JIS Q 27000:2019とは。
情報セキュリティに関する日本の規格です。
ISMS(情報セキュリティマネジメントシステム)に関する国際規格 ISO/IEC 27000シリーズのひとつを、日本工業規格(JIS)として翻訳・整備したものです。(ISOとはスイスのジュネーブに本部をおく国際標準化機構のこと)
この規格には、ISMSに関する用語や定義が統一的にまとめられています。
つまり、「情報セキュリティ分野で使われる専門用語集」のようなものです。
以下実際にご覧いただければわかりますが、3.1〜3.77まで約80個あります。
ちなみに情報セキュリティ・基本情報・応用情報など、IPA試験のセキュリティ分野で頻出です。
(私は明日の応用情報のために、復習中です汗汗)
似ている単語
いくつか違いをうまく説明できなさそうな単語をピックしました。
「完全性」と「真正性」
| 用語 | 意味 | 対象 | 守りたいこと | 例 |
|---|---|---|---|---|
| 完全性(integrity) | 情報が正確で、改ざん・破損されていない特性 | 情報そのもの | 情報の正しさ・一貫性 | 書類の内容が送信中に書き換えられていないこと |
| 真正性(authenticity) | 情報やエンティティが「本物」であるという特性 | 情報・人・システム | なりすまし・偽装の防止 | 電子メールの送信者が本人であることが証明されること |
イメージ:署名付きの手紙
- 完全性:手紙の内容が途中で改ざんされていない。読んだ内容が送り主の意図どおり。
- 真正性:手紙の送り主が、本人(例:田中さん)であると確認できる。署名や印章で証明されている。
「信頼性」と「可用性」
| 用語 | 意味 | 主な対象 | フォーカス | 例 |
|---|---|---|---|---|
| 信頼性(reliability) | システムや機能が正しく動作し続ける特性 | システム全体や機能 | 故障せずに連続して稼働できるかどうか | サーバが数日間エラーなく稼働し続ける |
| 可用性(availability) | システムや情報が必要なときに使える特性 | アクセス可能性 | 必要なときに利用できるかどうか | サービスが24時間いつでもアクセスできる状態 |
イメージ:自動販売機
-
信頼性:
→ 故障せずに何度使っても正しく商品を出し続ける能力。
→ 《使ったらちゃんと動く》 -
可用性:
→ 電源が入っていて、いつでも使える状態になっていること。
→ 《そもそも使える状態でいる》
「認証」と「否認防止」
| 用語 | 意味 | 主な対象 | 主な目的 |
|---|---|---|---|
| 認証(authentication) | エンティティ(人、システムなど)が正当な存在であることを確認するプロセス | ユーザーやシステム | 「この人は本物の〇〇さんです」と確認する |
| 否認防止(non-repudiation) | 取引やアクションの実行者がその行動を否定できないようにすること | アクションや取引 | アクションを後で否定できない証拠を提供する |
イメージ:署名付きの契約
-
認証
契約を交わす前に、相手が本当にその契約者(例:田中さん)であるかを確認する。
→ 《「田中さん」だと確認できる方法がある》 -
否認防止
契約後、田中さんが契約したことを後から否定できないように、署名が残っている。
→ 《契約後に「そんな契約はしていない」と言えなくする》
「修正」と「是正処置」
| 用語 | 意味 | 目的 | 効果の範囲 |
|---|---|---|---|
| 修正(correction) | 検出された不適合を除去するための処置 | その場の問題の即時対応 | 一時的または局所的 |
| 是正処置(corrective action) | 不適合の原因を取り除き、再発を防止するための処置 | 根本原因の再発防止 | 恒久的または全体的 |
イメージ:雨漏りのある屋根
- 修正:漏れている場所にバケツを置いたり、一時的にテープでふさいだりすること
- 是正処置:屋根に穴が空いた原因を調査し、屋根そのものを修理・改良して、将来の雨漏りを防ぐこと
