情報セキュリティ管理 ITパスポート対策テクノロジ系技術要素編⑨

リスクとは損害が発生する確率のことであり、リスクマネジメントは，リスクの特定・分析・評価・対応という流れでリスクを管理します。

リスクアセスメント

リスクを特定し、分析、評価するまでの活動をリスクアセスメントといいます。

リスク対応

リスク回避	リスクの発生原因を取り除きます。例えば、リスクとなっているソフトウェアの使用をやめるなどがこれにあたります。
リスク低減	対策をすることでリスクのは発生確率を下げます。
リスク共有	リスクを分散したり、第三者に移転したりします。サイバー保険をかけるなどがこれに該当します。
リスク保有	リスクをそのままにしておきます。発生確率や損害が対策にかかる費用と比べてかなり小さい時にとられる対策です。

情報セキュリティマネジメント

情報セキュリティ管理に関する総合的なフレームワークとしてISMS （Information Security Management System）があり、これに関連する規格としてJIS Q 27001（ISO/IEC 27001）があります。

情報セキュリティの3大要素

ISMSでは、機密性，完全性，可用性の3つを情報セキュリティの３要素としています。

機密性	許可されていない人やソフトウェアには情報にアクセスさせない特性。
完全性	内容が不正に書き換えられず整合性が保たれるという特性。
可用性	使用した時に使用できる状態になっているという特性。

また、これに加え、真正性，責任追跡性，否認防止，信頼性も情報セキュリティに重要な要素として知られています。

真正性	本物であることが確認できる特性。
責任追跡性	操作を追跡し誰が何を行ったかを証明できる特性。
否認防止	ある事象が起きたことを後から否認することができないようにすること。
信頼性	不具合なく正常に動作し、期待した通りの結果が得られる特性。

ISMSにおけるPDCAサイクル

ISMSでは、PDCAサイクルによる継続的な改善が求められています。

情報セキュリティポリシー

情報セキュリティに対する組織の基本方針や行動指針をまとめて文書化したものを情報セキュリティポリシー（情報セキュリティ方針）といいます。

個人情報保護

プライバシーマーク制度

個人情報を適切に取り扱っている事業者を認定する制度です。認定を受けるとプライバシーマーク（Pマーク）という商標を表示することができるようになります。

プライバシーポリシー

情報システムなどにおいて個人情報をどのように取り扱うのかを文書化し利用者に示したものをプライバシーポリシー

情報セキュリティ組織・機関

情報セキュリティに関連する期間や組織には以下のものがあります。

CSIRT

企業や行政機関に設置されるセキュリティインシデントに対応するための組織です。各CSIRTの情報共有や連携を図る機関としてJPCERT/CCがあります。

J-CSIP（サイバー情報共有イニシアティブ）

IPA（情報処理推進機構）が中心となってサイバー攻撃に関する情報などを集約、共有する取り組みです。

サイバーレスキュー隊（J-CRAT）

IPA内に設置されている組織で、サイバー攻撃を受けた企業や公的機関から相談を受け付け、被害拡大防止などの支援活動を行っています。

SECURITY ACTION

中小企業が情報セキュリティ対策に取り組んでいることを自ら宣言する制度です。

届出制度

IPAが運営するサイバー攻撃や脆弱性に関する届出制度には、

確認問題（過去問）

ITパスポート試験令和4年問76

情報セキュリティのリスクマネジメントにおけるリスク対応を, リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類するとき,情報漏えい発生時の損害に備えてサイバー保険に入ることはどれに分類されるか。

