テクノロジ編 PR

【基本情報】情報セキュリティマネジメントを過去問と一緒に全部解説!

  /
記事内に商品プロモーションを含む場合があります

この記事では情報セキュリティマネジメント(ISMS)CSIRTについてIT初心者にも分かりやすく解説します。

情報セキュリティマネジメント

  • 情報セキュリティマネジメントは情報資産の漏洩対策や管理を組織全体で取り組む仕組み。ISMSとも言う。
  • リスクアセスメントとは、リスクを特定・分析・評価し、対応方法を検討すること。
  • ISO/IEC 27000はISMSの運用方法や基準を定めたもので、JIS Q 27000はそれを日本向けにしたもの。
  • サイバーセキュリティ経営ガイドラインは経営者がセキュリティ対策を進めることを助ける目的で経済産業省とIPAが作成したもの。

ISMSに関する組織

  • セキュリティインシデントとは、セキュリティ事故のこと。
  • CSIRTはセキュリティインシデントに対応する組織。
  • JPCERTコーディネーションセンター(JPCERT/CC)は日本中のセキュリティインシデントの情報を収集し、対応について支援する組織。

基本情報では情報セキュリティマネジメントやCSIRTに関する問題が出題されます。是非最後までご覧ください。

目次
  1. 情報セキュリティマネジメント(ISMS)とは
  2. ISMSに関する規格やガイドライン
  3. セキュリティ事故が起こったら – CSIRTとは
  4. 基本情報技術者試験での出題例
  5. 基本情報に関する他の記事

情報セキュリティマネジメント(ISMS)とは

情報セキュリティマネジメント(ISMS)とは、情報資産の漏洩への対策や、情報資産の管理を組織全体で取り組んでいくような仕組みのことです
ISMSはInformation Security Management Systemの略称になります。ISMSは組織や規格の名前ではなく、単純に組織全体で情報資産を守る仕組みのことを言います。

ISMSの目標は、以下7つの要素を維持することです。

  • 機密性
    組織が認めていない人に組織のシステムや情報資産へアクセスさせないこと。
    ※情報セキュリティの分野では、情報を使用する人や組織のことをエンティティと呼ぶことがあります。
  • 完全性
    情報資産が最新で、誤りがなく、欠損もないこと。
  • 可用性
    組織が認めた人は、使いたい時、常に情報資産を利用できるようにすること。
  • 真正性
    システムや情報資産にアクセスしてきたユーザがなりすまし等ではなく、本当に該当のユーザであること。
  • 信頼性
    情報を処理するシステムがユーザの意図した通りに動き、意図した結果となること。
  • 責任追跡性
    誰がどういうルートから情報資産にアクセスしたのかを追跡できること。
  • 否認防止
    事故が起きた時に、事故の原因となった処理や操作を行ったユーザに「私じゃない」と否定されないようにすること。

リスクマネジメント

脅威・脆弱性・リスク

ISMSが目標とする情報セキュリティの7つの要素を妨害する存在がいます。システムや情報資産に攻撃を加えて損害を与える存在を脅威と言います。脅威はシステムや情報資産の弱点を突いて損害を与えようとします。そのような弱点のことを脆弱性と言います。
また情報セキュリティの分野でリスクとは、脅威が脆弱性を突いて損害を与えてくる可能性のことです。

不正のトライアングル
脅威には内部の人間による不正行為も含まれます。不正行為は機会動機正当化の3つの条件がそろった時に発生すると言われており、これを不正のトライアングルと言います。

機会 :経理課に所属しており、お金の管理をしている。
動機 :生活に困っている。
正当化:給料が安い会社が悪いと正当化できる環境にいる。
このような3つの条件が揃うと横領などの不正行為が発生しやすくなる訳ですね。

