(1)情報セキュリティ管理 組織の情報セキュリティ対策を包括的かつ継続的に実施するために,情報セキュリティ管 理の考え方,情報資産などの保護対象を理解する。
| 用語 | 説明 |
| 情報セキュリティポリシーに基づく情報の管理 | 組織が定めたセキュリティ方針に基づいて情報を保護・管理すること。 |
| 情報資産 | 組織が保有する価値のある情報やデータ。 |
| リスクマネジメント(JIS Q 31000) | リスクを特定し、評価し、管理するための国際標準に基づいた手法。 |
| 監視 | 情報セキュリティの状態や異常を継続的に確認すること。 |
| 情報セキュリティ事象 | セキュリティに関わる異常や問題が発生した事象。 |
| 情報セキュリティインシデント | 情報の漏洩や改ざんなど、セキュリティが実際に損なわれた事態。 |
| アカウント管理 | システムやネットワークへのアクセス権を持つユーザーの管理。 |
| 利用者アクセス権の管理(need-to-know(最小権限)の原則) | 利用者に必要最小限の権限のみを付与する原則。 |
| クラウドサービスの責任共有モデル | クラウドサービスの提供者と利用者がセキュリティの責任を分担するモデル。 |
| セキュリティエコノミクス | 情報セキュリティ対策におけるコストと効果の関係を分析する分野。 |
| 外部委託やクラウドサービスの利用時における情報セキュリティ | 外部委託先やクラウドを利用する際に情報を適切に保護するためのセキュリティ対策。 |
| サイバーハイジーン | 基本的なサイバーセキュリティ対策を定期的に実施し、情報システムの衛生を保つこと。 |
(2)リスク分析と評価
① 情報資産の調査
情報セキュリティリスクアセスメント及び情報セキュリティリスク対応に当たり,情報資産(情報システム,データ,文書ほか)を調査して特定することを理解する。
② 情報資産の重要性による分類
機密性,完全性,可用性の側面から情報資産の重要性を検討し,情報資産を保護するために,定められた基準に基づいて情報資産を分類することを理解する。
| 用語 | 説明 |
| 情報セキュリティリスクアセスメント | 情報資産に対する潜在的なリスクを特定し、評価するプロセス。 |
| 情報セキュリティリスク対応 | リスクアセスメントで特定されたリスクに対して適切な対策を講じること。 |
| 情報資産 | 情報システムやデータ、文書など、組織にとって価値のある情報。 |
| 機密性 | 情報が許可された者だけにアクセス可能である状態を保持する特性。 |
| 完全性 | 情報が正確であり、不正に改ざんされていない状態を保つこと。 |
| 可用性 | 必要なときに情報が適切にアクセスでき、利用可能な状態を保つこと。 |
| 情報資産台帳 | 組織の情報資産を管理するために記録された台帳やリスト。 |
③ リスクの種類
調査した情報資産を取り巻く脅威に対するリスクの種類を理解する。
| 用語 | 説明 |
| 財産損失 | 物理的またはデジタルな財産が損害を受けるリスク。 |
| 責任損失 | 法的または契約上の義務が果たせないことで発生する損失。 |
| 純収益の喪失 | 予想されていた収益が得られない、または失われるリスク。 |
| 人的損失 | 人材の離職や労働力の減少などによるリスク。 |
| オペレーショナルリスク | 業務運営に関連するリスク(システムの障害やミスなど)。 |
| サプライチェーンリスク | サプライチェーンの途絶や不安定さによって生じるリスク。 |
| 外部サービス利用のリスク | クラウドや外部のサービスを利用することによるリスク。 |
| SNSによる情報発信のリスク | ソーシャルメディア上での誤情報の発信やプライバシーの侵害などのリスク。 |
| 地政学的リスク | 政治的・経済的な状況の変化や国際関係によるリスク。 |
| ペリル | 直接的にリスクを引き起こす危険要因(例: 火災、洪水)。 |
| ハザード | リスクを高める要因(例: 危険な作業環境、不十分な防護対策)。 |
| モラルハザード | リスクを負わない立場で不適切な行動をとることで生じるリスク。 |
| 年間予想損失額 | 1年間に予想される損失の金額。 |
| 得点法 | リスクの重大性を数値化して評価する方法。 |
| コスト要因 | リスク対策や損失に関連する費用。 |
