さぁ、いよいよ今回でITパスポート講座はラストっすよ。
ここまで長かったけど終わるとなるとなんか寂しいね。あれ?目から汗が。
ITパスポート合格者は、ITの「わかる人材」として、組織の中での業務推進や変革の土台になる存在っす。専門職でなくとも、あらゆる職種でITリテラシーを持つことが求められる現代において、合格者には ITを軸に「考える」「提案する」「実践する」力が期待されてるっす。
これからITパスポート試験に挑む人たちには、単なる知識の習得以上に、ITを活用して業務改善や効率化、問題解決ができる基礎的な素養を養ってほしいっす。
くそお世話になりました~!
| 目標 | ・情報セキュリティ管理に関する考え方,情報セキュリティ管理策の基本を理解する。 |
| 説明 | ・情報セキュリティ管理と個人情報保護の目的や基本的な考え方を理解する。 ・組織内外の代表的な情報セキュリティ組織・機関,及び関連する制度を理解する。 |
情報セキュリティ管理
情報セキュリティ管理とは、組織内の情報資産(データ・システム・ネットワークなど)を守るための管理活動全般を指します。情報の漏えいや改ざん、破壊、サービス停止などのリスクから守ることが目的で、主に情報セキュリティの3要素(機密性・完全性・可用性)を確保・維持することを基本としています。
情報セキュリティマネジメントシステム(ISMS)
情報セキュリティ管理を組織的・継続的に運用する仕組みを情報セキュリティマネジメントシステム(ISMS:Information Security Management System)と呼びます。
情報セキュリティの脅威や脆弱性は変化するため、一度きりの対策では不十分です。定期的な見直し・改善により、新たなリスクに柔軟に対応できる体制を維持する必要があるため、一般的にPDCAサイクルによる継続的改善が採用されています。
| 段階 | 説明 | 内容 |
|---|---|---|
| Plan (計画) | 情報セキュリティ方針、目的、リスクアセスメント、対策の選定と計画を立てる | ・情報資産の洗い出し ・リスク評価 ・セキュリティ目標の設定 ・ISMS運用計画の策定 |
| Do (実行) | 計画で立てた内容を実施する | ・セキュリティ対策の実施 ・教育・訓練の実施 ・手順書やガイドラインに従った運用 |
| Check (確認) | 実行した結果を評価・監視する | ・ログの確認や監査 ・セキュリティインシデントの記録 ・内部監査の実施 |
| Act (改善) | 確認結果をもとに改善措置を講じる | ・是正措置・予防措置の実施 ・方針や手順の見直し ・管理策の強化 |
情報セキュリティポリシー(情報セキュリティ方針)
企業や組織が情報セキュリティの基本方針やルールを明文化した文書のことを情報セキュリティポリシーと呼びます。情報セキュリティポリシーは情報資産を守るための出発点であり、ISMS(情報セキュリティマネジメントシステム)運用の基礎になります。
多くの組織では以下の3層構造で定めます。
| 名称 | 説明 | 内容 |
|---|---|---|
| 基本方針(経営者レベル) | 情報セキュリティに関する組織全体の姿勢・方針 | ・「当社は情報資産を保護し、業務継続性を確保します」 ・「全社員はこの方針を理解し、遵守するものとします」など |
| 対策基準(管理部門) | 実施すべき情報セキュリティ対策の範囲と方向性 | ・アクセス制御を実施する ・ウイルス対策ソフトを導入する ・パスワードは8文字以上など |
| 実施手順(担当者) | 現場で実際に行う作業手順や運用ルール | ・入退室記録の記入方法 ・PCの持ち出し申請手順 ・USBメモリの使用ルールなど |
JIS Q 27001
JIS Q 27001は、日本産業規格(JIS)として採用された、情報セキュリティマネジメントシステム(ISMS)に関する国際規格 ISO/IEC 27001の日本語版です。JIS Q 27001は、組織が情報セキュリティ管理を体系的に構築・運用・評価・改善するためのフレームワークを提供します。この規格に基づき ISMSを構築・運用することで、情報資産に対するリスクを適切に管理できる体制を整えられます。
- リスクベースのアプローチ:特定の脅威に対し、組織に最適な管理策を選定。
- 継続的改善(PDCA):ISMSは計画→実行→評価→改善のサイクルで回す。
- トップマネジメントの関与:組織の上層部が関与・コミットすることが必須。
- 外部監査・認証の対象:JIS Q 27001に準拠することで、第三者機関によるISMS認証を受けることができる。
