情報セキュリティマネジメント試験 ISMS・リスク管理・法規完全解説

ISMS・リスク管理・法規は、情報セキュリティマネジメント試験（SG）の名称が示すとおり試験の核心テーマです。 ISO/IEC 27001を軸としたISMSの仕組み、リスクアセスメントの手順、インシデント対応、さらに個人情報保護法をはじめとした法規制まで、幅広い知識が問われます。実務に直結する内容ばかりなので、実際の業務場面をイメージしながら学ぶと効果的です。

1. ISMSとISO/IEC 27001

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）とは、組織が情報セキュリティリスクを体系的に管理・維持・改善するための仕組みです。技術的な対策だけでなく、人・組織・プロセスを含めた総合的な管理体制を指します。

PDCAサイクルによる継続的改善

Plan（計画）：情報セキュリティ目標の設定・リスクアセスメントの実施・対策の計画
Do（実施）：計画した管理策・対策の実装・運用
Check（点検）：監視・測定・内部監査・マネジメントレビューによる評価
Act（改善）：是正処置・継続的改善の実施

規格	内容
ISO/IEC 27001（JIS Q 27001）	ISMSの要求事項を規定する認証規格。「何をしなければならないか」の基準を定める
ISO/IEC 27002（JIS Q 27002）	情報セキュリティ管理策の実践のための規範。「どのように実施するか」の推奨事項・ガイドライン
ISO/IEC 27000（JIS Q 27000）	情報セキュリティ管理システムの用語・定義

ISMS認証を取得することで、顧客・取引先に対して情報セキュリティの取り組みを客観的に証明でき、ビジネス上の信頼性向上や入札条件への対応に活用されます。

2. リスクマネジメントのプロセス

リスクアセスメントの3ステップ

リスクアセスメントは、情報セキュリティリスクを体系的に特定・分析・評価するプロセスです。 ISO/IEC 27001では以下の3ステップで実施します。

リスクの特定：どのような情報資産があり、どのような脅威・脆弱性が存在するかを洗い出す
リスクの分析：特定したリスクの発生確率と影響度を評価してリスクレベルを算出する
リスクの評価：算出したリスクレベルとリスク受容基準を比較し、対処の優先順位を決定する

リスク対応の4分類

分類	説明	例
リスク回避	リスクを生む活動をやめる	海外サービスの提供を中止する
リスク低減（軽減）	管理策でリスクを小さくする	パッチ適用・アクセス制御強化
リスク移転（共有）	損失を第三者と分担する	サイバー保険・アウトソーシング
リスク受容（保有）	リスクを認識した上で受け入れる	対策コストが損失を上回る低リスク

リスク対応後も残る残留リスク（残存リスク）は、リスク受容基準に照らして経営者（または権限のある責任者）が承認する必要があります。

3. インシデント管理（CSIRT・SOC）

インシデントの定義と対応手順

JIS Q 27000では、情報セキュリティインシデントを「望ましくない、または予期しない、情報セキュリティに関する事象（単一または連続したもの）で、業務に対して著しい損害を与える可能性があるもの」と定義しています。

インシデント対応の基本的な手順は以下のとおりです：

検知・報告：インシデントの発見・社内報告・初期分析
封じ込め（コンテインメント）：被害拡大の防止（ネットワーク切断・アカウント停止）
根絶（エラジケーション）：マルウェアの除去・脆弱性の修正・不正アクセスの排除
復旧：サービス・システムの正常状態への復元
事後対応（ポストインシデント）：原因分析・再発防止策の実施・文書化・報告

CSIRT・SOCの役割

組織	正式名称	主な役割	特徴
CSIRT	Computer Security Incident Response Team	インシデント対応・情報共有・再発防止	インシデント発生後の対応が主体。組織内外の調整も担う
SOC	Security Operation Center	24時間365日のセキュリティ監視・ログ分析・異常検知	インシデント発生前の予防的監視が主体。SIEMを活用

JPCERT/CC（JPCERTコーディネーションセンター）は日本の国際的なCSIRTで、インシデント情報の収集・分析・対応支援を行う公的機関です。

4. 事業継続（BCP・BCM）

BCP（Business Continuity Plan：事業継続計画）とは、大規模災害やシステム障害などで事業活動が中断した際に、重要業務を最短で再開・継続するための計画文書です。 BCM（Business Continuity Management）はBCPを継続的に管理・維持・改善する経営活動全体を指します。

用語	説明
RTO（Recovery Time Objective：目標復旧時間）	障害発生から業務・システムを復旧させるまでの目標時間
RPO（Recovery Point Objective：目標復旧時点）	障害発生時に、どの時点のデータまでなら失ってもよいかの目標値。バックアップ頻度を決める指標

5. セキュリティフレームワーク

NIST サイバーセキュリティフレームワーク（CSF）

米国国立標準技術研究所（NIST）が策定したサイバーセキュリティ対策のフレームワークです。重要インフラ保護を主な対象に設計されましたが、あらゆる組織に適用できます。

