあるセキュリティ方針を決める。
「情報資産を適切に管理し、機密性・完全性・可用性を確保する。」
- ISMSの目的を組織全体に確立
情報セキュリティの目標を設定し、組織全体で理解させる。
例:「サイバー攻撃による情報漏えいゼロを目指す。」
目標を明確にし、定期的に進捗を確認する。
3.ISMSの重要性を組織内に周知
情報セキュリティの重要性を経営層が強調し、社員に意識させる。
社内会議や研修で「セキュリティが組織の成功に不可欠である」ことを伝える。
例:「セキュリティ事故が発生すると、顧客の信頼を失い、会社の存続が危ぶまれる。」
4.必要なリソース(人材・資金・技術)を確保
ISMSを実施するために、必要な人材・予算・技術を提供する。
セキュリティ対策に必要なシステム導入や専門人材の確保。
例:「SOC(セキュリティ監視センター)を設置し、専任チームを配置する。」
5.ISMSの役割・責任を明確にし、権限を与える
セキュリティ管理者や責任者の役割を明確にし、権限を与える。
例:「CISO(最高情報セキュリティ責任者)を任命し、情報セキュリティの統括を行う。」
6.ISMSの継続的な改善を推進する
PDCAサイクル(Plan-Do-Check-Act)を回し、継続的に改善する。
内部監査やレビューを実施し、課題を特定・改善する。
例:「定期的にリスクアセスメントを実施し、新たな脅威に対応する。」
7.規制・法令・契約の順守を確保
関連する法律・規制(個人情報保護法、GDPRなど)を守ることを徹底する。
例:「ISMSの運用が法令に適合しているかを定期的に確認する。」
8.情報セキュリティ文化の醸成(従業員教育の強化)
従業員がセキュリティ意識を持つように教育・訓練を実施する。
例:「フィッシングメール対策研修を年2回実施し、従業員の意識を高める。」
「組織のトップマネジメントはISMSに関するリーダーシップを実証する」
という問題が出たら、
「方針策定」「リソース確保」「責任明確化」「教育」などのキーワードを押さえる。
PDCAサイクル(計画・実行・確認・改善)を使って継続的に改善することが重要。
ISMSは、経営層の関与が鍵。
単なるシステムの導入ではなく、組織全体の文化として根付かせることが求められます。
「JIS Q 27002」とは
情報セキュリティマネジメントシステム(ISMS)の実施において、組織が採用すべきセキュリティ管理策に関する指針を提供する国際規格です。
この規格では「電気、通信サービス、給水、ガス、下水、換気、空調」など
装置を稼働させるために必要なインフラや設備などのことを、
サポートユーティリティとしている。
<JIS Q 27017とは>
JIS Q 27002を補うもので「クラウドサービスのセキュリティ管理策」
が記述されている。
「情報セキュリティの3要素」とは
<機密性(Confidentiality)>
• 情報が許可された者だけにアクセスできることを保障する要素です。機密性を保つことで、不正アクセスや漏洩から情報を守ることができます。
• 例:パスワードで保護されたデータベース、暗号化された通信など。
<完全性(Integrity)>
• 情報が正確であり、改ざんされていないことを保障する要素です。情報が不正に変更されないようにすることが求められます。
• 例:ハッシュ値を用いてデータの改ざんを検出、ファイルやデータベースにおける変更履歴の管理。
<可用性(Availability)>
• 情報が必要な時に、必要な場所で利用できる状態を保障する要素です。システムやサービスの稼働が保証されていることが重要です。
• 例:バックアップシステムの構築、冗長化されたネットワークインフラ。
これらの3要素の重要性
• 機密性は情報漏洩を防ぐために不可欠であり、企業や個人のプライバシーを守るために重要です。
• 完全性は、情報が変更されずに信頼性を保つために重要であり、特に金融機関や医療機関では必須です。
• 可用性は、情報やサービスをいつでも利用できるようにし、業務の効率を確保します。
これらの3要素は、情報セキュリティの基本的な柱として、どのような情報システムにも適用される重要な概念です。
「CSIRT(Computer Security Incident Response Team)」とは
