情報セキュリティ管理とは?情報資産とリスクの概要、情報資産の調査・分類などについてまとめました。
- 【情報資産とリスクの概要】
- 【情報資産の調査・分類】
- 【リスクの種類】
- 【情報セキュリティリスクアセスメント及びリスク対応】
- リスク対応
- 【情報セキュリティ継続】
- 【情報セキュリティ諸規程】情報セキュリティポリシを含む組織内規程
- 【ISMS】
- 【管理策】情報セキュリティインシデント管理、法的及び契約上の要求事項の順守
- 【情報セキュリティ組織・機関】CSIRT、SOC、CVE、ホワイトハッカー
- 【JIS Q 27000、27001】情報セキュリティマネジメントシステム
- 【JIS Q 27014】情報セキュリティガバナンスの概念及び原則
- 【JlS Q 27017】JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
- 【JESCZ0004】 電力制御システムセキュリティガイドライン
- 【その他】セキュリティ関連ガイドライン、フレームワーク
【情報資産とリスクの概要】
【情報資産の調査・分類】
【リスクの種類】
【情報セキュリティリスクアセスメント及びリスク対応】
JIS Q 31010:2012(リスクマネジメントの規格)では、リスクアセスメントを「リスクアセスメントは,リスク特定,リスク分析及びリスク評価の全般的なプロセスである。」と定義しています。
つまり、「リスクを見つけ、発見されたリスクの大きさを評価し、そのリスクが許容できるか否かを決定する一連の活動」がリスクアセスメントです。
リスク対応
リスク対応は、リスク分析・リスク評価の結果明らかになったリスクに対応方法を講じることです。リスク対応では、リスクの大きさ、顕在化の可能性、情報資産の重要度、予算などを踏まえて最適な対応策をとることが重要となります。
リスク対応は、大きく分けると以下の3つに分類できます。
| 用語 | 概要 |
|---|---|
| リスクコントロール | 潜在的なリスクに対して、リスクを回避したり低減したりする対策を講じること。 |
| リスクファイナンス | 予期しないトラブル等が生した場合に備えて、対応資金をあらかじめ確保しておくこと。 |
| リスク受容 | 予期しないトラブル等が生した場合の損失額や、トラブルの発生率が低いため、予算等との関係からあえて対策を講じないこと。 |
| リスク移転 | 保険に加入する、リスクのある業務をアウトソーシングするなどして、 他者とリスクを共有することです。【例】情報資産を外部のデータセンタに預託 |
| リスク回避 | リスク源を除去して、リスクの発現確率をゼロにすることです。【例】情報収集禁止・収集済み情報の消去 |
| リスク低減 | リスクの発現確率やリスクが現実化したときの損失を低下させることです。【例】入退室の厳重化 |
| リスク受容 | リスクに対してあえて何の対策もとらないこと。発生頻度が低く損害も小さいリスクに対して選択されます。 |
【情報セキュリティ継続】
| 用語 | 概要 |
|---|---|
| ビジネスインパクト分析 | 不測の事態によって、業務が中断したりシステムが停止したりした場合のビジネスへの影響度を分析し、最大許容停止時間や被害損失額などを算定する手順です。BCPの策定のための最初のステップとなります。 |
| ディザスタリカバリ | ディザスタリカバリ(Disaster Recovery)は、事業継続マネジメント(BCM)における概念の1つで、自然災害やサイバーテロなどの大規模災害時からシステムを素早く復旧させるための仕組みや措置、及び損害を最小限に抑えるための予防措置や体制です。 |
| RPO | RPO(Recovery Point Objective,目標復旧時点)は、障害の発生などの理由により業務が中断した場合に、過去の何時の時点までの状態に戻すのかを示す目標値です。業務中断後いつまでに復旧させるかを示すRTO(Recovery Time Objective,目標復旧時間)とともに、BCP(Business Continuity Planning)を策定する際の設定事項となっています。 |
