メインメージ

情報セキュリティマネジメントとは?

ISO27001

情報セキュリティマネジメント試験は、四肢一択のマークシート方式です。
午前が基本問題で午後は応用問題の流れで構成されています。

情報セキュリティマネジメントとは、ITに関する公的な資格として、IPA(情報処理推進機構)が提供する「情報処理技術者試験」のことです。セキュリティ以外にも様々な分野の試験がある中で、脅威から継続的に組織を守るための基本的スキルを認定するのが情報セキュリティマネジメント試験です。情報セキュリティマネジメント試験はITの基礎知識が認定される国家資格であるITパスポートの上位版の位置づけにあります。情報システムを利用している部門なら、業種や職種などを問わず、必要な知識を確認でき、情報セキュリティが確保された状況の実現・維持・改善をするような人に向いた試験です。

情報セキュリティマネジメント試験の難易度と過去問

情報セキュリティマネジメント試験の難易度は、情報処理技術者試験制度のスキルレベル2【スキルレベル1(初級)〜4(中級)】に相当します。合格率は約50%で、IT技術者向けの基本情報技術者試験の合格率は約25%ですので、ハードルは低いと言えます。
情報セキュリティマネジメント試験の過去問は、情報処理技術者試験・情報処理安全確保支援士試験の過去問題(独立行政法人情報処理推進機構(IPA))のページより情報セキュリティマネジメント試験(SG)は令和元年(2019年)までのものですが、PDFファイルでダウンロードできます。その他、試験に関する内容は公式サイトに記載がありますので、実際に試験を受ける際には参考にすると良いでしょう。

ISMS(情報セキュリティマネジメントシステム)とは?

組織全体で情報セキュリティを守るために行う取り組みや仕組みの基準を国際規格で定めたものとして、ISO/IEC27000シリーズがあります。日本ではJIS Q 27000シリーズとして翻訳されたものが使われています。これらの規格で定められている基準を満たしているかを認証する仕組みとしてISMSが存在します。
ISMS(Inforamtion Security Management System)とは、「情報セキュリティマネジメントシステム」の略で運用体制を認証機関による審査で認められれば取得できる国際規格で定められたものです。ISMSと似たような位置づけにあるものには、品質保証におけるISO9000シリーズや、環境保護におけるISO14000シリーズなどがあります。

ISO27001(情報セキュリティ)ISMS認証とは?

ISO27001(情報セキュリティ)ISMS認証とは、情報セキュリティに関する国際規格の1つで、上記で記した情報セキュリティマネジメントシステム(ISMS)取り組みのことを示します。企業がISO27001に準拠しているかを第三者機関が認定する仕組みとして、「ISMS適合性評価制度」という制度があります。当社もISO27001に準拠した情報セキュリティ対策を施策しており、「情報セキュリティ基本方針」でも記しているように、継続的に改善を行っております。

情報セキュリティポリシー(基本方針)

当社の情報セキュリティ基本方針は、お客様企業に当社サービスを安心してご利用いただくために、ISO27001に準拠した情報セキュリティ対策を策定し、継続的に改善を行っています。

情報セキュリティポリシーとは情報セキュリティに関する自組織の基本的な考え方を示したものです。一般的には「基本方針」「対策基準」「実施手順」から構成されています。中小企業などでは策定されていない場合がありますが、これがないと情報セキュリティ対策が統一されず、適切な管理ができません。組織全員が対策を的確に実行するために、共通ルールとして「文書で定める」ことが必要です。内容は組織によって当然異なりますが、取り扱う情報や商品、環境に応じてリスクは異なり、全て対策しようとすると費用も時間も掛かります。そこで、組織に合わせた情報セキュリティポリシーを策定し、リスクの大きなものから重点的に対策を実施します。情報セキュリティポリシーは、一度策定して終わりではありません。時代の流れによって組織を取り巻く環境は変化するため、新たな攻撃手法が発見されることもあります。更新を繰り返すことで、時代に合わせたセキュリティポリシーを策定できます。

情報セキュリティ対策ガイドライン

情報セキュリティ対策に関するガイドラインは、公的機関などの団体による資料がインターネットで公開しているものも存在します。一部をご紹介しますので下記の表をご覧ください。企業が情報セキュリティガイドラインを策定する際には、政府や地方自治体た行政団体が一般的な観点で策定しているガイドラインも参考にすると良いでしょう。

