fhhm’s blog

情報処理安全確保支援士の試験勉強のまとめ。基礎的な部分だけまとめてみようと思う。『情報処理教科書 情報処理安全確保支援士 2026年版』をベースにしている。

情報処理教科書 情報処理安全確保支援士 2026年版 | 翔泳社

信頼と実績で選ばれ続ける。圧倒的支持率の定番対策書！ 過去の試験傾向を分析し、合格に必要な知識を網羅。 セキュリティの専門家がわかりやすく解説するので、 基礎項目から最新傾向問題まで効率的に学び合格が目指せます。 【本書の特徴】 ・本試験の最新傾向を徹底分析 ・幅広い出題範囲を丁寧に解説 ・実際の試験形式で理解度を確認するために、節のテーマに沿った確認問題を掲載 ・旧SC試験を含めた23回分の過去問題解説をWebダウンロード ・令和7年10月試験の解答・解説をWebで提供 ・チェックシートで直前の総仕上げもバッチリOK ・2色刷りで読みやすい紙面 【シリーズ累計310万部超の人気No.…

https://www.shoeisha.co.jp

今回は情報セキュリティ、情報セキュリティマネジメントについてをまとめる。

• ISO/IEC 27000ファミリーでは、情報セキュリティを情報の機密性、完全性及び可用性を維持すること。さらに真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもあると定義している
  ISO/IEC 27000ファミリーとは？

  ℹ️

  ISO(国際標準化機構: International Organization for Standardization)と、IEC(国際電気標準会議: International Electrotechnical Commission)が共同で策定する国際規格のこと。

  ISO/IECは、主に情報技術、情報セキュリティ、通信/電気/電子分野などについて、国や企業を超えた共通のルールを標準化している。

  ISO/IEC 27000ファミリーとは、ISO/IECが策定した情報セキュリティマネジメントシステム(ISMS)に関する国際規格群の総称のこと。

• 情報セキュリティは下記の二つに大別できる
  • 物理的セキュリティ: 建物や設備を対象とする
    • e.g. 耐震設備、電源設備、入退室管理設備、災害に備えたバックアップ設備
  • 論理的セキュリティ: 物理的セキュリティ以外の全て
    • システム的セキュリティ: システムやネットワークにおける技術的なセキュリティ
      • e.g. アクセス制御、暗号化、マルウェア対策
    • 管理的セキュリティ: 組織やシステムの運用管理面におけるセキュリティ
      • e.g. 情報セキュリティポリシーの策定、運用、監査、見直し
    • 人的セキュリティ: 人に起因することに対するセキュリティ(管理的セキュリティに含められることもある)
      • e.g. 雇用/委託契約におけるセキュリティ、教育、ポリシー違反の懲戒手続き

• 情報セキュリティの主な特性として機密性、完全性、可用性がある
• システムの性質によって求められるレベルや優先順位は異なる
• 情報資産の価値や性質、利用者のニーズを正しく認識し、それに応じて各特性を適切なレベルで確保維持することが重要

• ある情報資産へのアクセスに対して、権限者だけが許可された範囲で活動できるようにすること
  • 📝 見せてはいけない人に見せないこと
• アクセス制御や認証などを使って実現する
• 権限者は人間だけでなくプログラムも含まれる

• データの正当性、正確性、網羅性、一貫性を維持すること
  • e.g. あるデータの処理過程(入力、編集、保存、削除など)で欠落や重複、改ざんなどが発生せずに正しく処理される
  • 📝 正しい人が正しい手順で正しい内容にだけ変更できること

• システムが必要なときに、いつでも正常なサービスを提供できる状態を維持すること
  • 📝 使いたいときにちゃんと使えること
• 設備の多重化やリソースの確保などで実現する

• 利用者、プロセス、システム、情報などが主張どおりであることを確実にすること
  • 📝 なりすましでないこと
• 生体情報や証明書で対象者を識別することなどで実現する

• 利用者、プロセス、システムなどの動作について、主体と動作内容を追跡できることを確実にすること
  • 📝 誰が何をしたかを、あとから特定できること
• 下記などによって実現する
  • 主体(利用者など)を一意に識別できる仕組み
  • 入退室記録、アクセス状況、ログ

• ある活動や事象が起きたことを、後から否認されないように証明できること
  • 📝 あとから『やっていない』と言えないようにすること
• 真正性、責任追跡性を適切に確保しつつ、証跡の完全性を確保する

• 実行した操作や処理の結果に矛盾がないことを確実にすること
  • 📝 システムや情報が、期待どおり正しく動き続けること
• 信頼性の高い設備を用いる、テストを強化してバグや脆弱性の発見/対処を行う

• 情報セキュリティ対策には下記に挙げる機能があり、各対策は少なくとも一つ以上の機能を持っている
• 対策としての効果を高めるには、それぞれの対策についてよく認識し、特定の機能に偏りすぎないように注意する
• 情報セキュリティの特性と同様に、対象となる脅威によって比重をかけるべき機能は異なる

• 不正行為を思いとどまらせるように働きかけ、問題を未然に防ぐこと
  • 📝 悪いことをしようと思わせない
• 未知の攻撃者に対しては難しいので、対象は社員など内部の人間となる
• 情報セキュリティポリシーの策定や運用、監査、ネットワークの監視などが該当する
  • 監視は実際に行わなくても社員に告知するだけでも抑止/抑制となる(用法用量に注意は必要)

• 組織、システムなどの脆弱な部分に対して、対策を行うこと
  • 📝 そもそも起こさせない
• 本来、抑止/抑制も予防/防止に含まれるが、人間の意識以外の要素に働きかけるものをとして区別している
• 機器の定期保守、脆弱性検査、バージョンの最新化、認証の強化などが該当する