リスクアセスメント

システムや情報資産を持つ組織にとって、世の中には多くのリスクが存在します。全てのリスクに対処できるのが理想ですが、時間と費用が掛かり過ぎてしまいます。
リスクアセスメントでは情報資産が持つリスクを特定、分析、評価することで、対応すべきリスクなのか、対応するとしたらどう対応するのが良いのかを決定します。
ちなみに、想定されるリスクの大きさをリスクレベルと言い、リスクが発生時の影響度と発生の可能性を組み合わせで表現されます。

リスクへの対応方法にはリスク回避リスク軽減リスク転嫁リスク受容があります。

リスク回避 リスクの原因を除去する。
例)PCの持ち出しを禁止する。ECサイトでの販売を取り止める。
リスク軽減 リスクによる損失や発生確率を下げる。
例)アクセス可能な人を限定する。情報資産を分けて管理する。
リスク転嫁 リスクを第三者と共有する。
例)保険に入る(リスクファイナンシング)。一部業務を外部委託する。
リスク受容 リスクの存在を把握しているが、影響度や発生確率は小さいと考えて、
あえて対応しない。

リスク対応にリスクファイナンシングという方法があります。リスクファイナンシングではリスクの発生に備えて資金を準備しておきます。あらかじめ保険に入っておく等がリスクファイナンシングに該当します。

セキュリティバイデザイン
リスクアセスメント→リスク対応では、既にあるシステムや情報資産に対してリスクへの対策を取りましたが、システムの企画・設計段階からセキュリティ対策をして、後のリスクをあらかじめ軽減もしくは無くしておこうという考え方があります。これをセキュリティバイデザインと言います。

情報セキュリティマネジメントのまとめ
情報セキュリティマネジメントはISMSとも呼ばれ、
機密性完全性可用性真正性信頼性責任追跡性否認防止の実現を組織全体で達成できるようにする仕組みのこと。

しかし、ISMSの目標を邪魔する脅威が世の中に存在し、そういった脅威が情報資産に損害を与えてくる可能性がある。これをリスクと言う。
リスクアセスメントにより、リスクを特定・分析・評価した後、それぞれのリスクに対してリスク対応を行う。適切なリスク対応を行うことで、ISMSの目標が達成できる。

ISMSに関する規格やガイドライン

ISO/IEC 27000、JIS Q 27000

個人情報を預けるなら、情報セキュリティマネジメントがしっかり出来ている組織が良いですよね。でも、情報セキュリティマネジメントがしっかり出来ているかどうかなんて外部の人からは判断し辛いことだと思います。

そこでISO(国際標準化機構)とIEC(国際電気標準会議)が合同で、ISMSの運用方法やISMSの基準となる規格を定めました。これをISO/IEC 27000と言います。また、ISO/IEC 27000を日本向けに作成したのがJIS Q 27000です。

ISO/IEC 27000やJIS Q 27000を取得しているということは、ISMSの要求事項を満たしているということになるので、取引先や顧客の信頼獲得に繋がります。

サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドラインとは、経営者がセキュリティ対策を進めていけるように原則や重要事項を経済産業省とIPA(情報処理推進機構)が定めたものです。ここでは基本情報で出題された原則について紹介します。

サイバーセキュリティ経営ガイドラインが示す3つの原則

  1. 経営者は自らのリーダーシップをもとにセキュリティ対策を進める
  2. 自社だけでなく、ビジネスパートナーや委託先企業等、サプライチェーン全体に渡るセキュリティ対策を意識する
  3. 関係者と積極的にコミュニケーションを取る

サプライチェーンとは、原材料を調達する所から製品に加工して販売する所までの一連の流れを言います。要するに②は、自社のビジネスに関わる組織のセキュリティ対策も意識しなさいよということですね。

セキュリティ事故が起こったら – CSIRTとは

ISMSの運用をしているとは言え、セキュリティ事故が起きることはあります。情報セキュリティの分野ではセキュリティ事故をセキュリティインシデントなんて言ったりします。

セキュリティインシデントが発生した時に復旧対応・原因究明・再発防止等の対応を行うのがCSIRT(Computer Security Incident Response Team)と呼ばれるチームです。

JPCERTコーディネーションセンター(JPCERT/CC)

