📌 結論から理解する
情報セキュリティとは「情報の価値を守る活動」
情報セキュリティとは、組織や個人が持つ情報資産を、脅威から守るための活動・仕組みの総体です。
「守る」対象は機密書類だけではありません。顧客データ・システム・社員の知識・業務ノウハウなど、価値のある情報すべてが対象です。
試験では「情報セキュリティの3要素(CIA)」「脅威・脆弱性・リスクの違い」が必ず問われます。このページでは全体像を押さえましょう。
なぜ今、情報セキュリティが重要なのか
情報セキュリティが重要な3つの理由
💥
① 被害が甚大になった
個人情報漏えい1件で数億円の損害賠償。ランサムウェア被害で事業停止。サプライチェーン攻撃で取引先まで巻き込む。
🌐
② デジタル化で攻撃面が広がった
クラウド・テレワーク・スマホの普及で、守るべき境界が消えた。「社内ネットワーク=安全」という前提がなくなった。
⚖️
③ 法律・規制が厳しくなった
個人情報保護法改正・GDPRなどで、漏えい時の報告義務・制裁金が強化。コンプライアンス対応は避けられない。
情報セキュリティの3要素(CIA)
情報セキュリティはCIA三要素という3つの柱で定義されます。
🔒
機密性
Confidentiality
許可された人だけがアクセスできる
✅
完全性
Integrity
改ざん・破損のない正確な状態
⚡
可用性
Availability
必要な時にいつでも使える
近年は「真正性」「責任追跡性」「否認防止」「信頼性」を加えた7要素も定義されていますが、試験の基本はCIAの3要素です。
情報セキュリティマネジメントとは
単なる「技術的な対策」だけでなく、組織全体で情報セキュリティを維持・改善し続ける仕組みのことを情報セキュリティマネジメントといいます。
📋
方針の策定:情報セキュリティポリシーを作る
🔍
リスクの把握:何が脅威か、どこが弱いかを分析する
🛡️
対策の実施:技術・組織・物理の各対策を導入する
📊
評価・改善:監査でチェックし、継続的に改善する(PDCA)
情報セキュリティの対策の種類
| 対策の種類 | 内容 | 例 |
|---|---|---|
| 技術的対策 | システム・ソフトウェアで守る | 暗号化・FW・ウイルス対策・MFA |
| 組織的対策 | ルール・体制・手順で守る | ポリシー策定・CSIRT設置・規程整備 |
| 人的対策 | 人の行動・意識で守る | 教育・訓練・誓約書・バックグラウンドチェック |
| 物理的対策 | 物理的な手段で守る | 入退室管理・施錠・監視カメラ・クリアデスク |
試験では「この対策は4種類のどれか」という分類問題が出ます。「技術的」と「物理的」の違いに注意。
情報セキュリティとサイバーセキュリティの違い
| 用語 | 対象範囲 |
|---|---|
| 情報セキュリティ | デジタル・紙・口頭などあらゆる形態の情報を守る(広い概念) |
| サイバーセキュリティ | 主にコンピュータ・ネットワーク上のデジタル情報を守る |
「情報セキュリティ=ITセキュリティ」は誤り。紙の書類・口頭の会話・人の知識も守る対象です。
試験に出るキーワード整理
- 情報資産:組織が保護すべき価値ある情報・システム・知識
- 脅威:情報資産に害を与えうる原因(マルウェア・内部不正・災害など)
- 脆弱性:脅威につけ込まれる弱点・欠陥(パッチ未適用・弱いパスワードなど)
- リスク:脅威が脆弱性を突いて損害が発生する可能性
- インシデント:実際に発生したセキュリティ上の問題・事故
- ISMS:情報セキュリティを組織的に管理する仕組み(ISO/IEC 27001)
🧠 確認クイズ
Q1. 情報セキュリティの3要素(CIA)の組み合わせとして正しいのは?
Q2. 物理的対策として分類されるものはどれか?
Q3. 情報セキュリティにおける「脆弱性」の説明として正しいのは?