問題
問80
ISMS 適合性評価制度において、組織が ISMS 認証を取得していることから判断できることだけを全て挙げたものはどれか。
- a 組織が運営する Web サイトを構成しているシステムには脆弱性がないこと
- b 組織が情報資産を適切に管理し、それを守るための取組みを行っていること
- c 組織が提供する暗号モジュールには、暗号化機能,署名機能が適切に実装されていること
- a
- b
- b, c
- c
[出典:ITパスポート試験 平成29年度秋期 問80]
正解
正解は「イ」です。
解説
ISMS(情報セキュリティマネジメントシステム)認証は、組織が情報セキュリティを適切に管理し、保護するための「仕組み」が国際規格(ISO/IEC 27001)に適合していることを第三者機関が認定する制度です。認証を取得しているということは、「情報資産を適切に管理し、それを守るための取り組みを組織として継続的に行っている」ことを意味します。
これは、組織が情報セキュリティリスクを特定し、そのリスクを低減するための対策を計画・実行し、評価・改善する一連のプロセス(PDCAサイクル)が確立されていることを示します。しかし、認証はあくまで「仕組み」の適切性を評価するものであり、個々のシステムに「脆弱性が全くない」ことや、特定の製品(暗号モジュールなど)が「適切に実装されている」ことを直接保証するものではありません。
例えば、ISMS認証を受けた企業でも、新しいシステムの導入や設定ミスによって一時的に脆弱性が発生する可能性はありますし、個々の製品の品質保証はISMSの範囲外です。したがって、選択肢bだけがISMS認証から判断できる内容として適切です。
ア(a):
ISMS認証は、組織が情報セキュリティを管理する「仕組み」を評価するものであり、個々のシステムに「脆弱性が全くないこと」を直接保証するものではありません。システムは常に変化するため、脆弱性が完全にゼロであると断言することはできません。
ウ(b, c):
選択肢bはISMS認証から判断できる内容ですが、選択肢cの「暗号モジュールの適切性」は、ISMS認証が直接保証する範囲ではありません。ISMSはあくまで情報資産を管理するためのプロセスや体制を評価するため、特定の製品の機能実装を直接保証するものではないからです。
エ(c):
ISMS認証は、組織の情報セキュリティ管理体制の適合性を評価するものであり、組織が提供する個々の製品やサービス(暗号モジュールなど)の機能が適切に実装されていることを直接保証するものではありません。製品の品質や機能の保証は、別途の評価基準や認証制度に該当します。
難易度
ISMS認証の基本的な理解が問われる問題です。ISMSが「情報セキュリティを管理する仕組み」を評価するものであり、「個別の脆弱性や製品の品質を直接保証するものではない」という点を正確に把握していれば、比較的容易に正解できます。ITパスポート試験では頻出するテーマの一つなので、ISMSの定義や範囲をしっかり学習しておくことが、このタイプの問題を解く上でのポイントになります。
用語補足
ISMS:
Information Security Management Systemの略で、組織が情報セキュリティを管理するための仕組みのことです。例えば、会社の機密情報を守るために「誰が」「何を」「どのように」管理するかというルールや体制を整えることです。
情報資産:
組織にとって価値のある情報や、その情報を扱うシステム全般を指します。例えば、顧客リストや会計データといったデジタル情報だけでなく、それらが保存されているパソコンやサーバー、紙の書類なども情報資産に含まれます。
脆弱性:
システムやソフトウェア、運用方法などに存在するセキュリティ上の弱点のことです。例えば、鍵が壊れやすいドアや、パスワードが簡単な設定になっていることなどが脆弱性に当たります。
暗号モジュール:
情報を暗号化・復号化する機能を持つハードウェアやソフトウェアの部品のことです。例えば、USBメモリのデータを自動で暗号化する機能や、安全な通信を行うための特定のチップなどがこれに該当します。
対策
この問題を解くためのポイントは、ISMS(情報セキュリティマネジメントシステム)の認証が「何を保証するのか」を正確に理解することです。ISMS認証は、情報セキュリティを管理するための「仕組み」が国際規格に適合していることを評価するものであり、個別のシステムに脆弱性が全くないことや、特定の製品の機能が保証されていることとは異なります。
いわば、「情報セキュリティに関する交通ルールがきちんと整備されているか」をチェックするもので、「すべての車が事故を起こさない」と保証するものではないと考えると分かりやすいでしょう。この点を押さえることで、迷わずに正しい選択肢を選べるようになります。