「基本測定量」と「導出測定量」
| 用語 | 意味 | 特徴 | 例 |
|---|---|---|---|
| 基本測定量(基本量) | 他の量から導かれない、最も基本となる量 | 単位が国際的に定められている | 長さ(m)、質量(kg)、時間(s)、電流(A)、熱力学温度(K)、物質量(mol)、光度(cd) |
| 導出測定量(導出量) | 基本測定量を組み合わせて定義される量 | 複数の基本量の組み合わせから成る | 速度(m/s)、力(N)、エネルギー(J)、電圧(V)など |
「リスク」と「脅威」
| 用語 | 意味 | 主要な焦点 | 例 |
|---|---|---|---|
| リスク(Risk) | ある出来事が発生する可能性と、その結果として生じる影響の組み合わせ | 発生確率と影響度の評価 | 金融リスク(市場の変動で資産が減少する可能性) |
| 脅威(Threat) | システムや情報、資産に対して危害を加える可能性のある要因や状況 | 単一の危険因子 | ハッキング(不正アクセス) |
イメージ:企業の情報セキュリティ
-
脅威(Threat)
企業のデータベースに対してハッキングや自然災害(例えば地震や火災)が脅威となる。これらは実際に危害を加える要因であり、被害を与える可能性があるものです。
→ 《サイバー攻撃者がデータを盗もうとする》 -
リスク(Risk)
その脅威が実際に発生した場合、その影響がどれだけ深刻であるかを考えるプロセスです。例えば、ハッキングによるデータ漏洩のリスクは、発生確率とその影響(企業の評判の低下や法的責任など)を組み合わせた評価です。
→ 《サイバー攻撃が発生し、データ漏洩がどの程度の損害を与えるか》
「リスク特定」と「リスク分析」と「リスク評価」
| 用語 | 意味 | 主な目的 | 対象 | 例 |
|---|---|---|---|---|
| リスク特定(Risk Identification) | 組織に影響を与える可能性があるリスクを発見し、リストアップするプロセス | リスクが何であるかを認識する | 脅威、脆弱性、情報資産 | どんなセキュリティ上のリスクが存在するか洗い出す(例:サーバーへの不正アクセス) |
| リスク分析(Risk Analysis) | リスクの発生確率と影響度を評価するプロセス | 各リスクの重要性を評価する | 発生確率、影響度 | サイバー攻撃の影響度を分析する(例:情報漏洩が起きた場合の財務的損失) |
| リスク評価(Risk Evaluation) | リスク分析結果に基づき、リスクの優先順位を決定するプロセス | どのリスクに対してどの対策をとるか決める | 優先順位 | 高リスクな脆弱性に優先して対策を講じる(例:重大なセキュリティ欠陥に対する即時対応) |
イメージ:自動車事故のリスク管理
-
リスク特定
事故を引き起こす可能性のある要因を洗い出す(例:悪天候、運転者の不注意、車の故障など)。
→ 《リスクが何かを知る》 -
リスク分析
各リスクがどの程度の影響を与えるかを評価する。例えば、悪天候による事故の発生確率と、その事故が起こった際の影響(物理的損傷、財務的損失)を評価。
→ 《影響度と確率を考える》 -
リスク評価
発生確率と影響度を基に、どのリスクに優先的に対応するかを決定する。例えば、悪天候が原因の事故に対して、予防策(運転時の天気確認)を優先するか、車の故障リスクを優先してメンテナンスを強化するかを決める。
→ 《リスクの優先順位を決める》
備考JIS Q 27000シリーズについて
このシリーズは情報セキュリティマネジメントに関連する規格群で、以下のように構成されています。
本記事では27000の内容にしか言及していませんが、詳しくはそれぞれの内容を参照しましょう。
- JIS Q 27000:用語と定義(これ)
- JIS Q 27001:要求事項(実際に組織が満たすべき基準)
- JIS Q 27002:管理策の実践的ガイドライン
- JIS Q 27005:リスクマネジメントのガイドライン
- JIS Q 27017:クラウドサービスにおけるセキュリティガイド
- JIS Q 27018:個人情報保護に関するガイドライン