Vizigo
FE EXAM

ISMS(情報セキュリティを継続管理する仕組み)

組織の情報セキュリティを継続的に管理・改善する仕組み。

DIAGRAM
Plan
Do
Check
Act
ISMS継続的に管理・改善P — Plan(計画)守るべき情報と脅威を洗い出し、方針・対策・目標を立てる例: リスク分析、ポリシー策定D — Do(実行)計画にもとづいて対策を導入・運用する例: 社員教育、機器の設定C — Check(点検)対策が機能しているか点検・評価する例: 監査、ログ確認A — Act(改善)問題点を見直し、次の計画へ反映して改善する例: 是正措置、ルール改訂4つの段階を繰り返すことで、セキュリティのレベルを少しずつ高めていく
解説

📌
ISMSとは

仕組み(しくみ)として組織で守り続けるISMS情報セキュリティマネジメントシステム

ISMS(Information Security Management System、情報セキュリティマネジメントシステム)とは、組織の情報セキュリティを継続的に管理・改善する仕組みのことです。「マネジメントシステム」は、組織を運営・改善していくための枠組み(しくみ)を意味します。

ポイントは、ISMSが特定の機械やソフトではなく「組織の取り組みの仕組み」だということです。ファイアウォールやウイルス対策ソフトといった個別の道具ではなく、それらをどう選び・運用し・見直すかを組織として回していく活動全体を指します。

身近な例で考えると、健康診断と生活改善のサイクルに似ています。一度ダイエットして終わりではなく、「計画を立て→実行し→定期的に体重を測り→やり方を改善する」を繰り返して健康を保ちますよね。ISMSも同じように、一度きりではなく繰り返してセキュリティを保ち続けるものです。

📌
PDCAサイクル

ISMSでは、PDCAサイクルという4段階の手順を繰り返して、セキュリティを継続的に改善していきます。上の図解の循環がまさにこれです。

段階意味やること
P(Plan)計画守る対象とリスクを整理し、方針・目標を立てる
D(Do)実行計画にもとづいて対策を導入・運用する
C(Check)点検・評価対策が機能しているか監査・確認する
A(Act)改善問題点を見直し、次の計画へ反映する

4つの段階を順番に整理すると、次のようになります。
Plan(計画):どんな情報を、どんな脅威から守るかを洗い出し、方針・対策・目標を決めます。
Do(実行):立てた計画にしたがって、社員教育や機器の設定など、実際の対策を行います。
Check(点検・評価):対策がきちんと機能しているかを、監査やログ確認でチェックします。
Act(改善):見つかった問題点を直し、次の Plan に反映して、より良い計画へつなげます。

重要なのは、Act の後にまた Plan へ戻ってぐるぐると回し続ける点です。これにより、新しい脅威が現れてもセキュリティのレベルを少しずつ高め続けられるのです。「やりっぱなし」にしないことがISMSの肝です。

📌
ISO/IEC 27001との関係

規格に適合 → 第三者が認証ISMS組織の仕組みISO/IEC27001要求事項の規格🏅

ISO/IEC 27001とは、ISMSが満たすべき要求事項を定めた国際規格です。「ISMSをきちんと作って運用するには、最低限これらの条件を満たしなさい」というルール集だと考えると分かりやすいです。

両者の関係を整理すると、次のようになります。
ISMS:組織が情報セキュリティを管理・改善していく仕組みそのもの
ISO/IEC 27001:その仕組みが備えるべき条件をまとめた国際的な物差し(規格)
ISMS認証:自社のISMSがこの規格に適合していると、第三者の審査機関に認められること

身近な例で考えると、料理のレシピと認定試験の関係に似ています。ISMSが「自分のお店の調理の仕組み」だとすると、ISO/IEC 27001は「合格に必要な調理基準のチェックリスト」、ISMS認証は「審査員に基準クリアと認められて貼れる金メダル」のようなものです。規格に沿って仕組みを整え、第三者に認められると、取引先や顧客からの信頼につながります