④ 情報セキュリティリスクアセスメント リスクを特定し,そのリスクの生じやすさ及び実際に生じた場合に起こり得る結果を定 量的又は定性的に把握してリスクレベルを決定し,組織が定めたリスク受容基準に基づく 評価を行うことを理解する。
| 用語 | 説明 |
| リスク基準(リスク受容基準) | 組織が受け入れ可能なリスクのレベルを定める基準。 |
| リスクレベル | リスクの重大性を評価した結果。 |
| リスクマトリックス | リスクの発生確率と影響を視覚化してリスクレベルを示す表。 |
| リスク所有者 | リスク管理の責任を持つ者や組織。 |
| リスク源 | リスクを引き起こす可能性のある要因や状況。 |
| リスクアセスメントのプロセス | リスクを特定し、分析・評価する一連の手順。 |
| リスク特定 | リスクとなり得る要素を認識するステップ。 |
| リスク分析 | リスクの発生確率や影響を分析するプロセス。 |
| リスク評価 | リスクが受け入れ可能かどうかを判断するプロセス。 |
| リスク忌避 | リスクを避けるためにリスク源を排除すること。 |
| リスク選好 | ある程度のリスクを受け入れながら利益を追求する選択。 |
| リスクの定性的分析 | 数値化せずにリスクの重大性や発生確率を評価する手法。 |
| リスクの定量的分析 | 数値データを用いてリスクを分析する手法。 |
⑤ 情報セキュリティリスク対応 情報セキュリティリスクアセスメントの結果を考慮して,適切な情報セキュリティリス ク対応の選択肢を選定し,その選択肢の実施に必要な管理策を決定することを理解する。
| 用語 | 説明 |
| リスクコントロール | リスクを低減するために管理策を実施し、リスクの影響を最小限にすること。 |
| リスクヘッジ | リスクの影響を緩和するために複数の手段を組み合わせて対応すること。 |
| リスクファイナンシング | リスク発生時の金銭的損失に備えるための資金計画や保険の手配。 |
| サイバー保険 | サイバー攻撃やセキュリティインシデントによる損失を補償する保険。 |
| リスク回避 | リスクの原因となる行動やプロセスを取り除くことでリスクを回避すること。 |
| リスク共有(リスク移転・分散) | リスクを第三者と分担または移転する手法(例:保険や外部委託)。 |
| リスク保有 | リスクが低い場合やコスト対効果が合わない場合にリスクをあえて受け入れること。 |
| リスク集約 | 組織内のリスクを集めて一括管理し、効率的に対応策を講じること。 |
| 残留リスク | 対策を講じても完全には排除できないリスク。 |
| リスク対応計画 | リスク対応のために具体的な対策と手順をまとめた計画。 |
| リスク登録簿 | 組織内の全リスクを一覧化し、対応状況や責任者などを記載したドキュメント。 |
| リスクコミュニケーション | リスクに関する情報を組織内外で適切に共有し、対策を講じるための意思疎通。 |
(3)情報セキュリティ継続 組織が困難な状況(例えば,危機又は災害)に陥る事態に備えて,情報セキュリティ継続 (継続した情報セキュリティの運用を確実にするためのプロセス)を組織の事業継続マネジ メントシステムに組み込む必要性を理解する。
| 用語 | 説明 |
| 緊急事態の区分 | 緊急事態の種類を分類し、危機の重大度や対応レベルを決定するための基準。例えば、自然災害やサイバー攻撃など、組織に影響を与えるリスクに基づき分類されます。 |
| 緊急時対応計画(コンティンジェンシー計画) | 緊急事態が発生した際に、事業の継続や復旧を迅速に行うための計画。予期せぬ事態に備え、事前に定めた手順やリソースを基に対応を行います。 |
| 復旧計画 | システムやサービスがダウンした際、通常の運用状態に戻すための具体的な手順を示した計画。システム復旧にかかる時間や手順が詳細に記載されています。 |
| 災害復旧(Disaster Recovery) | 自然災害や大規模なシステム障害に対して、組織のITインフラやデータを元の状態に復旧するための対策。通常、復旧計画の一部として、迅速な復旧を目指します。 |
| バックアップによる対策 | 重要なデータやシステムのバックアップを定期的に取ることで、緊急事態時にもデータを復元できるようにする対策。これにより、データの喪失を最小限に抑えます。 |
| 被害状況の調査手法 | 緊急事態が発生した後に、被害の範囲や影響を評価するための手法。被害の全体像を把握し、適切な復旧や対応策を講じるために用いられます。 |
