情報セキュリティマネジメント試験 情報セキュリティの基礎 完全解説(CIA・リスク管理)
情報セキュリティの基礎は、情報セキュリティマネジメント試験(SG)の最重要テーマです。 CIA(機密性・完全性・可用性)の3要素から始まり、脅威・脆弱性・リスクの定義、リスク対応の4分類、 情報セキュリティポリシーの構造、多層防御まで、すべての問題の根幹となる概念が問われます。 このページでは試験で頻出の概念を体系的に整理して解説します。
1. 情報セキュリティの3要素(CIA)と7特性
情報セキュリティの目的は、情報資産の価値を守ることです。その基本となるのが以下の3要素(CIA)です。 JIS Q 27000(ISO/IEC 27000)に基づき、試験ではこの用語と定義が頻繁に問われます。
- 機密性(Confidentiality):認可された者だけが情報にアクセスできることを確実にする特性。例:アクセス制御リスト、暗号化、パスワード管理
- 完全性(Integrity):情報が正確で完全であり、認可されていない方法で変更されていないことを確実にする特性。例:デジタル署名、ハッシュ値による検証、チェックサム
- 可用性(Availability):認可された利用者が必要なときに情報や関連資産にアクセスできることを確実にする特性。例:冗長化、バックアップ、UPS(無停電電源装置)
近年のSG試験では、CIAに加えて以下の4特性を加えた「情報セキュリティの7特性」も頻出です。
| 特性 | 英語 | 説明 |
|---|---|---|
| 真正性 | Authenticity | 主体(人・システム)が主張どおりであることを確認できる特性 |
| 責任追跡性 | Accountability | 主体の行動を一意に追跡できる特性。ログ管理が代表例 |
| 否認防止 | Non-repudiation | 行為や事象の発生を後から否定できないことを証明できる特性。デジタル署名が代表例 |
| 信頼性 | Reliability | 意図した動作と結果に対し一貫性がある特性 |
2. 脅威・脆弱性・リスクの定義
情報セキュリティを理解するうえで、「脅威」「脆弱性」「リスク」の違いを正確に押さえることが重要です。 これらの定義はJIS Q 27000で規定されており、試験でも定義を問う問題が出題されます。
- 脅威(Threat):システムや組織に損害を与える可能性がある、望ましくない事故の潜在的な原因。例:マルウェア、不正アクセス、内部不正、自然災害
- 脆弱性(Vulnerability):一つ以上の脅威によって悪用される可能性のある、資産または管理策の弱点。例:パッチ未適用のOS、弱いパスワード、設定ミス
- リスク(Risk):目的に対する不確かさの影響。情報セキュリティでは「脅威が脆弱性を悪用することで生じる損失の可能性」として捉えます。
リスクの大きさは、一般的に次の式で表現されます:
リスク ≒ 資産価値 × 脅威の大きさ × 脆弱性の大きさ
この式は「脆弱性をなくす」か「脅威を低減する」ことでリスクを小さくできることを示しています。 資産価値が高いほど、また脆弱性・脅威が大きいほどリスクは高くなります。
3. リスク対応の4分類
リスクアセスメントによって特定・評価されたリスクに対して、どのように対応するかを決定します。 SG試験では4分類の名称と具体例がセットで問われます。
| 分類 | 定義 | 具体例 |
|---|---|---|
| リスク回避 | リスクが生じる活動や状況を行わないことでリスクを取り除く | リスクの高いサービスや機能の提供をやめる。個人情報を収集しないシステム設計にする |
| リスク低減(軽減) | 管理策を実施してリスクの発生確率や影響度を下げる | ファイアウォール導入、パッチ適用、社員教育の実施、アクセス制御の強化 |
| リスク移転(共有) | リスクの損失を第三者と共有する | サイバー保険の加入、業務をクラウド事業者やアウトソーサーに委託 |
| リスク受容(保有) | リスクを認識したうえで意識的に受け入れる | 対策コストが損失額を上回る場合や、リスクが許容範囲内と判断した場合 |
なお「リスク受容」は無策に放置することではなく、リスクを認識した上で受け入れる意識的な判断です。 残留リスク(残存リスク)についても経営者が承認する必要があります。
4. 情報セキュリティポリシーの3層構造
組織が情報セキュリティを体系的に管理するためには、文書化された「情報セキュリティポリシー」が必要です。 ポリシーは3層の文書構造で管理されます。
| 層 | 文書名 | 内容 | 策定者 |
|---|---|---|---|
| 第1層 | 基本方針(情報セキュリティポリシー) | 情報セキュリティに対する組織の基本的な考え方・方針。何を守るか・なぜ守るか | 経営層 |
| 第2層 | 対策基準(スタンダード) | 基本方針を実現するための具体的なルール・基準。何をすべきかを規定 | CISO・情報セキュリティ委員会 |
| 第3層 | 実施手順(プロシージャ) | 対策基準を実施するための具体的な手順・操作方法。どのようにするかを記述 | 各部門・担当者 |
基本方針は公開されることも多く、組織の情報セキュリティへの取り組み姿勢を対外的に示す役割もあります。 対策基準・実施手順は定期的に見直しが必要です。
5. 重要な設計原則
多層防御(Defence in Depth)
単一の防御手段に頼らず、複数のセキュリティ対策を重ね合わせて防御する考え方です。 ある層の防御が突破されても次の層で食い止めることができます。 ネットワーク層・アプリケーション層・データ層など異なるレベルで対策を講じます。
セキュリティバイデザイン(Security by Design)
システムの設計・開発段階からセキュリティを組み込む考え方です。 後付けでセキュリティ対策を追加するより、コストが低く効果的です。SDL(セキュリティ開発ライフサイクル)とも呼ばれます。
プライバシーバイデザイン(Privacy by Design)
個人情報保護の仕組みをシステムの設計段階から組み込む考え方です。 個人情報保護法の改正により重要性が増しており、データ最小化・目的限定などの原則が含まれます。
最小権限の原則(Principle of Least Privilege)
ユーザーやシステムには、業務遂行に必要な最小限のアクセス権限のみを付与するという原則です。 不正アクセス被害や内部不正の影響範囲を最小限に抑える効果があります。
ゼロトラスト(Zero Trust)
「信頼しない、常に検証する(Never trust, always verify)」を原則とするセキュリティモデルです。 従来の「内部ネットワークは安全」という前提を否定し、内部・外部を問わずすべてのアクセスを検証します。 テレワーク普及により注目が高まっており、SG試験でも近年出題が増えています。
6. 例題で確認
よくある質問(FAQ)
Q. CIAの3要素と7特性を全部覚える必要がありますか?
A. CIA(機密性・完全性・可用性)は必須です。追加4特性(真正性・責任追跡性・否認防止・信頼性)も近年の試験では出題されるため、できれば覚えておきましょう。特に「否認防止=デジタル署名で証明」という対応は頻出です。
Q. リスク回避とリスク受容の違いが分かりません。
A. リスク回避は「そのリスクを生む活動自体をやめる」こと、リスク受容は「リスクを認識したうえで活動を続ける」ことです。例えば、「Webサービス提供をやめる」がリスク回避、「対策コストが高いため現状維持する」がリスク受容です。
Q. ゼロトラストはどのような場面で問われますか?
A. 「テレワーク環境での安全なアクセス制御」「クラウド活用時のセキュリティモデル」といった文脈で出題されます。「内部ネットワークでも信頼しない」という点が従来の境界型防御との違いとして問われます。