JPCERTコーディネーションセンター(JPCERT/CC)とは、日本国内で発生したセキュリティインシデントの情報を収集し、対応の支援をし、セキュリティに関することを発信する組織です。

自分たちの会社にもCSIRTを作りたいけど、どうやって作ればよいのか分からないという組織を支援するためにCSIRTマテリアルというのも作成しています。CSIRTマテリアルには、CSIRTの構築に参考となるような情報がまとめられています。

基本情報技術者試験での出題例

平成31年度春期問40

基本情報技術者
午前試験 平成31年度春期問40

リスク対応のうち,リスクファイナンシングに該当するものはどれか。

ア システムが被害を受けるリスクを想定して,保険を掛ける。

イ システムの被害につながるリスクの顕在化を抑える対策に資金を投入する。

ウ リスクが大きいと評価されたシステムを廃止し,新たなセキュアなシステムの構築に資金を投入する。

エ リスクが顕在化した場合のシステムの被害を小さくする設備に資金を投入する。

正解と解説

正解は”ア”

リスクファイナンシングとは、リスクを想定して資金を備えることで、保険を掛けることも該当します。

平成31年度春期問41

基本情報技術者
午前試験 平成31年度春期問41

JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における”リスクレベル”の定義はどれか。

ア 脅威によって付け込まれる可能性のある,資産又は管理策の弱点

イ 結果とその起こりやすさの組合せとして表現される,リスクの大きさ

ウ 対応すべきリスクに付与する優先順位

エ リスクの重大性を評価するために目安とする条件

正解と解説

正解は”イ”

リスクレベルとは、リスクの影響度と発生する可能性の組み合わせで表現されるリスクの大きさです。

平成31年度春期問42

基本情報技術者
午前試験 平成31年度春期問42

不正が発生する際には”不正のトライアングル”の3要素全てが存在すると考えられている。”不正のトライアングル”の構成要素の説明として,適切なものはどれか。

ア ”機会”とは,情報システムなどの技術や物理的な環境,組織のルールなど,内部者による不正行為の実行を可能又は容易にする環境の存在である。

イ ”情報と伝達”とは,必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられるようにすることである。

ウ ”正当化”とは,ノルマによるプレッシャなどのことである。

エ ”動機”とは,良心のかしゃくを乗り越える都合の良い解釈や他人への責任転嫁など,内部者が不正行為を自ら納得させるための自分勝手な理由付けである。

正解と解説

正解は”ア”

不正のトライアングルの構成要素は機会・動機・正当化です。

  • 機会:不正行為を行える環境にあることです。「好き勝手にシステムを触れる」「自分の他に管理する人がいない」等が当たります。
  • 動機:自分自身が抱える問題を解決するためには不正行為を行うしかないと感じることです。「過大なノルマがある」「借金がある」等が当たります。
  • 正当化:不正を行うときに感じる良心のかしゃくを乗り越えられるような理由です。「こんな状況になったのは会社が悪い」等の言い訳が当たります。

平成30年度秋期問39

基本情報技術者
午前試験 平成30年度秋期問39

JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)における真正性及び信頼性に対する定義a~dの組みのうち,適切なものはどれか。

〔定義〕
a 意図する行動と結果とが一貫しているという特性
b エンティティは,それが主張するとおりのものであるという特性
c 認可されたエンティティが要求したときに,アクセス及び使用が可能であるという特性
d 認可されていない個人,エンティティ又はプロセスに対して,情報を使用させず,また,開示しないという特性

正解と解説

正解は”イ”

a~dはそれぞれ以下の通りです。
a:信頼性
b:真正性
c:可用性
d:機密性

平成30年度秋期問40

基本情報技術者
午前試験 平成30年度秋期問40

組織的なインシデント対応体制の構築や運用を支援する目的でJPCERT/CCが作成したものはどれか。

ア CSIRTマテリアル

イ ISMSユーザーズガイド

ウ 証拠保全ガイドライン

エ 組織における内部不正防止ガイドライン

正解と解説

正解は”ア”