(4)情報セキュリティ諸規程(情報セキュリティポリシーを含む組織内規程) 情報セキュリティ管理における情報セキュリティポリシーの目的,考え方,情報セキュリ ティポリシーに従った組織運営を理解する。また,組織の情報セキュリティ目的,資産の分 類・管理手順,情報セキュリティ対策基準などを体系的に定めることを理解する。
| 用語 | 説明 |
| 情報セキュリティ方針 | 組織全体の情報セキュリティに関する基本方針を定めた文書。情報資産を保護するための全体的な方向性を示します。 |
| 情報セキュリティ目的 | 情報セキュリティを確保するために設定された具体的な目標。セキュリティ対策の効果を測定し、改善するための指標となります。 |
| 情報セキュリティ対策基準 | 情報資産を保護するために定められた具体的なセキュリティ対策の基準。技術的・組織的な対策が含まれます。 |
| 情報管理規程 | 組織内での情報の取り扱いに関する規程。情報の分類、使用、保存、破棄などを管理するための手順が定められています。 |
| 秘密情報管理規程 | 秘密情報の取り扱いに関するルールを定めた規程。秘密保持契約(NDA)など、機密性を確保するための方針が記載されています。 |
| 文書管理規程 | 文書の作成、保存、廃棄に関する手順や基準を定めた規程。文書のライフサイクル全体を管理します。 |
| 情報セキュリティインシデント対応規程 | マルウェア感染などの情報セキュリティインシデントが発生した場合の対応手順を定めた規程。迅速な対応が可能になるよう、手順や責任が明確化されています。 |
| 情報セキュリティ教育の規程 | 組織内の従業員に対して実施する情報セキュリティ教育の内容や手順を定めた規程。セキュリティ意識の向上を目的としています。 |
| プライバシーポリシー(個人情報保護方針) | 個人情報をどのように収集、使用、保護するかを定めた方針。個人情報保護法やGDPRなどの規制に基づいて策定されます。 |
| 職務規程 | 従業員が職務を遂行する際の行動基準を定めた規程。職務に関連する情報セキュリティの責任範囲なども含まれます。 |
| 罰則の規程 | 情報セキュリティ違反に対して適用される罰則を定めた規程。違反行為に対する組織の対応を明確にします。 |
| 対外説明の規程 | 情報セキュリティに関する対外的な説明の手順を定めた規程。組織の信頼性を確保するために、透明性を持たせたコミュニケーションが行われます。 |
| 例外の規程 | 特別な状況で、通常の情報セキュリティ規程の適用を除外するための手順を定めた規程。例外の範囲や承認手続きが記載されています。 |
| 規則更新の規程 | 情報セキュリティ規程を定期的に見直し、更新するための手順を定めた規程。技術の進化や法規制の変更に対応するためのプロセスです。 |
| 規程の承認手続 | 情報セキュリティ規程を策定・更新する際に必要な承認手続きを定めたもの。承認プロセスを明確にすることで、組織全体での合意形成が行われます。 |
| ソーシャルメディアガイドライン(SNS利用ポリシー) | 従業員がソーシャルメディアを利用する際の行動指針を定めた規程。組織の評判や情報漏えいのリスクを防ぐために策定されます。 |
(5)情報セキュリティマネジメントシステム(ISMS) 組織体における情報セキュリティ管理の水準を高め,維持し,改善していく ISMS (情報セキュリティマネジメントシステム)の 仕組みを理解する。
| 用語 | 説明 |
| ISMS適用範囲 | ISMSが適用される範囲を定義する文書。組織内のどの情報資産や業務にISMSを適用するかを明確にします。 |
| リーダーシップ | 情報セキュリティに関してトップマネジメントが果たす役割。方針の策定や資源の提供など、組織全体の方向性を示します。 |
| 計画 | 情報セキュリティ管理のための具体的な目標と活動計画。リスク評価や管理策の計画も含まれます。 |
| 運用 | 計画に基づいて情報セキュリティ管理を実施するプロセス。リスク対策の実行や定期的なモニタリングが含まれます。 |
| パフォーマンス評価 | ISMSの有効性を評価するプロセス。内部監査やマネジメントレビューを通じて、システムの改善点を見つけます。 |
| 改善 | ISMSの継続的な改善を行うプロセス。不適合や是正措置を通じてセキュリティ水準を向上させます。 |
| 管理目的 | ISMSを通じて達成すべき具体的なセキュリティ目標。リスク低減や情報保護の目的が含まれます。 |