情報セキュリティマネジメントシステム(ISMS)にクラウドサービス特有のセキュリティ要件を加えた認証制度をISMSクラウドセキュリティ認証といいます。通常のISMSの範囲に加えて、クラウド特有の管理策(ISO/IEC 27017)への適合性も審査対象となります。
クラウドサービスを提供する事業者、およびクラウドを利用する組織が対象で、クラウド固有のリスク(データの所在不明、契約・責任の不明確さなど)への対処能力を証明することにより、クラウドサービスの安全性・信頼性を対外的に示すことができます。
トップマネジメントは、組織の情報セキュリティ方針を確立・実施・維持し、次の要件を満たす必要があります。
- 組織の目的に適していること
組織のビジネスや戦略に沿った内容であること。 - ISMSの継続的改善へのコミットメントを含むこと
PDCAサイクルの「A:改善」に対応。 - 適用される法令・規制・契約上の要求事項を満たすこと
ISO基準、法律、契約などへの適合性を明記。 - 文書化された情報として利用可能であること
書面で明確にし、必要な関係者がアクセス可能な状態にする。 - 組織内で伝達され、理解されていること
社員など内部関係者に周知し、単なる掲示でなく“理解”を促す。 - 必要に応じて利害関係者に提供されること
顧客、取引先などからの要請に応じて提供可能な状態にある。
個人情報保護
個人情報は「その人自身を表す情報」であり、漏えい・悪用されることで重大な被害が発生する可能性があります。情報セキュリティはその保護を支える仕組みであり、企業も個人も責任をもって取り組む必要があります。
プライバシーポリシー(個人情報保護方針)
プライバシーポリシーとは、企業や団体が個人情報をどのように収集・利用・管理・保護するかを明記した文書です。Webサイトなどでユーザーから情報を取得する場合には公開が必須です。
日本では個人情報保護法により、プライバシーポリシーの明示が義務づけられています。
安全管理措置
安全管理措置は、個人情報を適切に保護するための組織的・技術的な管理対策のことです。個人情報保護法では、事業者に対してこの実施が求められます。中小企業でも対応義務があり、 ガイドラインも公表されています。
プライバシーマーク制度
プライバシーマーク制度は、企業や団体が適切に個人情報を取り扱っていることを第三者が認定し、その証として「プライバシーマーク(Pマーク)」の使用を許可する制度です。これは日本独自の制度で、特に民間企業による個人情報保護の信頼性を可視化するために活用されています。
情報セキュリティ組織・機関
情報セキュリティ組織
情報セキュリティ組織は、企業や組織が情報セキュリティを計画的かつ継続的に管理・運用するために設置する体制です。中でも重要な役割を果たすのが以下の3つの組織です。
情報セキュリティ委員会
情報セキュリティ全般に関する方針・計画・対策の決定と統制を行うCIOを中心とした会議体で、経営層と現場の橋渡し的な役割も担います。方針・規程の策定、セキュリティ教育の企画、監査・点検の実施、事故報告と対応指針などが主な業務です。
CSIRT(シーサート)
サイバー攻撃・情報漏えい・マルウェア感染などのインシデントに対応する専門チームです。セキュリティ事故の発生時に影響範囲を調査して、被害拡大を防止するための対策実施を支援します。
日本では国内CSIRTの調整機関である「JPCERT/CC(コーディネーションセンター)」が代表的っすね。
SOC(ソック:Security Operation Center)
24時間体制でネットワークやシステムのセキュリティ監視・分析を行う専門組織です。SOCは専門知識と高額な設備が必要なため、多くの企業が外部のSOCサービスを利用しています。
情報セキュリティ機関
日本における情報セキュリティ機関の中でも、経済産業省およびIPA(情報処理推進機構)が関与している代表的な2つの組織として、「J-CSIP(ジェイ・シップ)」「J-CRAT(ジェイ・クラート)」があります。
J-CSIP(サイバー情報共有イニシアティブ)
サイバー攻撃に関する情報を官民で共有する仕組みで、IPA(情報処理推進機構)が中心となり、企業間の情報連携と対策支援を目的に開始されました。主に重要インフラ関連企業や重要インフラで利用される機器の製造業者などが参加対象となり、民間企業が安心して脅威情報を共有できる環境を作ることを目的としています。
J-CRAT(サイバーレスキュー隊)
標的型攻撃などによる深刻な被害が発生した企業に対して、IPAが直接支援を行う専門チームで、「日本の企業をサイバー攻撃から救助(レスキュー)する」ことがミッションです。
大企業は自力対応可能と見なされることが多いため、主に中堅・中小企業が対象で、標的型攻撃・ランサムウェア感染などで深刻な被害が生じた場合に限り対応します。