コンピュータセキュリティインシデント(サイバー攻撃、データ漏洩、マルウェア感染など)の発生時に対応し、被害の最小化、回復、再発防止を目的として、組織内でインシデントの監視、報告、対応、復旧を行う専門のチームを指します。
CSIRTは、組織内外でのセキュリティインシデントに迅速かつ効果的に対応するための組織的な枠組みとして機能します。
「組織がJIS Q 27001:2014(要求事項)への適合を宣言するとき、要求事項及び管理策の適用要否の考え方として適切なものはどれ?」
答え:
「企画本文の箇条4〜10に規定された要求事項」
ISMSを構築・運用するための必須の要求事項。
組織の規模や特性に関わらず、すべての要求事項に
「適合しなければならない。」
1. [4] 組織の状況 - ISMSの適用範囲や内部・外部要因の特定
2. [5] リーダーシップ - トップマネジメントの責任、方針の策定
3. [6] 計画 - リスクアセスメント、リスク対応計画
4. [7] 支援 - 必要なリソース、教育・訓練、文書管理
5. [8] 運用 - ISMSの実施、運用管理
6. [9] パフォーマンス評価 - 監査、マネジメントレビュー
7. [10] 改善 - 継続的な改善、不適合への対応
組織の状況に応じて「適用しない」という選択はできない。
「付属書A”管理目的及び管理策”に規定された管理策」
付属書Aの管理策は「参考」であり、組織のリスク対応に必要なものを選択する。
適用しない管理策は、適用宣言書(SOA)で正当な理由を説明する。
妥当な理由があれば適用除外できる。
「JIS Q 27002:2014の「サポートユーティリティ」に関する例示に基づいて、サポートユーティリティと判断されるものはどれか?」
答え:
サーバ室の空調
「情報システムに対するアクセスのうち、JIS Q 27002でいう特権的アクセス権を利用した行為はどれか?」
答え:
「システム管理者が業務システムのプログラムのバージョンアップを行う。」
「ファイルサーバについて、情報セキュリティにおける「可用性」を高めるための管理策として適切なものは?」
答え:
「ストレージを二重化し、耐障害性を向上させる。」
解説:
これは「可用性」を高めるために非常に重要な管理策です。
ストレージの二重化(冗長化)を行うことで、ハードウェア障害が発生した場合でもデータの損失を防ぎ、システムの稼働を維持できます。
RAID(Redundant Array of Independent Disks)やクラスタリング技術を用いて、障害が発生しても迅速に復旧できるようにします。これにより、システムがダウンする時間を最小限に抑え、可用性が向上します。
<誤り>
「ディジタル証明書を利用し、利用者の本人確認を可能にする。」
解説:
ディジタル証明書は認証や「機密性」を強化するための技術であり、可用性に直接関連する管理策ではありません。証明書を使用して、利用者が正当であることを確認し、通信の暗号化を行いますが、システムが利用可能であることを保証するものではありません。つまり、システムの稼働状態や冗長性に関与するものではありません。
「ファイルを暗号化し、情報漏えいを防ぐ。」
解説:
ファイルの暗号化は「機密性」を確保するための技術です。情報が第三者に漏洩するのを防ぐために使用されますが、可用性を直接向上させるものではありません。暗号化は、データの機密性を保護する目的で行いますが、システムのアクセス可能性やダウンタイムを減少させるものではありません。
「フォルダにアクセス権を設定し、外部者の不正アクセスを防止する。」
解説:
これは「機密性」と「完全性」を高めるための管理策であり、可用性とは直接関係がありません。アクセス権を設定することで、不正アクセスを防ぎ、正当な利用者のみがデータにアクセスできるようにしますが、システムがダウンしないことや障害が発生した場合の復旧には関係しません。
「CSIRTの説明として正しいのは?」
答え:
「企業内・組織内や政府機関に設置され、情報セキュリティインシデントに関する報告を受け取り、対応活動を行う組織の総称である。
JPCERT/CC "CSIRTガイド"ではCSIRTを活動とサービス対象によって六つに分類しており、
その一つにコーディネーションセンターがある。
コーディネーションセンターの活動とサービス対象はどんなものか?」
答え:
インシデント対応の調整・調整支援
他のCSIRT