情報セキュリティマネジメントシステム 情報セキュリティマネジメントシステムの概要

ウィキペディア

情報セキュリティマネジメントシステム

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/04/16 14:40 UTC 版)

• セキュリティ > ガイドライン、標準規格、法制度等 > 情報セキュリティマネジメントシステム
• セキュリティ > リスクマネジメント > 情報セキュリティマネジメントシステム

ISMSの目標は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える^[2][3]ことにある。

ISMSの標準がISO 27001およびそれと同等なJIS Q 27001に規定されているので、本稿では2016年現在におけるこれらの標準の最新版であるISO/IEC 27001:2013（JIS Q 27001:2014と同等）を基に、ISMSを説明する。

ISOにおける位置づけ

ISMSを規定したISO/IEC 27001:2013は、ISOのさまざまなマネジメントシステム規格(MSS Management System Standard)の一つであり^[4]、MSSの共通化を図った附属書SL^[5]に沿って規格化されている。これにより、品質、環境、ITサービス、事業継続のマネジメントシステムを規定したQMS、EMS、ITSMS、BCMSとの整合性が図られている^[4]。

また、2013年の改定以降、リスクマネジメントの国際規格であるISO 31000:2009（JIS Q 31000:2010）との整合性も図られている^[4]。

ISO/IEC JTC 1 （情報技術）の SC27委員会 （セキュリティ技術副委員会）には、情報セキュリティのためのマネジメントシステム規格の開発を担当する作業グループがあり、そこでISMSの構築のしかたと認定の基準を審議して国際規格 ISO/IEC 27001になり、その翻訳が日本産業規格 (JIS) になっている。SC27は、ISMS関連の国際規格を他にもいくつか標準化しており、それらの規格は、ISMS ファミリ規格と呼ばれる（ファミリ規格の詳細はJIS Q 27000 箇条 0.2 を参照）。

全般に関わる用語

本節ではISMS全般を理解する上で必要となる用語を解説する。

リスク

リスクとは、「目的に対する不確かさの影響」^[6]を指し、情報セキュリティリスクは、「脅威が情報資産のぜい弱性又は情報資産グループのぜい弱性に付け込み、その結果、組織に損害を与える可能性に伴って生じる^[7]。なお、ISMS の文脈においては、情報セキュリティリスクは、「情報セキュリティの目的に対する不確かさの影響」と表現することがある^[7]。

なお、情報資産は、ISOの原文では「資産」(asset)だが、誤解を招かぬようJISでは「情報資産」としている^[8]

リスクを起こす潜在的要因をリスク源といい^[9]、その典型例として脅威と脆弱性がある^[10]。

脅威（threat）とは、「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」を指し^[11]、脅威は人為的脅威と環境的脅威に分類でき、人為的脅威はさらに意図的脅威(deliberate threat)と偶発的脅威(accidental threat)に分類できる^[12]。

脆弱性（vulnerability)とは、一つ以上の脅威によって付け込まれる可能性のある資産または管理策（後述）の弱点を指す^[13]。

ISMSでは、各リスクに対しリスクレベルというリスクの大きさを割り振る。リスクレベルはリスクの起こりやすさと起こった場合の結果によって決定する^[14]。リスクレベルの決定法としてJIPDECは資産価値、脅威、脆弱性を数値化し、

リスクレベル＝資産価値×脅威×脆弱性

として算出する方法を例示している。

経済的な理由などにより、既知のリスクをすべて取り除くことが現実的でないこともあるので、ISMSでは組織が受容可能なリスクの水準を定め、リスク保有する事を許容している^[15][14][16]。

情報セキュリティインシデント

情報セキュリティ事象（information security event）とは、情報セキュリティ方針への違反若しくは管理策の不具合の可能性，又はセキュリティに関係し得る未知の状況を示す，システム，サービス又はネットワークの状態に関連する事象のことである^[17]。

情報セキュリティインシデント（information security incident）は、望まない単独若しくは一連の情報セキュリティ事象，又は予期しない単独若しくは一連の情報セキュリティ事象であって，事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの^[18]。

情報セキュリティインシデント管理（information security incident management）情報セキュリティインシデントを検出し，報告し，評価し，応対し，対処し，更にそこから学習するためのプロセス^[19]。

継続した情報セキュリティの運用を確実にするためのプロセスを情報セキュリティ継続（information security continuity）^[20]という。