機能	英語	内容
識別	Identify	資産・リスク・環境の特定・理解
防御	Protect	アクセス制御・教育訓練・技術的対策の実装
検知	Detect	異常の検知・監視・継続的モニタリング
対応	Respond	インシデント対応・コミュニケーション・復旧計画
復旧	Recover	事業継続計画・復旧手順・改善

内部統制の4目的

日本の内部統制（金融商品取引法に基づく）には4つの目的があります。情報セキュリティは特に「業務の有効性・効率性」と「資産の保全」に深く関連します。

業務の有効性・効率性：業務活動を有効・効率的に達成するための目的
財務報告の信頼性：財務報告が正確で信頼できることを確保する目的
法令等の遵守：業務活動に関わる法令・規則等に準拠して行動する目的
資産の保全：資産の取得・使用・処分が適切な手続きに従って行われる目的

6. 主要な法規・標準

法律・制度	規制対象	主なポイント
個人情報保護法	個人情報を扱う事業者	個人情報の適正な取扱い・要配慮個人情報の特別保護・漏えい時の報告義務
不正アクセス禁止法	不正アクセス行為者	アクセス制御機能のあるコンピュータへの不正アクセス禁止・なりすまし行為の禁止
サイバーセキュリティ基本法	国・地方公共団体・重要インフラ事業者	サイバーセキュリティ政策の基本方針・NISC（内閣サイバーセキュリティセンター）の設置根拠
情報流通プラットフォーム対処法（情プラ法）	大規模SNS・プラットフォーム事業者	違法・有害情報の迅速削除義務・透明性の確保・相談窓口の設置義務
電子帳簿保存法	国税関係帳簿・書類を電子保存する事業者	電子取引データの保存義務・タイムスタンプ要件

個人情報保護法の重要ポイント

個人情報保護法では、要配慮個人情報として特に慎重な取扱いが求められる情報が規定されています。取得に際しては原則として本人の同意が必要です。

人種・民族
信条・宗教
社会的身分
病歴・健康状態・障害
犯罪歴・犯罪被害歴
性的指向・性自認

なお、氏名・住所・生年月日・電話番号は要配慮個人情報には該当しません（通常の個人情報として扱います）。

不正アクセス禁止法の主な禁止行為

他人のIDとパスワードを使ってアクセス制御機能のあるコンピュータに不正にアクセスする行為
セキュリティホールを攻撃してアクセス制御を突破する行為
不正アクセスを行う目的で他人のIDとパスワードを第三者に提供する行為
フィッシングサイトを設置してIDとパスワードを不正に取得する行為

7. 例題で確認

問1. ISO/IEC 27001に基づくリスクアセスメントの手順として正しいものはどれか。

答え: リスクの特定→リスクの分析→リスクの評価。まずどのようなリスクがあるかを特定し、次にリスクの大きさを分析して、最後にリスク受容基準と照らして対処の優先順位を評価します。「特定→分析→評価」の順序を覚えましょう。

問2. インシデント対応の手順として正しい順序はどれか。「検知」「復旧」「根絶」「封じ込め」「事後対応」を並べよ。

答え: 検知 → 封じ込め → 根絶 → 復旧 → 事後対応。まず被害の拡大を「封じ込め」て、攻撃の原因を「根絶」し、システムを「復旧」させた後、再発防止のための「事後対応」を行います。

問3. 個人情報保護法における要配慮個人情報に該当しないものはどれか。ア:病歴　イ:前科　ウ:住所　エ:宗教

答え: ウ. 住所。住所は一般的な個人情報ですが要配慮個人情報ではありません。病歴・前科・宗教は要配慮個人情報に該当し、取得には原則として本人の同意が必要です。

問4. NIST サイバーセキュリティフレームワーク（CSF）の5機能を答えよ。

答え: 識別（Identify）・防御（Protect）・検知（Detect）・対応（Respond）・復旧（Recover）。頭文字をとって「識・防・検・対・復」と覚えるか、「IPDRR」と英語の頭文字で覚えるのも効果的です。

📋 ISMS・法規をゲームで実戦練習しよう！

⚔️ IT王国の勇者でSG問題に挑戦

よくある質問（FAQ）

Q. ISO/IEC 27001と27002の違いは何ですか？

A. ISO/IEC 27001は「認証規格」で、「何をしなければならないか（要求事項）」を定めた規格です。この規格に基づいてISMS認証を取得します。ISO/IEC 27002は「実践の規範」で、「どのように実施するか」の推奨事項・ガイドラインを示しています。認証の対象はISO/IEC 27001です。

Q. CSIRTとSOCの違いを教えてください。

A. SOCは「インシデント発生前の24時間365日監視・検知」が主な役割です。CSIRTは「インシデント発生後の対応・調整・再発防止」が主な役割です。実際は両者が連携して機能することが多く、SOCが異常を検知してCSIRTが対応するという流れが一般的です。

情報セキュリティマネジメント試験 ISMS・リスク管理・法規 完全解説