📌
なぜISMSが必要か

一度だけの対策時間とともに脅威が変化→陳腐化ISMSのPDCAで脅威の変化に継続的に対応できる「やりっぱなし」をなくすのがISMSの役割

情報セキュリティは、一度対策すれば終わりではありません。なぜなら、攻撃の手口・使われる技術・守るべき情報の種類は毎年のように変化するからです。

たとえば次のような変化が常に起きています。
新しいマルウェア(悪意のあるソフト)が次々と作られる
テレワーク・クラウドなど業務環境が変わり、守るべき範囲が広がる
法律や規制(個人情報保護法など)が改正され、対応が必要になる

こうした変化に追いつくためには、「計画→実行→確認→改善」を繰り返す仕組みが必要です。それがISMSです。身近な例で考えると、家の防犯対策を一度やって安心するのではなく、毎年点検して最新の対策に更新していくのと同じです。ISMSは「組織でセキュリティを常に最新に保つための習慣づくりの仕組み」と言えます。

📌
情報セキュリティの3要素(CIA)

機密性Confidentiality許可された人だけ見られる完全性Integrity正確・改ざんされていない可用性Availability必要なときに使えるこの3つをバランスよく守ることがISMSの目標

ISMSが守ろうとする「情報セキュリティ」には、3つの大切な要素があります。頭文字をとってCIAと呼ばれます。
機密性(Confidentiality):許可された人だけが情報にアクセスできること。パスワードや権限管理がこれを守ります
完全性(Integrity):情報が正確で、無断で書き換えられていないこと。ハッシュ(=データの「指紋」)による改ざん検知などが手段です
可用性(Availability):必要なときに必要な情報・システムを使えること。バックアップや冗長化(=壊れても代わりがある構成)がこれを守ります

なぜ3つ全部が必要なのか。たとえば「誰にも見せなければ機密性は完璧」でも、必要な人が使えなければ可用性がゼロになってしまいます。反対に「誰でもいつでも見られる」なら可用性は高くても機密性が失われます。3つをバランスよく保つことが、情報セキュリティの核心です。ISMSはこのバランスを組織全体で継続的に管理するための仕組みです。

練習問題

🎯
基本情報技術者 練習問題

Q1.ISMSの説明として最も適切なものはどれか。
A.組織の情報セキュリティを継続的に管理・改善する仕組み
B.通信を暗号化する数学的な手順
C.ネットワーク機器同士を接続するケーブルの規格
D.不正なアクセスを検知するハードウェア装置
Q2.ISMSで用いられるPDCAサイクルの各段階の組み合わせとして正しいものはどれか。
A.Plan=計画、Do=実行、Check=点検・評価、Act=改善
B.Plan=実行、Do=計画、Check=改善、Act=点検
C.Plan=点検、Do=改善、Check=計画、Act=実行
D.Plan=改善、Do=点検、Check=実行、Act=計画
Q3.ISMSとISO/IEC 27001の関係として最も適切なものはどれか。
A.ISO/IEC 27001はISMSの要求事項を定めた国際規格である
B.ISO/IEC 27001はマルウェアの一種である
C.ISO/IEC 27001はISMSとはまったく無関係の通信規格である
D.ISMSはISO/IEC 27001を禁止するための制度である

関連コンテンツ

リスクアセスメント

リスクアセスメント

リスクを洗い出し、その大きさを分析・評価する一連の活動。

ISO/IEC 27001

ISO/IEC 27001

情報セキュリティマネジメントシステムの国際規格。

IPスプーフィング

IPスプーフィング

送信元IPアドレスを偽装して別の機器になりすます攻撃。

パスワードリスト攻撃

パスワードリスト攻撃

他で流出したID・パスワードの一覧を使い回して不正ログインを試みる攻撃。

パスワードクラック

パスワードクラック

何らかの手段でパスワードを解析・推測して破る行為。

セッションハイジャック

セッションハイジャック

利用者のセッション情報を奪い取って成りすます攻撃。