情報セキュリティマネジメント・
規格認証に関する知識

情報セキュリティポリシーの策定やネットワークセキュリティ、脆弱性診断、認証システムなど、業務範囲が幅広いセキュリティエンジニア。

基礎は網羅しつつ得意な領域を持ってキャリアアップできる職業なので、このページではセキュリティエンジニアになるために必要な知識・スキルの一つ「情報セキュリティマネジメント・規格認証」の基礎についてどんな知識が必要なのかを紹介します。

セキュリティエンジニアに興味をもった方、そして今後どこを得意領域にしていこうかなとお考えのエンジニアの方必見です！

情報セキュリティマネジメントとは

情報の安全性を確保し、不正アクセスや情報漏洩を防ぐために、企業が行う組織的・体系的な取り組みを「情報セキュリティマネジメント」といいます。各部署や担当者、システムごとで個別に行うのではなく、企業全体で統一した基準・方向性に基づいたセキュリティ対策を行うのが特徴です。

組織的・体系的に情報セキュリティマネジメントを行うメリットは、効率的に組織全体のセキュリティを高められる点にあります。

セキュリティは、どこか一部でも穴があると、そこから侵入されたり不正アクセスや情報漏洩が起こってしまったりする可能性があります。しかし組織全体でセキュリティ対策を行うことで、組織内のセキュリティレベルを均一に保つとともに、リスクに合わせた対策の変更なども一括で行えるようになります。

情報セキュリティマネジメント関連で
まずは知っておきたい基礎知識

ISMS適合性評価制度

ISMS適合性評価制度は、国際的基準に合った情報セキュリティ対策が行われているかどうか、第三者機関が認証する制度です。

情報セキュリティポリシーの策定、マニュアル整備、実施・運用の計画書の用意、教育の徹底など、組織が行う情報セキュリティマネジメントの取り組み（セキュリティマネジメントシステム）が評価されます。

情報セキュリティポリシー

情報セキュリティポリシーとは、企業や組織が「どんな情報を、なぜ保護するのか」を明確に記した文書です。情報セキュリティに対する考え方や適用範囲、対応体制、対策基準、実施手順などについて記載します。

情報セキュリティポリシーは、経営陣が中心となって策定し、ステークホルダーに対して公開されるのが一般的です。また、社員や従業員に配布し周知徹底させることで、従業員のセキュリティ意識向上を図ることが可能です。

リスクマネジメント

情報セキュリティにおけるリスクマネジメントとは、情報資産に対するセキュリティリスクを分析評価し、優先順位をつけることで、損失を回避あるいは最小限に食い止める一連の取り組みのことです。

「情報資産」「脅威」「脆弱性」の3つの視点でリスクを評価し、適切な対応策を決定します。

情報セキュリティに関する規格の基礎知識

ISO/IEC 27002：2014は、情報セキュリティマネジメントシステム（ISMS）の国際規格であるISO/IEC 27001：2013を国内規格化したものです。情報セキュリティマネジメントシステム（ISMS）の構築、運用についての要求事項が体系的にまとめられています。ISMS認証を取得するためのルールブックとも言われています。

ISO/IEC 27002：2014は、情報セキュリティマネジメントシステム（ISMS）の国際規格であるISO/IEC 27001：2013を国内規格化したもの。こちらには、組織内で情報セキュリティを実践する際の、具体的な管理策が示されています。

他にも、CC（ISO/IEC 15408）やISO/IEC 20000-1/20000-2など、さまざまな規格があります。

情報セキュリティに関する法令の基礎知識

ITの普及とともに、さまざまな法令も整備されています。

「個人情報保護法」「サイバーセキュリティ基本法」をはじめ、「高度情報通信ネットワーク社会形成基本法（IT基本法）」「電子署名認証法」「マイナンバー法・番号法」「迷惑メール防止法（特定電子メール法）」「不正アクセス禁止法（不正アクセス行為の禁止等に関する法律）」など、情報セキュリティに携わるさまざまな法令についても理解しておきましょう。

編集チームまとめ