カテゴリ ガイドライン 団体名
サイバーセキュリティ サイバーセキュリティ経営ガイドライン IPA(独立行政法人 情報処理推進機構)
サイバーセキュリティ経営ガイドライン 経済産業省
中小企業 中小企業の情報セキュリティ対策ガイドライン IPA(独立行政法人 情報処理推進機構)
テレワーク テレワークセキュリティガイドライン 総務省
個人情報 電気通信事業における個人情報保護に
関するガイドライン
総務省
スマートフォン スマートフォン&タブレットの業務利用に関する
セキュリティガイドライン
一般社団法人 日本スマートフォンセキュリティ協会(JSSEC)

情報セキュリティリスクの要因

脅威と脆弱性と資産の関係図

情報資産には損害を受けてしまう脅威と弱点である脆弱性が存在します。
2つの関係性を理解し対策をすることで情報資産を守ることが出来ます。

情報セキュリティのリスクは「脅威」と「脆弱性」が存在します。情報セキュリティインシデントは「脅威」が「脆弱性」をつくことで発生します。インシデントとは事件のことで、アクシデントとは事故のことです。情報セキュリティの分野では事件(ミス)はしたが、事故には至らなかったことをインシデントと言います。情報セキュリティインシデントが発生しアクシデントに繋がると「情報資産」が損なわれるといった被害を受けます。情報セキュリティの目的は情報資産を守ることです。個人及び法人の情報資産は「情報システム」「ネットワーク」「ハードウェア(パソコン・サーバ・通信機器など)」「ソフトウェア(OS・アプリケーションなど)」「データ(財務情報、経営情報、顧客情報(個人情報)、技術情報など」様々な情報資産を持っています。情報セキュリティを確保するには、脅威と脆弱性を放置せずに、対応が必要です。

情報セキュリティの脅威

情報資産に対しては常に脅威が存在します。例えば、インターネットバンキングで口座のお金を盗まれる、インターネットショッピングで個人情報やクレジットカード番号などが盗まれるといった可能性があります。企業の情報システム内の重要情報を盗まれたり、システムを破壊されたりする可能性があります。つまり、脅威とは、情報資産に対して何らかの損害を与える可能性のことです。
脅威は「外的脅威」と「内的脅威」に分かれます。外的脅威はウイルス、マルウェア、ランサムウェア、不正アクセスなどで、内的脅威はモラルの欠如(SNSでの誹謗中傷、非道徳的な従業員や上司の言動など)の要因が挙げられます。

情報セキュリティ10大脅威

情報セキュリティ10大脅威とは、IPA(独立行政法人情報処理推進機構)が毎年、社会的に影響度が大きかったと考えられるセキュリティにおける事案から脅威候補を算出し、情報セキュリティの研究者や企業の実務担当者が審議・投票を行い決定したものです。当社のセキュリティサービスも情報セキュリティ10大脅威に合わせて、「予防」「検査」「検知・防御」の各段階に分類し対応しています。

情報セキュリティの脆弱性

脅威が存在しても、十分な対策が行われていなければセキュリティインシデントは発生します。例えば、窓に鍵があっても施錠していなければ、泥棒に侵入されてしまうということです。脅威に狙われるセキュリティインシデントへつながるような弱点のことを脆弱性と言います。システムプラットフォーム層やアプリケーション層に脆弱性が存在するか確認するためには、脆弱性診断を実施する必要があります。脆弱性診断を実施し結果を確認したあと、講じるべき対策を実施することでセキュリティ対策が実現できます。

情報セキュリティに取り組む目的

企業や団体が情報セキュリティに取り組む目的は、セキュリティにおける脅威と脆弱性が存在するためです。リスクアセスメント(特定・分析・評価)をすることで講じるべき対策が見えてきます。また情報セキュリティの可用性を意識する上で、災害に備えてシステムバックアップを実施することも必要です。

情報セキュリティリスクの評価モデル

当社では、情報セキュリティにおいてもっとも有名なリスクモデル(NIST SP800-30)を応用し、適正な診断方法をデザインし、提案する取組みを行っています。

適正な脆弱性診断とは

当社では適正な脆弱性診断を「費用対効果の経済性が成り立つもの」として定義しています。
想定される負の影響に見合った診断=適正な診断
例:金融系アプリケーションは、悪用された場合の負の影響が多いため、十分に費用をかけて診断を行う。