| コンティンジェンシープラン | 策定対象の潜在的な脅威(事件、事故、災害など)が発生した場合に、それらを克服するための理想的な手続きが記述された文書。 |
そのその緊急事態を克である。」と定義されています。
【情報セキュリティ諸規程】情報セキュリティポリシを含む組織内規程
【ISMS】
| 用語 | 説明 |
|---|---|
| ISMSユーザーズガイド | ISMS認証基準(JIS Q 27001:2014)の要求事項について一定の範囲でその意味するところを説明しているJIPDECが作成したガイドです。 |
【管理策】情報セキュリティインシデント管理、法的及び契約上の要求事項の順守
| 用語 | 概要 |
|---|---|
| ソフトウェア等脆弱性関連情報取扱基準 | ソフトウェア等に係る脆弱性関連情報等の取扱いについての推奨行為を定めているる経済産業省の告示。 |
【情報セキュリティ組織・機関】CSIRT、SOC、CVE、ホワイトハッカー
| 用語 | 説明 |
|---|---|
| CSIRT | 国家、企業、組織内に設置され、コンピュータセキュリティインシデントに関する報告をもとに調査し、対応活動を行う組織の総称(一般的には組織内CSIRTを指す)。 |
| NISC | サイバーセキュリティ基本法に基づき、内閣官房に設置された情報セキュリティ対策の機関。情報セキュリティ政策の立案、国際的な連携、情報分析、政府機関への支援、官民連携によるインフラ対策などの推進活動を行っています。 |
| CSIRTマテリアル | 組織的なインシデント対応体制である「組織内CSIRT」の構築を支援する目的で作成されたガイドラインです。JPCERT/CCのWebサイトで閲覧可能です。構想フェーズ、構築フェーズ、運用フェースの3部構成になっていて、ITセキュリティに対応するための情報およびノウハウが提示されています。 |
| CVE | 米国MITRE社が管理運営を行っている、脆弱性情報データベースです。世界各国の企業、機関等が広く利用しています。「CVE番号」は、このデータベースに収録された脆弱性情報を一意に識別するために割り当てられる番号で採番形式は「CVE-<西暦年号>-<4桁以上の数字>」と規定されています。 |
| J-CRAT | サイバーレスキュー隊の略です。「標的型サイバー攻撃特別相談窓口」にて受け付けた相談や情報に対して調査分析を実施し、JPCERT/CCやセキュリティベンダ等と連携して助言や支援および情報共有することで、標的型サイバー攻撃の被害低減と拡大防止を目的とするIPAの取り組みです。 |
| J-CSIP | 参加組織間で標的型サイバー攻撃の情報を共有し、サイバー攻撃対策の能力を向上されるための仕組み。IPAが中心となって、重要インフラや大手製造メーカーなど様々な組織が参加している。 |
| CRYPTREC | 暗号技術の安全性、実装法、運用法などの評価や検討を行っているプロジェクト。具体的には、「共通鍵暗号」「公開鍵暗号」「ハッシュ関数」「擬似乱数生成系」の4種類の暗号技術について、評価した結果や、推奨する暗号技術について情報を発信している(読みは「くりぷとれっく」で、過去に筆記試験で「CRYPTREC」tp記述させる問題が出たため要暗記)。 |
【JIS Q 27000、27001】情報セキュリティマネジメントシステム
| 用語 | 概要 |
|---|---|
| 是正処置 | 不適合の原因を除去し、再発を防止するための処置 |
| 脅威 | 情報システムに悪い影響を与える要因。 望ましくないインシデントを引き起こし、システム又は組織に損害を与える可能性がある潜在的な原因 |
| 脆弱性 | 情報システム内にある弱点。一つ以上の要因によって悪用される可能性がある、資産又は管理策の弱点。 |
| リスクの特定 | リスクを発見し、リストアップされた脅威と脆弱性の関連性を分析し、リスク(影響)を特定する |
| リスク評価 | 被害の大きさ、発生確率などの情報から、リスクの大きさを決定する。「定量的評価」「定性的評価」の2種類がある。 リスクの大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較する。 |
【JIS Q 27014】情報セキュリティガバナンスの概念及び原則