| 情報セキュリティ管理策 | 情報資産を保護するために導入される管理策。組織的管理策、人的管理策、物理的管理策、技術的管理策の4つに分類されます。 |
| 管理策タイプ | 予防、検知、是正の3つのタイプに分類される情報セキュリティ管理策。リスクを抑えるためにどの段階で対策を取るかを示します。 |
| サイバーセキュリティ概念 | サイバー攻撃に対する識別、防御、検知、対応、復旧の5つの概念。組織のサイバーセキュリティを強化するための基本的な枠組みです。 |
| 有効性 | ISMSが適切に機能しているかどうかを評価するための指標。管理策が目標を達成しているかを測定します。 |
| ISMS適合性評価制度 | ISMSが国際規格に適合しているかを評価する制度。第三者機関が適合性を確認し、認証を行います。 |
| ISMS認証 | ISMSがISO/IEC 27001の基準に適合していることを証明する認証。セキュリティ管理の適切さを示すために取得されます。 |
| JIS Q 27001(ISO/IEC 27001) | ISMSの国際規格であるISO/IEC 27001の日本工業規格(JIS)版。情報セキュリティ管理の基準を示します。 |
| JIS Q 27002(ISO/IEC 27002) | 情報セキュリティ管理策に関する国際規格であるISO/IEC 27002の日本工業規格(JIS)版。管理策の具体的なガイドラインを提供します。 |
| 情報セキュリティガバナンス | 組織における情報セキュリティのガバナンス(管理・統制)を定めた規格。JIS Q 27014(ISO/IEC 27014)はその基準を示しています。 |
| JIS Q 27017(ISO/IEC 27017) | クラウドサービスにおける情報セキュリティ管理策を定めた国際規格。クラウド利用者と提供者の双方が対象となります。 |
(6)情報セキュリティ管理におけるインシデント管理 インシデント発生時から解決までの一連のフローであるインシデント管理を理解する。
| 用語 | 説明 |
| インシデントハンドリング | 情報セキュリティのインシデントに対処する一連のプロセス。検知から解決までの流れを管理します。 |
| 検知 | インシデントを早期に発見するプロセス。監視システムやアラートを利用して異常を検知します。 |
| 連絡受付 | インシデントの報告を受け付けるプロセス。従業員やユーザーからの通報を受け取ります。 |
| トリアージ | インシデントの優先順位を決定するプロセス。影響度や緊急度に応じて対応の優先順位を設定します。 |
| インシデントレスポンス(対応) | インシデントに対して具体的な対応を行うプロセス。問題を解決し、被害を最小限に抑えます。 |
| 報告/情報公開 | インシデントの結果や対応内容を関係者に報告するプロセス。必要に応じて外部に情報を公開することもあります。 |
| テイクダウン | 攻撃を受けているシステムや脅威を排除するプロセス。攻撃の中止や被害の拡大を防ぐための措置を講じます。 |
(7)情報セキュリティ組織・機関 不正アクセスによる被害受付の対応,再発防止のための提言,情報セキュリティに関する 啓発活動などを行う情報セキュリティ組織・機関の役割,及び関連する制度を理解する。
| 用語 | 説明 |
| 情報セキュリティ委員会 | 組織内の情報セキュリティに関する方針や対策を策定する委員会。情報セキュリティの管理を行います。 |
| CSIRT | コンピュータセキュリティインシデント対応チーム。インシデント発生時に対応を行い、再発防止策を提言します。 |
| PSIRT | プロダクトセキュリティインシデント対応チーム。製品に関するセキュリティインシデントに対処します。 |
| SOC(Security Operation Center) | セキュリティオペレーションセンター。24時間体制で脅威の監視やインシデント対応を行います。 |
| abuse@ドメイン名 | 不正使用報告のための窓口。悪用事例を報告するための連絡先です。 |
| noc@ドメイン名 | ネットワーク運用センターの連絡窓口。ネットワークの問題を報告するための連絡先です。 |
| security@ドメイン名 | セキュリティ関連の報告窓口。セキュリティに関する問題やインシデントを報告するための連絡先です。 |