脆弱性診断サービス/ペネトレーションテスト

プラットフォーム脆弱性診断

SiteScan 2.0

業界標準CVSS/CVEに準拠した検査エンジンによるネットワーク・OS・ミドルウェアの脆弱性診断を行います。またお客様が診断したいタイミングでWeb管理画面からボタン一つでスケジュール設定が可能です。「ネットワークの脆弱性が心配」または「OSのバージョン管理が大変」などの課題を抱えるお客様におすすめです。

Webアプリケーション脆弱性診断

WebSiteScan

Webアプリケーション脆弱性診断のWebSiteScanは、お客さまのWebサイトをリモートで診断を行うサービスです。SaaS型サービスなので、お客さまはソフトウェアやハードをご購入いただく必要はございません。オンデマンドによるご提供となっているため、お客さまのご利用されたいタイミングに合わせてスケジュール設定も可能、診断終了後に即時診断レポートを発行いたします。 「コーポレートサイトを費用を抑えて診断したい」「開発時に手早く検査したい」などのお客さまにおすすめです。

セキュリティ診断・脆弱性手動診断サービス

WebSiteScan Pro

脆弱性手動診断サービスのWebSiteScan Proは、ツール診断と併せて専門のエンジニアの手動診断により、ツール診断ではカバーしきれないセッション管理系の脆弱性診断も行います。 「ECサイトのセキュリティを対策したい」「大量の個人情報を扱っている」などのお客さまにおすすめのセキュリティ診断サービスです。

モバイルアプリ向け脆弱性診断サービス

AppChecker

AppCheckerは、手間がかからないツール診断でありながら、より安全なモバイルアプリの実現のために2つのタイプの分析を行います。自動化分析ツールによって静的解析と基本的な動的分析を行った後、専門家による手動分析を行います。模擬ハッキングの手法に基づく実用的な分析や、OWASP Mobile Top 10と金融レベルのセキュリティ基準を中心にした分析により、本当に危険な要素は何かを把握できます。しかも分析レポートはすばやく、最短5営業日でご提供いたします。

モバイルアプリ向け脆弱性手動診断サービス

AppChecker Pro

ハッキングコンテストで優秀な成績を持つ企業との協業によりモバイルアプリに対する高い技術力をベースにしたワールドクラスの脆弱性手動診断を提供します。国内外での豊富な実績と金融向けアプリを想定した診断作業における高い信頼性が評価をいただいています。また、わかりやすく、実用性の高いレポートと、診断結果に対する対応ガイドだけではなく、指摘した脆弱性が正しく直っているかまで再度診断でフォローします。

ペネトレーションテスト

外部/内部、PCI DSS向け(ネットワーク、アプリケーション)、
組込みシステム向け

ペネトレーションテストはネットワークに接続されているシステムに対して様々な技術を駆使して侵入を試みることでシステムにセキュリティ上の脆弱性が存在するか、また見つかった脆弱性が悪用されてしまう危険性があるかなどをテストをします。

システム運用とは?

システム運用の大まかな定義は24時間365日、問題なくシステムを稼働させるための業務です。システムを構成しているサーバやネットワーク機器はコンピュータで精密機器のため、突然故障する可能性もあります。それがシステム障害の原因になるため、エンジニアが障害を未然に防止するような対策や業務を行ったりバックアップをとるようなシステム構成を考えたり、様々な知識や技術を用いながらシステム運用の業務に取り組んでいます。従ってシステム運用とは、システムの正常状態を維持し、状況に合わせて変化、拡張させることを意味します。

MCSSP

アイティーエムはシステムマネジメント事業を主軸とするMSP事業者です。当社が考えるMSPは「MCSSP」と呼び、新しいシステムマネジメントサービスの形態です。
MCSSP = 「MSP(Managed Service Provider)」+「CS(Cloud & Security)」
従来から存在するMSP(Managed Service Provider)事業をベースとして、昨今のIT環境にて特に注目されている「クラウド利用」と「セキュリティ対策」をより強化したサービスでお客様の安心・安全で、快適なシステム運用をご支援します。
詳しくは下の画像をクリックしサービスサイトをご覧ください。