被害の深刻度や公益性に基づいて、IPAが支援の可否を判断します。事前登録不要で、緊急時にIPAに相談が可能です。
情報セキュリティに関連する届出制度
情報セキュリティに関する届出制度(IPAが受け付け窓口となる代表的な制度)には次のようなものがあります。
コンピュータ不正アクセス届出制度
不正アクセス行為(不正アクセス禁止法違反)が発生した場合に、その事例をIPAに届け出る制度で、事案の蓄積と対策強化を目的としています。被害の有無にかかわらず、行為が確認された段階で届出可能です。
コンピュータウイルス届出制度
新種または亜種のコンピュータウイルスを発見した場合に、IPAに情報提供を行う制度です。提出ファイルの静的解析・動的解析によってウイルスを特定・命名し、セキュリティベンダーとの情報共有を行います。
ソフトウェア等の脆弱性関連情報に関する届出制度
ソフトウェアやWebアプリケーションの脆弱性を発見した場合に、開発者に適切な対応を促すためにIPAへ届出を行う制度です。日本国内で発見されたソフトウェアやハードウェアの脆弱性情報を、適切かつ安全に関係機関へ届け出て、悪用される前に修正・公表・対処するための公的な仕組みです。
修正対応完了後は、JVN(Japan Vulnerability Notes)で公表されます。
JVN(Japan Vulnerability Notes)は、日本国内で利用されているソフトウェアや製品の脆弱性情報(セキュリティ上の欠陥)を公開・共有するための脆弱性情報ポータルサイトです。ソフトウェアや機器の脆弱性情報の公開・周知・注意喚起を行い、情報セキュリティ事故を未然に防ぐことを目的としています。
試験に挑む皆さんへのメッセージ
私から試験に挑む皆さんへの最後のメッセージです。
合格に必要なのは「才能」よりも「継続」です。最後まであきらめずに、あなたのペースで一歩ずつ前へ進んでください。一日15分でも、続けた人が合格を手にします。わからないことは調べ、理解したことは誰かに説明してみる。そんな小さな習慣の積み重ねが試験当日の自信につながります。
努力は裏切りません。あなたならきっと大丈夫です!この挑戦があなたの可能性を広げるきっかけとなりますように。
応援してるっすよ!
確認○×問題
ISMSの運用にPDCAモデルを採用している組織において、サーバ監視に関する次の作業を実施する。このとき、各作業とPDCAモデルの各フェーズの組合せは以下で示すとおりである。
[作業](1) サーバ監視の具体的な目的及び手順を定める。
(2) サーバ監視の作業内容を第三者が客観的に評価する。
(3) 定められている手順に従ってサーバを監視する。
(4) 発見された問題点の是正処置として、サーバの監視方法を変更する。
| P | D | C | A |
|---|---|---|---|
| (1) | (3) | (2) | (4) |
(出典:令和7年度春期分 問83一部改変)
答え:〇
情報セキュリティの脅威や脆弱性は変化するため、一度きりの対策では不十分です。定期的な見直し・改善により、新たなリスクに柔軟に対応できる体制を維持する必要があるため、一般的にPDCAサイクルによる継続的改善が採用されています。
| 段階 | 説明 | 内容 |
|---|---|---|
| Plan (計画) | 情報セキュリティ方針、目的、リスクアセスメント、対策の選定と計画を立てる | ・情報資産の洗い出し ・リスク評価 ・セキュリティ目標の設定 ・ISMS運用計画の策定 |
| Do (実行) | 計画で立てた内容を実施する | ・セキュリティ対策の実施 ・教育・訓練の実施 ・手順書やガイドラインに従った運用 |
| Check (確認) | 実行した結果を評価・監視する | ・ログの確認や監査 ・セキュリティインシデントの記録 ・内部監査の実施 |
| Act (改善) | 確認結果をもとに改善措置を講じる | ・是正措置・予防措置の実施 ・方針や手順の見直し ・管理策の強化 |
ISMSにおける情報セキュリティ方針とは、個人情報を取り扱う部門を対象として、個人情報取扱い手順を規定したものである。
(出典:令和5年度春期分 問94一部改変)
答え:×
設問の文章はプライバシーポリシー(個人情報保護方針)の説明となります。ISMSにおける情報セキュリティ方針とは「情報セキュリティに対する組織の意図を示し、方向付けしたもの」です。
情報セキュリティポリシーを、基本方針、対策基準及び実施手順の三つの文書で構成したとき、これらに関する以下の説明のうち、適切なものは2つある。
- 基本方針は、経営者が作成した対策基準や実施手順に従って、従業員が策定したものである。
- 基本方針は、情報セキュリティ事故が発生した場合に、経営者が取るべき行動を記述したマニュアルのようなものである。