• サイバー攻撃や内部犯罪を速やかに発見/通知するとともに、その原因や影響範囲の特定に必要な情報を取得/保全することで、問題の拡大を防ぎ損害を最小限に抑えること
  • 📝 起きたことに気づき、原因をたどれる
• マルウェアの常時検査、ログ取得/分析、サイバー攻撃の監視/記録、重要な資産を扱う場所への監視カメラ設置などが該当する

• サイバー攻撃や内部犯罪、機器障害等によって発生した問題に対して、正常な状態に復旧させること
  • 📝 壊れても元に戻せる
• バックアップの取得/保存、復旧手順書の整備、不測事態発生時の体制の明確化などが該当する

• 情報セキュリティマネジメントとは、明確な方針や規定に基づいて、組織の情報資産の機密性、完全性、可用性などの特性を適切に維持/管理することと定義できる
• ISMS(Information Security Management System)とも呼ばれる
• PDCAサイクルによって継続的に推進されることが望ましい
  • Plan: 推進計画の立案、ポリシーの策定、リスクアセスメントの実施など
  • Do: 対策の実施/運用、教育、不正アクセスの監視など
  • Check: ポリシー遵守状況の評価、ポリシーの適切性監査など
  • Act: ポリシーの見直し、問題箇所の是正など

• ISMSに関する国際規格はISO/IEC 27000 - 27007、TR 27008, 27010, 27011などからなるISO/IEC 27000ファミリーと呼ばれている
  • 特に、ISO/IEC 27001, 27002が重要

• 下記が規定されている
  • 組織がISMSを確立/実施/維持/継続的な改善を行うための要求事項
  • リスクアセスメント、リスク対応を行うための要求事項
• JIS Q 9000ファミリー(品質マネジメントシステム: QMS)、JIS Q 14000ファミリー(環境マネジメントシステム: EMS)などのマネジメントシステム規格(MSS)との整合が図られている
  • これによって、ISO/IEC 27001: 2022を採用することで、複数のマネジメントシステムの運用を統合し、効率的に行うことができる

• 組織がISMSを実践するための規範となるガイドライン
• 下記の4カテゴリを持つ
  • 組織的管理策
  • 人的管理策
  • 物理的管理策
  • 技術的管理策

• 日本ではISMS適合性評価制度の概要が2001年から開始された
• ISMS適合性評価制度は情報マネジメントシステム認定センター(ISMS-AC)が主管している
  • 審査は、ISMS-ACから認定を受けた認証機関が行う
  • 審査員への資格付与は、ISMS-ACから認定を受けた要員認証機関が行う

情報マネジメントシステム認定センター「ISMS適合性評価制度の概要（パンフレット）」

• 一度認証を取得すればよいわけではなく、サーベイランス審査(継続審査)や再認証審査を定期的に受ける必要がある

上原孝之. 情報処理教科書 情報処理安全確保支援士 2026年版. 翔泳社

1. 管理策を実施する
   1. 対策基準、実施手順に沿って管理策を実施する
2. ISMSの浸透を図る
   1. 適用対象者全員にISMSを浸透させるための方策の検討/実施をする(e.g. 教育の実施、ハンドブックの配布)
3. 記録を収集する
   1. 実施に伴う記録を収集し、ISMS運用状況を確認する
   2. 記録は審査での重要な証拠書類となる
4. 内部監査を実施する
   1. 運用開始後、一定期間経過した後に内部監査を実施し、問題箇所の改善を図る
   2. ISMSの運用によって業務に支障が出たり、不満が上がることが想定されるため、ヒアリングを行う

• 情報セキュリティには物理的セキュリティと論理的セキュリティがある
• 論理的セキュリティにはシステム的セキュリティと管理的セキュリティ、人的セキュリティがある
• 情報セキュリティには機密性と完全性、可用性という特性がある
  • システム特性などを踏まえて、各特性を適切なレベルで確保/維持することが大事
• 情報セキュリティの付加的な特性として真正性、責任追跡性、否認防止、信頼性がある
• 情報セキュリティ対策には抑止/抑制、予防/防止、検知/追跡、回復という機能がある
  • システム特性やリスクとなる脅威に応じて比重をかける
• 情報セキュリティマネジメントとは、方針に沿ってCIAなどを維持/管理すること
• ISMSに関する国際規格はいくつかあるが、中でもISO/IEC 27001, ISO/IEC 27002が重要
  • ISO/IEC 27001: ISMSの確立/運用、リスクアセスメント/リスク対応についての要求事項
  • ISO/IEC 27002: ISMSを実践するための規範となるガイドライン
• ISMSの確立までは大きく下記のステップで進める
  • 対象範囲の決定
  • 方針の決定
  • リスクの特定、分析、評価
  • 管理策の検討、決定
• ISMSの運用では管理策の実施だけではなく、浸透推進や記録収集も必要

セキュリティについて体系的に勉強したことはなかったので、どんな特性や概念、考え方があるのかはとてもためになった。

一般的にセキュリティと利便性はトレードオフであるためバランスを取らないといけない点や、システム特性を考慮して対策の優先度を変えなければいけない点、防御する側のシステムと攻撃する側の手口の両方を把握しないといけない点などを踏まえると、かなり総合力(?)が求められるなあと感じた。

ISMSの認証取得には実際どれくらいのメリットがあるのか気になった。取得をせずとも情報セキュリティを強化しようとしたときにどのような流れで進めるかは参考になりそう。

また、脅威、脆弱性、リスクの概念がそれぞれちゃんと理解できていなかったので、まとめてみた。

本の先の方ではTCP/IPやSMTPなど、これまで深く関わったことのない低レイヤーの技術についても書かれていたので、総合力を高められるように頑張って勉強していきたい。