ページに広告が含まれる場合があります。
んにちは。今回は、2025年6月実施の「データベーススペシャリスト試験」に向けて学んだ「セキュリティマネジメント」について、要点を整理していきます。
情報セキュリティはすべてのITシステムに関わる重要テーマ。ISMSやセキュリティポリシー、組織体制まで、頻出内容をおさらいしておきましょう!
情報セキュリティマネジメントとは?
情報セキュリティマネジメントとは、「情報の機密性・完全性・可用性」を守るために、体系的にセキュリティを確保する取り組み全般を指します。
● リスクアセスメントの3ステップ
情報資産に関わるリスクを分析・評価し、必要な対策を講じるプロセスです。
- 特定(リスクの認識)
どんなリスクがあるかを洗い出します。 - 分析(リスクの発生頻度・影響度の把握)
リスクの発生しやすさや影響度を数値化し、優先順位を決めます。 - 評価(対応方針の決定)
対応が必要かどうかを判断し、必要なら対策を実施します。
ISMSとは?(情報セキュリティマネジメントシステム)
ISMSは「Information Security Management System」の略で、企業が情報セキュリティを管理・運用するための枠組みです。
ガイドラインに沿って、組織的に対策を進めることが求められます。
● 情報セキュリティの7要素(CIA+4)
- C(Confidentiality:機密性)
→ 権限のない人に見られないようにする - I(Integrity:完全性)
→ 改ざんされないようにする - A(Availability:可用性)
→ 必要なときに使えるようにする
これに加えて、以下の4要素も押さえておきましょう。
- 真正性(Authenticity):本物であることを証明
- 責任追跡性(Accountability):行動の責任を追跡可能にする(ログ管理など)
- 否認防止性(Non-repudiation):あとから「やってない」と言わせない仕組み
- 信頼性(Reliability):行動と結果に矛盾がないようにする
情報セキュリティポリシーの3層構造
情報セキュリティポリシーは、総務省が提唱する3層ピラミッド構造で整理されます。
| 層 | 内容 | 特徴 |
|---|---|---|
| 基本方針 | 組織のセキュリティに対する理念 | 抽象的・上位方針 |
| 対策基準 | どのような対策を行うか | 実務上の指針 |
| 実施手順 | 実際にどのように行うか | マニュアルレベルの詳細 |
情報セキュリティ関連組織まとめ
● 情報セキュリティ委員会
- 組織内部に設置される情報セキュリティの意思決定組織
- 責任者は CISO(最高情報セキュリティ責任者)
- セキュリティポリシーの策定や社員教育を担当
● CSIRT(Computer Security Incident Response Team)
- 組織内のセキュリティインシデントに対応するチーム
- 発生した問題への迅速な対応を行う
- 国内版:ナショナルCSIRT(例:NISC)
● JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)
- 日本のCSIRT支援組織
- 提供している主なコンテンツ:
- CSIRTマテリアル:CSIRT構築のためのガイド
- JVN(Japan Vulnerability Notes):脆弱性情報を提供するポータルサイト
- インシデントハンドリングマニュアル
- 「検知」→「トリアージ(優先順位付け)」→「対応(レスポンス)」の流れを記述
● J-CRAT(Japan Cyber Rescue and Assistance Team)
- 別名:サイバーレスキュー隊
- IPA(情報処理推進機構)が運営
- サイバー攻撃の被害組織を支援・回復支援も実施
- 学習用のイラスト・資料も多数公開
● SOC(Security Operation Center)
- 外部の情報セキュリティ監視・対応を請け負う組織
- 主に民間企業により運営され、常時モニタリングとアラート対応を行う
まとめ
情報セキュリティは、DBスペシャリスト試験の午後問題にもよく出題される重要領域です。
- CIA+4の考え方
- ISMSやリスクアセスメント
- セキュリティポリシーの3段構成
- CSIRT、JPCERTなどの組織と役割
これらの知識は、試験対策だけでなく、実務にも活用できるものばかり。しっかり覚えておきましょう!
コメント