アリスク回避

イリスク共有

ウリスク低減

エリスク保有

ITパスポート試験令和元年問56

次の作業 a～dのうち,リスクマネジメントにおける, リスクアセスメントに含まれるものだけを全て挙げたものはどれか。

ア a,b

イ a,b,c

ウ b,c,d

エ c, d

ITパスポート試験平成30年春問70

ISMSにおけるリスク分析に関する記述として,適切なものはどれか。

ア異なる情報資産について,脅威と脆弱性のレベルが同じであれば,その資産価値が小さいほどリスク値は大きくなる。

イシステムの規模や重要度にかかわらず,全てのリスクを詳細に分析しなければならない。

ウ電子データは分析の対象とするが,紙媒体のデータは対象としない。

エリスクの内容は業界や業種によって異なることから,対象とする組織に適した分析手法を用いる。

ITパスポート試験令和2年問84

ISMSの情報セキュリティリスク対応における,人的資源に関するセキュリティ管理策の記述として,適切でないものはどれか。

ア雇用する候補者全員に対する経歴などの確認は,関連する法令,規制及び倫理に従って行う。

イ情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて,周知する。

ウ組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが,業務を委託している他社には要求しないようにする。

エ退職する従業員に対し,退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え、退職後もそれを守らせる。

ITパスポート試験令和3年問67

ISMS における情報セキュリティに関する次の記述中の a, b に入れる字句の適切な組合せはどれか。

情報セキュリティとは,情報の機密性,完全性及び a を維持することである。さらに,真正性,責任追跡性,否認防止, b などの特性を維持することを含める場合もある。

ア a=可用性 b=信頼性

イ a=可用性 b=保守性

ウ a=保全性 b=信頼性

エ a=保全性 b=保守性

ITパスポート試験令和3年問77

PDCA モデルに基づいて ISMS を運用している組織の活動において, リスクマネジメントの活動状況の監視の結果などを受けて,是正や改善措置を決定している。この作業は, PDCA モデルのどのプロセスで実施されるか。

ア P

イ D

ウ C

エ A

ITパスポート試験令和3年問88

ISMS のリスクアセスメントにおいて,最初に行うものはどれか。

アリスク対応

イリスク特定

ウリスク評価

エリスク分析

ITパスポート試験令和5年問79

PDCAモデルに基づいて ISMS を運用している組織の活動において,次のような調査報告があった。この調査は PDCA モデルのどのプロセスで実施されるか。

社外からの電子メールの受信に対しては, 情報セキュリティポリシーに従ってマルウェア検知システムを導入し, 維持運用されており, 日々数十件のマルウェア付き電子メールの受信を検知し, 破棄するという効果を上げている。しかし, 社外への電子メールの送信に関するセキュリティ対策のための規定や明確な運用手順がなく, 社外秘の資料を添付した電子メールの社外への誤送信などが発生するリスクがある。

ア P

イ D

ウ C

エ A

ITパスポート試験令和5年問94

ISMSにおける情報セキュリティ方針に関する記述として, 適切なものはどれか。

ア企業が導入するセキュリティ製品を対象として作成され, セキュリティの設定値を定めたもの

イ個人情報を取り扱う部門を対象として, 個人情報取扱い手順を規定したもの

ウ自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について,両社間で合意したもの

エ情報セキュリティに対する組織の意図を示し, 方向付けしたもの

ITパスポート試験平成30年問98

コンピュータやネットワークに関するセキュリティ事故の対応を行うことを目的とした組織を何と呼ぶか。

ア CSIRT

イ ISMS

ウ ISP

エ MVNO

ITパスポート試験令和3年問81

ア企業などに対して, 24 時間体制でネットワークやデバイスを監視するサービスを提供する。

イコンピュータセキュリティに関わるインシデントが発生した組織に赴いて,自らが主体となって対応の方針や手順の策定を行う。

ウ重工,重電など,重要インフラで利用される機器の製造業者を中心に,サイバ一攻撃に関する情報共有と早期対応の場を提供する。

エ相談を受けた組織に対して,標的型サイバー攻撃の被害低減と攻撃の連鎖の遮断を支援する活動を行う。

ITパスポート試験令和3年問問79

中小企業の情報セキュリティ対策普及の加速化に向けて, IPA が創設した制度である“SECURITY ACTION” に関する記述のうち,適切なものはどれか。

ア ISMS 認証取得に必要な費用の一部を国が補助する制度

イ営利を目的としている組織だけを対象とした制度

ウ情報セキュリティ対策に取り組むことを自己宣言する制度

エ情報セキュリティ対策に取り組んでいることを第三者が認定する制度