Lesson 04 - 情報セキュリティマネジメント試験合格講座

セキュマネ合格講座
informationsecuritymanagement.jp
Information Security Management 04

情報セキュリティポリシ/リスクマネジメント
1. 情報セキュリティ基本方針
情報セキュリティの目標と、その目標を達成するために企業・組織がとるべき行動
を社内外に宣言する文書。情報セキュリティのための経営陣の方向性及び支持を
規定する。事業、組織、所在地、資産及び技術の特徴を考慮して策定する。有効
性・妥当性を維持するために改善を行い、すべての従業員に対して周知させる必
要がある。
2. 個人情報保護方針/プライバシーポリシ(Privacy Policy)
組織が個人情報保護法に基づき収集した個人情報を、どのように扱うのかを定め
た文書のこと。具体的な利用目的や利用の範囲および、どのような手段で管理・
保護を行うかなど規定される。
3. 情報資産(Information Asset)
財務情報、人事情報、顧客情報、技術情報など、情報セキュリティ対策を講じて
守るべき対象。情報そのものだけでなく、情報を取り扱う仕組みまでを含めた概念。
書類、データだけでなく、ハードウェア、ソフトウェア、設備、メディア、人員、文書
までも包括する。なにを企業の情報資産とするかは、企業の業種や業務特性など
で個別に決定する。
4. 無形資産
特許、商標権、著作権などの知的財産権、顧客情報、ブランドなど、企業で培わ
れた価値、従業員の経験・技能などのように物理的な実体を伴わない資産。
5. リスクマネジメント(Risk Management)
組織体の活動に伴い発生するあらゆるリスクを、統合的、包括的、戦略的に把握、
評価、最適化し、価値の最大化を図る手法。
Copyright © Kanya Ishikawa All Rights Reserved.
1/4
セキュマネ合格講座
informationsecuritymanagement.jp
6. リスクアセスメント(Risk Assessment)
リスクの大きさを評価しそのリスクが許容できるか否かを決定する全体的なプロセ
スのこと。予想されるリスクの可能性と大きさと、許容される可能性と大きさを比較し
「リスク対応」を行うときの優先度の根拠となるリスクレベルを決定する活動。損失
額と発生確率の予測に基づくリスクの大きさに従うなどの方法で、対応の優先順
位を付ける。
7. リスクレベル (Level of Risk)
結果とその起こりやすさとの組合せとして表されるリスクの大きさ。
8. リスク特定 (Risk Identification)
リスクを発見し、認識し、記述するプロセス。組織が掲げる目的・目標の達成を阻
害する可能性のあるリスクを全て洗い出す作業。
9. リスク分析 (Risk Analysis)
組織が守るべき情報資産を洗い出して、個々の情報資産に関するリスクを明らか
にする作業。リスクの特質を理解して、リスクレベルを決定するためのプロセス。
10. リスク評価 (Risk Evaluation)
洗い出された個々の情報資産に関するリスクを測定する作業。リスクが受容可能
であるかどうかを決定するために、リスク分析の結果をリスク基準と比較するプロセ
ス。
11. リスク対応 (Risk Treatment)
リスクを修正するプロセス。リスク分析から得た評価を基に正しい対応方法を定め
て実施すること。
12. リスク最適化
適切な管理策を採用し、リスクを低減する方法のこと。現実には、対策の実施によ
るリスクの完全な除去は不可能なため、利便性の確保や、対策にかかる費用と効
果の比較により顕在化したときのリスクを受容可能な水準にとどめるのに十分な費
用を投入して対策を実施し、残留リスクを保有する。
Copyright © Kanya Ishikawa All Rights Reserved.
2/4
セキュマネ合格講座
informationsecuritymanagement.jp
13. リスク保有/リスク受容
リスク対策に費用をかけないでリスクを許容する戦略や選択。あるリスクからの損失
の負担を受容すること。
14. リスク回避
リスクの原因を除去する戦略や選択。リスク対応を考えてもコストの割に利益が得
られない場合や適切な対応が見出されない場合、リスクを回避するために、業務
を廃止したり、情報資産を破棄したりといった方法をとること。
15. リスク分解/リスク集約
リスクを扱いやすい単位に分解するか集約する戦略や選択。
16. リスク移転/リスク共有
保険を掛けるなど、リスクに関する損失の負担を他者と分担する戦略や選択。契
約等によりリスクを他者(他社)に移転すること。情報資産や情報セキュリティ対策を
外部に委託する方法(アウトソーシング)、リスクファイナンスの一種として保険等を
利用する方法がある。
17. 統制リスク
JIS Q 31000:2010(リスクマネジメント-原則及び指針)では「監査手続を実施しても
監査人が重要な不備を発見できないリスク」と定義されている。
18. 固有リスク
JIS Q 31000:2010(リスクマネジメント-原則及び指針)では「業務の性質や本来有
する特性から生じるリスク」と定義されている。
19. 残留リスク(残存リスク)
JIS Q 31000:2010(リスクマネジメント-原則及び指針)では「リスク対応後に残るリス
ク」と定義されている。リスク対策を適用しても解消しきれず残存するリスク。
20. 脅威(Threat)
情報資産に害をもたらすおそれのある事象の原因。システムまたは組織に損害を
与える可能性があるインシデントの潜在的な原因。
Copyright © Kanya Ishikawa All Rights Reserved.
3/4
セキュマネ合格講座
informationsecuritymanagement.jp
21. 脆弱性(Vulnerability、バルネラビリティ)
情報資産に内在して、リスクを顕在化させる弱点。
22. 定量的評価
被害が発生する確率と被害額で評価するなど、リスクの大きさを数値で表す評価
手法。
23. 定性的評価
攻撃手法の新しさと対策の難易度で評価するなど、レベルやランク付けをして数
値以外で表す手法。
24. サイバー情報共有イニシアティブ(J-CSIP
Initiative for Cyber Security Information sharing Partnership of Japan)
検知したサイバー攻撃の情報を公的機関に集約し、高度なサイバー攻撃対策に
つなげていく取組み。具体的には、IPA と各参加組織(あるいは参加組織を束ね
る業界団体)間で締結した秘密保持契約(NDA)のもと、参加組織およびそのグル
ープ企業において検知されたサイバー攻撃等の情報を IPA に集約。情報提供元
に関する情報や機微情報の匿名化を行い、IPA による分析情報を付加した上で、
情報提供元の承認を得て共有可能な情報とし、参加組織間での情報共有を行っ
ている。
25. IT セキュリティ評価及び認証制度(JISEC
Japan Information Technology Security Evaluation and Certification Scheme)
独立行政法人情報処理推進機構(IPA)による、IT 関連製品のセキュリティ機能の
適切性・確実性を、セキュリティ評価基準の国際標準である ISO/IEC 15408 に基
づいて第三者(評価機関)が評価し、その評価結果を認証機関が認証する制度。
下記の練習問題で得点力を鍛えましょう!
 翔泳社「情報セキュリティマネジメント要点整理&予想問題集」
 情報セキュリティマネジメント試験合格講座 【練習問題】
http:// informationsecuritymanagement.jp/exercise/
Copyright © Kanya Ishikawa All Rights Reserved.
4/4