脚注

1. ^ JIS Q 27000:2014 箇条 0.1。
2. ^ JIS Q 27002:2014 箇条 0.1。
3. ^ ISMSガイド13, p. 13。
4. ^ ^{a b c} ISMSガイド13, p. 3, 4, 10, 97。
5. ^ MSS。
6. ^ JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。
7. ^ ^{a b} JIS Q 27000:2014 箇条 2.68。
8. ^ 原田(2016) p. 3。
9. ^ JIS Q 0073:2010 箇条 3.5。
10. ^ ISMSガイド13, p. 51。
11. ^ JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。
12. ^ JIS Q 27005:2011、JIS Q 13335-1 箇条 3.3、ISMSガイド13, p. 35。
13. ^ JIS Q 27000:2014 箇条 2.89。
14. ^ ^{a b c d e f g h i j k l m n} JIS Q 27001:2014 箇条 6.1.2、6.1.3。
15. ^ ISMSガイド13, p. 30。
16. ^ ^{a b} JIS Q 27000:2014 箇条 2.79。
17. ^ JIS Q 27000:2014 箇条 2.35。
18. ^ JIS Q 27000:2014 箇条 2.36。
19. ^ JIS Q 27000:2014 箇条 2.37。
20. ^ JIS Q 27000:2014 箇条 2.34。
21. ^ ^{a b} JIS Q 27001:2014 箇条 5。
22. ^ JIS Q 27001:2014 箇条 6。
23. ^ JIS Q 27001:2014 箇条 7。
24. ^ JIS Q 27001:2014 箇条 8。
25. ^ JIS Q 27001:2014 箇条 9。
26. ^ JIS Q 27001:2014 箇条 10。
27. ^ ^{a b c} JIS Q 27000:2014 箇条 2.61、JIS Q 27001:2006 箇条 0.2、ISMSガイド06, p. 9、ISMSガイド13, p. 13。
28. ^ ISMSガイド06, p. 7。
29. ^ ^{a b} ISMSガイド13, p. 14。
30. ^ ^{a b} mss-faq 11. 「附属書 SL の構造において“プロセスモデル”又は“PDCA モデル”が使われていないのはなぜか」
31. ^ MSS SL.5.2 注記１「有効なマネジメントシステムは、通常、意図した成果を達成するために"Plan-Do-Check-Act"のアプローチを用いた組織のプロセス管理を基盤とする」
32. ^ JIS Q 27000:2014 箇条 2.84。
33. ^ ^{a b} JIS Q 27001:2014 箇条 5.1。
34. ^ JIS Q 27001:2014 箇条 5.3。
35. ^ ^{a b c} ISMSガイド13, pp. 43-44。
36. ^ JIS Q 27000:2014 箇条 4.1。
37. ^ JIS Q 27000:2014 箇条 4.2。
38. ^ ^{a b} JIS Q 27001:2014 箇条 4.2。
39. ^ JIS Q 27001:2014 箇条 5.1、JIS Q 27002:2014 箇条 5.1。
40. ^ ^{a b} JIS Q 27001:2014 箇条 5.2。
41. ^ ^{a b c d e} JIS Q 27002:2014 箇条 5.1。
42. ^ ISMSガイド13, p. 40。
43. ^ ^{a b c} JIS Q 27001:2014 箇条 6.2。
44. ^ ^{a b c d e f g h} 情報セキュリティマネジメントとPDCAサイクル「情報セキュリティポリシーの策定」 IPA。2016年8月3日閲覧
45. ^ ^{a b c d e f} 情報セキュリティポリシーサンプル改版（1.0版）概要(pdf)、pp. 5-6、JIPDEC。2016年8月3日閲覧。
46. ^ ISMSリスク編13, p. 4。
47. ^ JIS Q 27000:2014 箇条 2.76、JIS Q 31000:2010 箇条 2.2。
48. ^ ^{a b} JIS Q 31000:2010 箇条 2.3。
49. ^ リスクマネジメント規格 図1。
50. ^ JIS Q 31000:2010 箇条 5.3。
51. ^ JIS Q 31000:2010 箇条 2.25。
52. ^ ^{a b} JIS Q 31000:2010 箇条 2.28。
53. ^ JIS Q 31000:2010 箇条 2.14、2.15、2.24。JIS Q 27000:2014 箇条 2.71。
54. ^ JIS Q 27000:2014 箇条 2.75。
55. ^ JIS Q 27000:2014 箇条 2.70。
56. ^ JIS Q 27000:2014 箇条 2.73。
57. ^ JIS Q 27000:2014 箇条 2.74。
58. ^ ISMSリスク編13, pp. 23-24。
59. ^ ISMSリスク編13, p. 30。
60. ^ ISMSリスク編13 p. 31。
61. ^ ^{a b} JIS Q 27002:2014 箇条 8.1.1。
62. ^ ISMSリスク編13, p. 35。
63. ^ ISMSリスク編13, pp. 50-51。
64. ^ JIS Q 27000:2014 箇条 2.69。
65. ^ ISMSリスク編13 pp. 52-54。
66. ^ JIS Q 27000:2014 箇条 2.16。
67. ^ ^{a b} ISMSリスク編13, p. 57。
68. ^ ISMSガイド13, p. 23。
69. ^ ^{a b c d e} “情報セキュリティマネジメントとPDCAサイクル「リスクアセスメント」”. IPA. 2017年7月5日閲覧。
70. ^ ^{a b c d e f} ISMSリスク編13, p. 14。
71. ^ ^{a b c d} 瀬戸洋一. “プライバシー影響評価ガイドライン実践テキスト”. インプレスr&d. p. 14. 2017年7月5日閲覧。