インシデントの対応をするチームをCSIRTと言います。JPCERT/CCは組織がCSIRTを構築する支援をする目的でCSIRTマテリアルを作成しています。

平成30年度春期問39

基本情報技術者
午前試験 平成30年度春期問39

JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)において,”エンティティは,それが主張するとおりのものであるという特性”と定義されているものはどれか。

ア 真正性   イ 信頼性   ウ 責任追跡性   エ 否認防止

正解と解説

正解は”ア”

  • 真正性:システムや情報資産にアクセスしてきたユーザがなりすまし等ではなく、本当に該当のユーザであること
  • 信頼性:情報を処理するシステムがユーザの意図した通りに動き、意図した結果となること
  • 責任追跡性:誰がどういうルートから情報資産にアクセスしたのかを追跡できること
  • 否認防止:事故が起きた時に、事故の原因となった処理や操作を行ったユーザに「私じゃない」と否定されないようにすること

真正性を難しく表現すると”エンティティは,それが主張するとおりのものであるという特性”になります。

平成30年度春期問42

基本情報技術者
午前試験 平成30年度春期問42

セキュリティバイデザインの説明はどれか。

ア 開発済みのシステムに対して,第三者の情報セキュリティ専門家が,脆弱性診断を行い,システムの品質及びセキュリティを高めることである。

イ 開発済みのシステムに対して,リスクアセスメントを行い,リスクアセスメント結果に基づいてシステムを改修することである。

ウ システムの運用において,第三者による監査結果を基にシステムを改修することである。

エ システムの企画・設計段階からセキュリティを確保する方策のことである。

正解と解説

正解は”エ”

セキュリティバイデザインとは、システムの企画・設計段階からセキュリティを確保する方針です。

平成29年度秋期問42

基本情報技術者
午前試験 平成29年度秋期問42

CSIRTの説明として,適切なものはどれか。

ア IPアドレスの割当て方針の決定,DNSルートサーバの運用監視,DNS管理に関する調整などを世界規模で行う組織である。

イ インターネットに関する技術文書を作成し,標準化のための検討を行う組織である。

ウ 企業内・組織内や政府機関に設置され,情報セキュリティインシデントに関する報告を受け取り,調査し,対応活動を行う組織の総称である。

エ 情報技術を利用し,宗教的又は政治的な目標を達成するという目的をもつ者や組織の総称である。

正解と解説

正解は”ウ”

CSIRTはセキュリティインシデントへの対応を行う組織です。

平成29年度秋期問43

基本情報技術者
午前試験 平成29年度秋期問43

リスクアセスメントを構成するプロセスの組合せはどれか。

ア リスク特定,リスク評価,リスク受容

イ リスク特定,リスク分析,リスク評価

ウ リスク分析,リスク対応,リスク受容

エ リスク分析,リスク評価,リスク対応

正解と解説

正解は”イ”

リスクアセスメントは、リスク特定→リスク分析→リスク評価で行います。

平成29年度春期問39

基本情報技術者
午前試験 平成29年度春期問39

経済産業省とIPAが策定した”サイバーセキュリティ経営ガイドライン(Ver1.1)”が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。

ア 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策

イ 自社に出資している株主が行うセキュリティ対策

ウ 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策

エ 自社の事業所近隣の地域社会が行うセキュリティ対策

正解と解説

正解は”ウ”

サイバーセキュリティ経営ガイドラインではサプライチェーンのビジネスパートナが行うセキュリティ対策にも意識すべきとあります。

基本情報に関する他の記事

基本情報技術者で学ぶべきことをまとめた記事一覧

ハードウェア ソフトウェア システム構成
ネットワーク データベース 開発手法 情報セキュリティ

情報セキュリティに関する記事

【基本情報】情報セキュリティマネジメントを過去問と一緒に全部解説!
【基本情報】共通鍵暗号方式と公開鍵暗号方式とディジタル署名を解説
【基本情報】出題されるサイバー攻撃を一気に解説!