| ホワイトエシカルハッカー | 法律に従い、システムの脆弱性を探し改善提案を行うハッカー。情報セキュリティの向上に寄与します。 |
| サイバーセキュリティ戦略本部 | 日本政府のサイバーセキュリティに関する戦略を策定・実施する機関。 |
| 内閣サイバーセキュリティセンター(NISC) | 日本のサイバーセキュリティの総合的な施策を推進する政府機関。 |
| IPA セキュリティセンター | 情報処理推進機構が運営する、情報セキュリティに関する啓発や支援を行う機関。 |
| CRYPTREC | 暗号技術の評価や推奨を行う、日本政府のプロジェクト。 |
| NIST | 米国国立標準技術研究所。セキュリティ基準やガイドラインの策定を行います。 |
| MITRE | サイバーセキュリティや情報技術の研究・開発を行う非営利団体。 |
| FIRST | インシデントレスポンスチームの国際的なフォーラム。セキュリティインシデントに関する情報共有を促進。 |
| JPCERT コーディネーションセンター | 日本のセキュリティインシデントに対する情報共有と調整を行う組織。 |
| J-CSIP | サイバー情報共有イニシアティブ。セキュリティ情報の共有を促進する活動。 |
| サイバーレスキュー隊(J-CRAT) | サイバー攻撃に対して迅速に対応するためのチーム。 |
| Trusted Web 推進協議会 | 安全なウェブ環境を構築するための取り組みを行う協議会。 |
| コンピュータ不正アクセス届出制度 | 不正アクセスの報告を義務づける制度。 |
| コンピュータウイルス届出制度 | コンピュータウイルスの発生を報告する制度。 |
| 脆弱性関連情報に関する届出制度 | ソフトウェアの脆弱性に関する情報を報告する制度。 |
| 情報セキュリティサービス基準 | 情報セキュリティサービスの提供に関する基準。 |
| 情報セキュリティサービス審査登録制度 | 情報セキュリティサービスの適合性を審査し登録する制度。 |
| ISMAP | 政府情報システムのためのセキュリティ評価制度。 |
| 脆弱性開示(ISO/IEC 29147) | ソフトウェア製品の脆弱性を開示するための国際基準。 |
| 脆弱性情報取扱手順(ISO/IEC 30111) | 脆弱性情報を取り扱うための国際基準。 |
| NOTICE | セキュリティ関連の注意喚起情報を提供する仕組み。 |
| SECURITY ACTION | 情報セキュリティの向上を目的とした取り組み。 |
| 情報セキュリティ早期警戒パートナーシップ | サイバー攻撃の早期警戒を目的とした情報共有プログラム。 |
| ISAC | 情報共有と分析のためのセキュリティ情報共有組織。 |
(8)情報セキュリティに関する基準 情報セキュリティに関する基準,指針を理解する。
| 用語 | 説明 |
| コンピュータウイルス対策基準 | コンピュータウイルスから情報システムを保護するための基準。 |
| コンピュータ不正アクセス対策基準 | 不正アクセスを防止し、被害を最小限に抑えるための基準。 |
| ソフトウェア製品等の脆弱性関連情報に関する取扱規程 | ソフトウェアの脆弱性に関する情報を取り扱うための規程。 |
| 政府機関等の情報セキュリティ対策のための統一基準群 | 政府機関が遵守すべき情報セキュリティの統一基準。 |
| サイバーセキュリティ経営ガイドライン | 経営者がサイバーセキュリティを考慮した経営を行うための指針。 |
| 中小企業の情報セキュリティ対策ガイドライン | 中小企業が実施すべき情報セキュリティ対策に関する指針。 |
| IoT セキュリティガイドライン | IoTデバイスのセキュリティ対策に関する指針。 |
| サイバー・フィジカル・セキュリティ対策フレームワーク | サイバー空間と物理空間の両方に対応したセキュリティ対策のフレームワーク。 |
| 金融機関等コンピュータシステムの安全対策基準・解説書 | 金融機関向けのコンピュータシステムの安全対策に関する基準と解説。 |
| PCI DSS | クレジットカード情報の安全性を確保するための基準(Payment Card Industry Data Security Standard)。 |
| サイバーセキュリティフレームワーク(CSF) | サイバーセキュリティ対策のためのフレームワーク。 |
| NIST SP 800 シリーズ | 米国国立標準技術研究所が発行する、情報セキュリティに関する標準とガイドラインのシリーズ。 |