JIS Q 27014は、情報セキュリティガバナンスの概念及び原則を示したJIS規格です。
この規格では、情報セキュリティガバナンスを「組織の情報セキュリティ活動を指導し、管理するシステム」と定義しています。
また、情報セキュリティガバナンスの目的として、以下の3つ挙げています。
| 目的 | 概要 |
|---|---|
| 戦略の整合 | 事業の目的及び戦略に合わせて、情報セキュリティの目的及び戦略を定める。 |
| 価値の提供 | 経営陣及び利害関係者に価値を提供する。 |
| 説明責任 | 情報リスクに対して、適切に対処していることを確実にする。 |
統治するためのプロセス(ガバナンスプロセス)として、以下の5つが定義されています。
| プロセス | 概要 |
|---|---|
| 評価 | 現在のプロセス及び予測される変化に基づくセキュリティ目的の現在及び予想される達成度を考慮し,将来の戦略的目的の達成を最適化するために必要な調整を決定するプロセス |
| 指示 | 経営陣が、必要性のある情報セキュリティの目的及び戦略について指示する |
| モニタ | 経営陣が、戦略的目的の達成を評価することを可能にする |
| コミュニケーション | 経営陣及び利害関係者が、双方の特定のニーズに沿った情報セキュリティに関する情報を交換する |
| 保証 | 経営陣が独立した客観的な監査、レビュー、認証を委託する |
【JlS Q 27017】JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
JlS Q 27017:2016は、クラウドサービスの提供及び利用に適用できる情報セキュリティ管理策のための指針を示した規格です。
「JIS Q 27002の管理策を拡張し、クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。」ことを目的としています。
適用範囲は「管理策及び実施の手引を、クラウドサービスプロバイダ及びクラウドサービスカスタマの双方に対して提供する。」とされています。
つまり、クラウドサービスの提供者だけでなく利用者も適用範囲に含まれる。
【JESCZ0004】 電力制御システムセキュリティガイドライン
【その他】セキュリティ関連ガイドライン、フレームワーク
| 用語 | 概要 |
|---|---|
| ソフトウェア管理ガイドライン | ソフトウェアの違法複製を防止するため,法人,団体などを対象として,ソフトウェアを使用するに当たって実施されるべき事項をとりまとめたものです。 |
| fips pub 140-3 | 暗号モジュールのセキュリティ要求事項 |
| NOTICE | 総務省及びNICTによる2019年2月からの取り組みで、容易に推測されるパスワードが設定されているなど、サイバー攻撃に悪用されるおそれのあるIoT機器を調査し、プロバイダを通じてIoT機器の利用者に注意喚起を行っている。 |
| サイバー・フィジカル・セキュリティ対策フレームワーク(Version1.0) | 新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築、求められるセキュリティ対策の全体像を整理すること |
| SECURITY ACTION | 安全・安心なIT社会を実現するために創設された制度。IPA「中小企業情報セキュリティ対策ガイドライン」に沿った情報セキュリティ対策に取り組むことを中小企業などが自己宣言する。 |
| 修整(Tailoring) | JIS X0160:2021で、ライフサイクルモデルの目的及び成果を達成するために、ライフサイクルプロセスを修正したり新しいライフサイクルプロセスを定義すること。 |
| サイバーセキュリティ経営ガイドライン | 経済産業省(METI)と情報処理推進機構(IPA)が定めた、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめたガイドラインです。 |
【情報処理入門】用語解説・資格試験対策まとめ
情報処理分野の用語・原理・資格試験対策について解説します。
joho.info
2023.08.08
コメント