Stepio

情報セキュリティマネジメントとは?ISMSとCIAを解説

情報セキュリティマネジメントとは?ISMSとCIAを解説

ITパスポート 情報セキュリティマネジメントとは?ISMSとCIAを解説
情報セキュリティマネジメントの全体像を整理したい受験生
「ISMSって、結局なにを守る仕組み?」
「CIA の3つの観点ってどう違うの?」
「リスク対応の4区分が覚えられない」

そんな疑問を抱える、ITパスポート受験中のあなたへ。

結論から言えば、
情報セキュリティマネジメントとは、組織が情報資産をCIA(機密性・完全性・可用性)の3観点で守るために、リスクを見つけて対策をPDCAで回し続ける仕組みのことです。

この記事では、ISMSの位置づけ・CIAの3要素・リスクアセスメントと4つの対応・PDCAサイクルまで、あなたが試験で迷わない順番でやさしく解説します。

 

目次

1. 情報セキュリティマネジメントとISMS

情報資産とISMSの基本を整理するイメージ

まずは、あなたが押さえたい全体像から見ていきましょう。

情報セキュリティマネジメントとは、組織の情報資産(顧客データ・設計図・業務システムなど、価値のある情報全般)を守るために、ルールと運用を継続的に整える管理活動のことです。

その代表的な枠組みが ISMS(情報セキュリティマネジメントシステム) で、国際規格 ISO/IEC 27001 に沿って構築・運用されるのが一般的です。

 

情報セキュリティマネジメントの3つの要点
1. 守る対象は「情報資産」(データ・システム・紙の書類も含む)
2. 守る観点は「CIA」の3つ
3. ISMS は ISO/IEC 27001 に沿って構築・運用される

 

イメージとしては、情報セキュリティマネジメントは金庫の管理ルールに近いものです。守るもの(情報資産)を決め、鍵(対策)をかけ、定期点検(運用)を回す。この3点セットを継続するから、長く安全が保てるという考え方です。

 

なお、情報資産の管理は組織全体の内部統制の一部分でもあり、経営層の関与が前提となります。

 

2. CIA — 機密性・完全性・可用性

CIA の3要素を分析するイメージ

つづいて、あなたが試験で頻出と感じるであろう CIA の中身を整理します。

CIA は、情報セキュリティで守るべき3つの観点の頭文字をまとめた呼び方です。

 

機密性(Confidentiality): 許可された人だけが情報にアクセスできる状態のことです。たとえば、ID とパスワードでログイン制限をかけたり、社外秘ファイルにアクセス権を絞るのは機密性を守る対策です。認証と認可暗号化と密接につながる観点でもあります。

 

完全性(Integrity): 情報が改ざんされず、正しい内容のまま保たれている状態を指します。データ送信時のハッシュチェック、Web フォームの入力検証、生成AIに対するプロンプトインジェクション対策も完全性に関わるテーマです。受信側で「届いた情報が途中で書き換えられていないか」を確認する仕組みが核になります。

 

可用性(Availability): 必要なときに情報やシステムを使える状態のことです。サーバ障害や DDoS 攻撃でサービスが止まると、可用性が損なわれます。冗長化やバックアップは、可用性を維持する代表的な対策と位置づけられています。

 

試験では「機密性=見せない」「完全性=変えさせない」「可用性=止めない」の語呂で覚えると整理しやすくなります。3つのバランスを取ることが、情報セキュリティマネジメントの基本姿勢です。

 

3. リスクアセスメントと4つの対応

リスクアセスメントの流れを進めるイメージ

ここからは、あなたが具体的に何をするのかをお伝えします。

ISMSの中心となる活動が リスクアセスメント で、リスクの特定・分析・評価の順に進めるのが基本です。「どんな情報資産に、どんな脅威があり、どれくらい影響が出るか」を見える化する工程と覚えておきましょう。

イメージとしては、健康診断に似ています。体のどこに弱点があるかを調べてから、対策を考えるという流れと同じです。むやみに対策を増やすのではなく、影響度の高いリスクから優先的に手を打つための土台になります。

 

そして評価したリスクには、次の4つの対応のいずれかを選びます。

リスク対応の4区分
1. 回避: 危険な業務やシステム自体をやめて、リスク発生源をなくす
2. 低減: セキュリティ対策(認証強化・暗号化など)で発生確率や影響を下げる
3. 移転: サイバー保険や外部委託で、リスクを他者と分担する
4. 受容: 影響が小さい場合に、対策せず受け入れる

 

「回避・低減・移転・受容」の4区分は ITパスポートで頻出ですので、語呂で覚えておくと安心です。なお可用性に関わる大規模障害には、BCP(事業継続計画)とセットで備えるのが一般的です。

 

4. PDCAサイクルで回し続ける

PDCAサイクルで継続的に改善するイメージ

最後に、あなたの理解の総仕上げです。

ISMSの大きな特徴は、一度作って終わりではなく PDCAサイクル で継続的に改善する点にあります。

 

Plan(計画): 守る情報資産を決め、リスクアセスメントとセキュリティ方針を策定する段階です。組織のビジネスにとって何が重要かを整理するところから始まります。

Do(運用): 計画した対策を現場で実施し、教育や監視を回していく段階です。ルールを「机上の文書」で終わらせず、日々の業務に組み込むのがポイントです。

Check(点検): 監査やインシデント対応の結果から、対策が機能しているかを確認する段階です。想定どおりに守れているか、抜け漏れがないかを冷静に評価します。

Act(改善): 点検結果を踏まえて、ルールや対策を見直す段階です。新しい脅威や業務変更に合わせて、計画を更新します。

 

PDCAの考え方は、ITサービスマネジメントと一体で運用されることも多く、IT運用全体の継続的改善のベースになっています。

 

5. まとめ: 今日からできる、最初の一歩

今日からの一歩を示すイメージ

ここまで、情報セキュリティマネジメントの3つの柱を見てきました。

 

1. ISMS は情報資産をCIAの3観点で守る仕組み
2. リスクアセスメントで「回避・低減・移転・受容」のいずれかを選ぶ
3. PDCAサイクルで継続的に改善し続ける

 

ITパスポート テクノロジ系セキュリティ分野の中核テーマです。「CIAの3要素」「リスク対応4区分」「PDCA」の3点セットを押さえておくと、あなたの得点源になります。

 

今日からできる、あなたの最初の一歩はとてもシンプルです。

 

1. CIA(機密性・完全性・可用性)を声に出して3回確認(2分)
2. リスク対応4区分「回避・低減・移転・受容」をノートに書き出す(3分)
3. ITパスポート問題集で関連問題を3問解く(10分)

 

たった15分で、あなたのセキュリティマネジメント理解は一段進みます。難しく見える分野ですが、用語を整理すれば確実に点が取れる範囲です。

 

次のステップ