- 実施手順は、対策基準として決められたことを担当者が実施できるように、具体的な進め方などを記述したものである。
- 対策基準は、基本方針や実施手順に何を記述すべきかを定めて、関係者に周知しておくものである。
(出典:平成31年度春期分 問85一部改変)
答え:×
- 誤り。記述が逆です。基本方針が最上位であり、経営者が作成します。対策基準や手順書はその下位に位置します。
- 誤り。具体的な行動方法は実施手順に定めます。基本方針は、情報セキュリティに関する組織全体の姿勢・方針を示すものです。
- 正しい。実施手順は、現場で担当者が実際に行う作業手順や運用ルールを定めたものです。
- 誤り。対策基準は基本方針を実現するためのルール(守るべき内容)であり、手順書の記載内容を定めるものではありません。
以上より、適切な記述は3.の1つのみとなります。
以下のISMSにおける情報セキュリティ方針に関する記述として、適切なものは2つある。
- 機密事項が記載されているので、伝達する範囲を社内に限定する必要がある。
- 情報セキュリティ対策は一度実施したら終わりではないので、 ISMSを継続的に改善するコミットメントを含める必要がある。
- 部門の特性に応じて最適化するので、 ISMSを適用する組織全体ではなく、部門ごとに定める必要がある。
- ボトムアップを前提としているので、各職場の管理者によって承認される必要がある。
(出典:令和7年度春期分 問84一部改変)
答え:×
- 適切でない。情報セキュリティ方針は社内外に対して広く公表することが求められるため、機密事項を含めてはいけません。
- 適切。ISMSにおける情報セキュリティ方針は、組織のトップマネジメントが策定し、継続的改善の考え方を明確に示す必要があります。
- 適切でない。方針は組織全体に共通のものであるべきで、必要に応じて各部門に対する方針の適用方法を補足する形になります。
- 適切でない。情報セキュリティ方針は、トップマネジメントが承認しなければなりません。
以上より、適切な記述は2.の1つのみとなります。
ISMSクラウドセキュリティ認証とは、クラウドサービスで保管されている個人情報について、適切な保護措置を講じる体制を整備し、運用していることを評価して、プライバシーマークの使用を認める制度である。
(出典:令和5年度春期分 問56一部改変)
答え:×
設問の文章はプライバシーマーク制度に関する説明です。プライバシーマーク制度は、日本国内において個人情報保護に関する適切な体制を整備・運用している事業者を認定する制度です。個人情報保護に対する信頼の証として、消費者や取引先に対してアピールできるマークです。
なお、ISMSクラウドセキュリティ認証とは、情報セキュリティマネジメントシステム(ISMS)にクラウドサービス特有のセキュリティ要件を加えた認証制度です。クラウドサービス固有の管理策が適切に導入、実施されていることを認証するものです。
CSIRTとして行う活動の例として、「セキュリティ事故の発生時に影響範囲を調査して、被害拡大を防止するための対策実施を支援する」といったことが挙げられる。
(出典:令和7年度春期分 問68一部改変)
答え:〇
記述の通りです。CSIRT(シーサート)は、サイバー攻撃・情報漏えい・マルウェア感染などのインシデントに対応する専門チームです。
主に標的型攻撃などによる深刻な被害を受けた企業に対して、マルウェア解析や復旧支援などの実動支援を行う『サイバーレスキュー隊』と呼ばれる組織はJ-CSIPである。
答え:×
J-CSIP(サイバー情報共有イニシアティブ)は、サイバー攻撃に関する情報(攻撃手口、マルウェア、IPなど)を官民間で共有することで、被害の未然防止や早期対応を可能にする仕組みです。
なお、設問における組織はJ-CRAT(サイバーレスキュー隊)です。重大なサイバー攻撃(標的型攻撃など)を受けた企業に対し、マルウェア解析・復旧支援などを行うサイバーレスキュー部隊です。
JPCERTコーディネーションセンターと情報処理推進機構(IPA)が共同運営するJVN(Japan Vulnerability Notes)で、「JVN#12345678」などの形式の識別子を付けて管理している情報は「ウイルス対策ソフトの定義ファイルの最新バージョン情報」である。
(出典:平成30年度春期分 問82一部改変)
答え:×
JVN(Japan Vulnerability Notes)は、日本国内で利用されているソフトウェアや製品の脆弱性情報(セキュリティ上の欠陥)を公開・共有するための脆弱性情報ポータルサイトです。ここで管理している情報は「ソフトウェアなどの脆弱性関連情報とその対策」です。
