情報セキュリティ管理まとめ｜CIA・リスク対応・ISMS・サイバー攻撃手法を図解で整理 | 中小企業診断士1次試験経営情報システム

「もし今日、社員のPCがランサムウェアに感染したら——」試験対策をしていてふと恐ろしくなりました。経営情報システムの情報セキュリティは、ただの暗記分野ではなく、実際に企業を守るための知識なんですね。CIA（機密性・完全性・可用性）という3要素を軸に、今回は試験頻出の管理策まで一緒に整理してみます。

情報セキュリティの3大要素：CIA

機密性（Confidentiality）

許可された者だけが情報にアクセスできる状態を確保すること

脅威例：不正アクセス・情報漏洩・盗聴

完全性（Integrity）

情報が改ざん・破壊されず正確・完全な状態を維持すること

脅威例：改ざん・不正書き換え・データ破損

可用性（Availability）

許可された者が必要なときに情報・システムを利用できる状態を確保すること

脅威例：DoS攻撃・システム停止・ランサムウェア

試験頻出計算：可用性（稼働率）

可用性 = 稼働時間 ÷ （稼働時間 + 停止時間）× 100%

例：月間720時間稼働予定、うちシステム停止が7.2時間だった場合
可用性 = 712.8 ÷ 720 × 100 = 99.0%

「99.9%」（スリーナイン）は月あたり約43分の停止が許容範囲。「99.99%」（フォーナイン）は約4.3分。

リスク対応の4戦略

戦略	内容	例	コスト
低減（軽減）	対策によりリスクを減らす	ファイアウォール導入、多要素認証	中〜高
移転（転嫁）	リスクを第三者に移す	サイバー保険加入、外部委託	中
保有（受容）	リスクをそのまま受け入れる	費用対効果が低い場合、意識的に受容	低
回避	リスクの原因となる活動をやめる	危険なサービスの廃止、該当業務の中止	機会損失

主要サイバー攻撃の手法

フィッシング（Phishing）

偽サイト・偽メールでID/パスワードを騙し取る。スピアフィッシング（特定個人を狙う）が近年増加。

ランサムウェア（Ransomware）

ファイルを暗号化して身代金を要求するマルウェア。可用性（A）を直撃。バックアップが最大の対策。

SQLインジェクション

Webフォームに悪意あるSQL文を入力し、DBを不正操作する攻撃。個人情報漏洩の原因に。入力値の無害化（サニタイジング）が対策。

標的型攻撃（APT）

特定の組織を長期間にわたり執拗に攻撃する手法。メール添付→内部侵入→情報収集→持ち出し。防御は出口対策（通信監視）が重要。

セキュリティポリシーの3階層とISMS

情報セキュリティ基本方針

組織全体の考え方・方向性を示す最上位文書。経営者が承認。「なぜ情報セキュリティを守るか」を宣言する。

対策基準（情報セキュリティ対策基準）

基本方針を実現するための具体的な規則・基準。「パスワードは8文字以上」「USBメモリは申請制」など。

実施手順（セキュリティ実施規程）

現場の作業手順書レベル。「パスワードの変更手順」「インシデント報告の手順」など担当者が実際に使う手順。

ISMS（ISO/IEC 27001）は、この3層を含む情報セキュリティマネジメントシステムの国際規格。PDCAサイクルで継続的に改善する。認証取得により取引先への信頼性アピールができる。

試験頻出ポイント整理

CHECK — 試験でよく問われるポイント

1. CIAの3要素とその脅威の組み合わせ
機密性=不正アクセス・漏洩、完全性=改ざん、可用性=DoS・ランサムウェア。セットで覚える。

2. 可用性の計算
稼働率（可用性）= 稼働時間 ÷ （稼働+停止）× 100%。並列システム（OR接続）と直列システム（AND接続）の違い。

3. リスク対応4戦略の使い分け
低減・移転・保有・回避。「保険加入」は移転、「業務停止」は回避、「対策なし」は保有（受容）。

4. 多要素認証の3要素
知識情報（パスワード）・所持情報（ICカード）・生体情報（指紋）の組み合わせ。2つ以上組み合わせる。

5. デジタル署名の目的
「なりすまし防止（本人確認）」と「改ざん検知（完全性確保）」。暗号化（機密性確保）とは別の目的。

Uのメモ

U のメモ

情報セキュリティの問題で混乱しやすいのが「暗号化」と「デジタル署名」の目的の違いです。
・暗号化 → 機密性（C）を守るため。第三者に読まれないように。
・デジタル署名 → 完全性（I）と認証のため。改ざん検知＋本人確認のために使う。

「なんとなく混同していた」という方が多い論点ですが、「何を守るための技術か」を意識すると整理できます。

Post Views: 16

よかったらシェアしてね！