クラウド活用のための情報セキュリティサイト
情報セキュリティ対策トップ > コラム > 情報セキュリティマネジメントとは?重要性や試験・資格について解説

情報セキュリティマネジメントとは?重要性や試験・資格について解説

情報セキュリティマネジメントについての知識を深めることは、企業の情シス担当者として非常に重要です。今回は、情報セキュリティマネジメントについての重要性や試験・資格について詳しくご紹介していきます。

オンライン・クラウドストレージ「DirectCloud」へ
DX推進のカギはクラウドセキュリティにあり!?
  • 情報漏えいに対するリスク対策。企業に求められる情報セキュリティのレベルは年々高くなっています。
    自社のセキュリティが心配になったらクラウドストレージをご検討ください。
    クラウドストレージのセキュリティに関する内容を資料にまとめました!

情報セキュリティマネジメントとは

情報セキュリティマネジメントとは、情報セキュリティと管理(=マネジメント)を足し合わせた造語です。企業や組織が持つ情報の安全を守るために、さまざまな運用及び管理を行うことが情報セキュリティマネジメントの主旨となっています。

情報セキュリティで重要な3大要素

情報セキュリティにおいて重大な3大要素は以下の通りです。

機密性:Confidentiality

機密性とは、システム上で認可されていない個人・エンティティ・プロセスに対して、重要な情報を使用させず、開示も許さないことを意味しています。これにより、情報の機密を保持することができます。機密性が担保されていない場合、不正アクセスの対象となる可能性があります。

完全性:Integrity

完全性とは、情報の正確性及び完全さの特性を意味しています。具体的には、改ざんされておらず、過不足のない正確な情報が保持されている状態のことを指します。もしも完全性が失われてしまうと、データの正確性・信頼性が疑われてしまうことになります。

可用性:Availability

可用性とは、システムが認可されたエンティティが要求した時に、情報へのアクセス及び使用が可能である特性のことを意味しています。具体的には、情報をいつでも使える状態に保持しておくことを指します。必要な時に、必要な情報に、目的を果たすまで、いつでもアクセスができるシステムは、可用性の高いシステムであると言うことができます。

ISMS(情報セキュリティマネジメントシステム)とは

ISMSとは、「Information Security Management System」の略語です。これは、具体的には「情報セキュリティマネジメントシステム」のことを意味しています。
システムという呼び名が付いているので、パソコンのソフトウェアか何かだと勘違いする方もいるかと思いますが、実際はそうではありません。
ここでの情報セキュリティマネジメントシステムの意味は、「情報セキュリティを守るという組織が目標達成するための仕組み」のことを指しています。
セキュリティポリシーの策定、ルールのマニュアル整備、実施・運用の計画書の用意、教育の徹底といった、企業や組織が情報セキュリティを守るために行うあらゆるモノや活動を、情報セキュリティマネジメントシステムと呼ぶのです。

情報セキュリティマネジメントシステムを実現するためには、個別に発生するセキュリティ面の問題解決や技術対策のほかに、組織のマネジメントとして、自らのリスクアセスメントに基づき、必要となるセキュリティのレベル感を決定し、計画を立て、リソースを確保してシステム運用に努めることが重要となります。

JIS Q 27001(ISO/IEC 27001)とは

JIS Q 27001(ISO/IEC 27001)はISMS(情報セキュリティシステム)の要求している事項を定めた規格のことです。会社などの組織がISMSを確立した上で実施・維持を行なっていき、継続的に改善を行うための要求事項を提供することを目的として作成されているという特徴があります。

JIS Q 27001(ISO/IEC 27001)では、組織のマネジメントや業務プロセスを取り巻いているリスクの変化への対応方法がまとめられています。また、情報セキュリティ要求事項を満たす組織の能力を内外で評価するための基準についても語られています。

このように、国際標準化機構が発行している国際規格にはさまざまな要求事項と呼ばれるルールが設けられています。例えば、ISMS(情報セキュリティシステム)の要求事項を実現するためには、114個あると言われている管理策について、具体的な手順を定めた上で、全てのプロセスを確実に実施することが求められます。

なお、国際規格の中でも、特に重要視されているのがPDCAサイクルを回し、継続的に情報セキュリティマネジメントシステムの改善をし続けることです。この考え方は、ISMS(情報セキュリティシステム)以外の国際規格の中でも必ず要求事項となっており、重要性の高い事項であることがわかります。

つまり、ISMS(情報セキュリティシステム)などの国際規格を守っていくためには、常にPDCAのサイクルを回し続け、改善を続けていかねばならず、継続的な改善のサイクルを回すことができない組織は、国際規格の準拠ができていないと判断されるということになります。

情報セキュリティマネジメント試験とは

情報セキュリティマネジメント試験とは、情報セキュリティマネジメントの計画や運用、評価、改善などを通じて組織の情報セキュリティ確保に貢献できるスキルを獲得し、サイバ〜攻撃や不正アクセスなどから継続的に組織を守るための能力を持っているかどうかを認定する試験のことです。

情報セキュリティマネジメント試験は、独立行政法人情報処理推進機構(Information-technology Promotion Agency,Japan/略称:IPA)が運営するIT系の国家資格であり、経済産業大臣が国家試験として行なっている「情報処理技術者試験」の一区分で、2016年から開始された新しい資格となっています。

このようなスキルと知識を身につけた人材は、企業や組織の情シス担当者として、組織づくりに欠かせない存在となります。業務で個人情報などの機密情報を取り扱う方、情報管理を担当する業務に就いている方、外部委託先に対する情報セキュリティ評価及び確認を行う方、情報セキュリティに関するスキルや知識を身につけたい方などが、情報セキュリティマネジメント試験の対象者となります。

試験については、CBT(Computer Based Testing)方式で、上期・下期にそれぞれ行われているため、情報セキュリティを担当する方はぜひとも受けてみてはいかがでしょうか。

情報セキュリティマネジメントは企業や組織には必須

ここまで、情報セキュリティマネジメントシステムの重要性や、実施されている試験・資格に関する情報を詳しくお伝えしてまいりました。今や、情報セキュリティ対策に関するスキルや知識は、企業や組織には必須とも言えるものです。情シス担当者の方は、これを機会に試験の受験なども含め、もろもろ検討してみてください。

オンライン・クラウドストレージ「DirectCloud」へ
DX推進のカギはクラウドセキュリティにあり!?
  • 情報漏えいに対するリスク対策。企業に求められる情報セキュリティのレベルは年々高くなっています。
    自社のセキュリティが心配になったらクラウドストレージをご検討ください。
    クラウドストレージのセキュリティに関する内容を資料にまとめました!