1. 序論:情報セキュリティガバナンスの重要性と試験的意義
情報処理安全確保支援士(登録セキスペ)試験において、テクノロジーの実装能力と同等、あるいはそれ以上に重要視されるのが「マネジメント」および「法規・コンプライアンス」の領域である。高度化・巧妙化するサイバー攻撃に対抗するためには、単一の技術的対策(ファイアウォールやアンチウイルスソフトの導入など)だけでは不十分であり、組織全体としてのガバナンス、リスク管理プロセス、そして法的整合性の確保が不可欠となるからである。
近年の試験傾向を分析すると、午後問題(記述式)において、インシデント発生時の初動対応、経営層への報告義務、サプライチェーン全体を俯瞰したリスク管理、あるいは法改正に伴う規定の見直しといった「組織を守るためのルールと法律」に関する深い理解を問う設問が増加している。これらは、技術的な正解が一意に定まる問題とは異なり、組織の規模、業種、取り扱う情報の重要度に応じた「最適な判断」を導き出す能力が試される領域である。
本報告書は、試験対策において極めて重要となる「ISMS(情報セキュリティマネジメントシステム)」、「法規(個人情報保護法、不正競争防止法、不正アクセス禁止法、刑法等)」、「政府ガイドライン」の3点に焦点を当て、頻出用語とその背景にある概念を徹底的に解説するものである。各用語は単なる定義の暗記にとどまらず、用語間の相互関係や実務における適用、法的解釈のニュアンスを含めて記述し、試験合格に必要な知識体系を網羅的に提供することを目的とする。
2. ISMS(情報セキュリティマネジメントシステム)とISO/IEC 27000系
ISMS(Information Security Management System)は、組織が情報を適切に管理し、機密性・完全性・可用性を維持するための体系的な仕組みである。試験では、JIS Q 27000(ISO/IEC 27000)ファミリーに基づく用語の厳密な定義、リスクアセスメントの具体的な手法、そしてPDCAサイクルの実務運用に関する知識が頻出する。
2.1 情報セキュリティの要素と特性
情報セキュリティマネジメントの基礎となるのは、情報の「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」の3要素(CIA)である1。これらは情報資産を守るための最も基本的な指標であり、セキュリティ対策はこの3要素のバランスを組織の要件に合わせて調整するプロセスと言える。さらに、JIS Q 27000ではこれらに加え、真正性、責任追跡性、否認防止、信頼性といった追加特性も定義されており、これらも含めた理解が求められる。
機密性とは、認可されていない個人、エンティティ(主体)、またはプロセスに対して、情報を使用させず、また開示しない特性を指す。これはアクセス制御や暗号化によって実現されるものであり、情報漏洩対策の根幹をなす1。完全性は、資産の正確さおよび完全さを保護する特性であり、改ざんが行われていないことを保証する。ハッシュ関数を用いた検証やデジタル署名は、この完全性を担保するための技術的手段である2。可用性は、認可されたエンティティが要求したときに、アクセスおよび使用が可能である特性を指す。システムがダウンせずに稼働し続けることや、災害時のバックアップからの復旧能力(レジリエンス)がこれに該当する1。
これら3要素に加え、真正性は「エンティティが主張通りのものであること」を確実にする特性であり、なりすまし防止や多要素認証に関連する。責任追跡性は、ある動作を一意の動作主に追跡できる特性であり、ログ管理の主目的となる1。否認防止は、事象の発生や処置を行ったことを後になって否定させない能力であり、デジタル署名における送信者否認防止などが該当する3。
2.2 リスクマネジメントの構造とプロセス
ISMSの中核をなすのはリスクマネジメントである。組織は保有するすべての情報資産を特定し、それに対する脅威と脆弱性を分析し、受容可能なレベルまでリスクを低減させるプロセスを回し続ける必要がある。試験では、このプロセスの手順と、各段階で使用される手法の名称や特徴が問われる。
リスクアセスメントの手法
リスクアセスメントは、「リスク特定」、「リスク分析」、「リスク評価」の3段階から構成される。このプロセスにはいくつかのアプローチが存在するが、試験で頻出するのは以下の2つである。
- ベースライン分析(Baseline Approach): 公的機関のガイドラインや標準的な基準(ベースライン)と自社の現状を比較し、ギャップ(対策不足)を特定する手法である。コストと時間を節約できる反面、その組織固有の特殊なリスクを見落とす可能性がある。中小企業向けのガイドライン適用などがこれに当たる。
- 詳細リスク分析(Detailed Risk Analysis): 情報資産ごとに資産価値、脅威、脆弱性を個別に詳細に評価する手法である。最も厳密で適切な対策を導き出せるが、膨大なコストと専門知識、時間を要する。重要な資産に対して適用されることが多い。
リスク対応の4つの選択肢(T-A-M-A)
特定されたリスクに対して、組織が取り得る対応策は以下の4つに分類される。試験では、具体的な事例(例:サイバー保険への加入、サービスの中止など)が提示され、それがどの対応策に該当するかを問う問題が頻出する4。
- リスク低減(Mitigation / Modify): 情報セキュリティ対策(管理策)を導入し、リスクの発生確率や影響度を下げること。最も一般的な対応である。例えば、ファイアウォールの設置、OSへのパッチ適用、従業員への教育などが該当する。
- リスク回避(Avoid): リスクの原因となる活動そのものを停止または変更し、リスクをゼロにすること。例えば、個人情報漏洩のリスクが高すぎるため個人情報を扱う事業から撤退する、脆弱性のある旧システムの使用を完全に停止するなどが挙げられる4。
- リスク移転(Transfer / Share): リスクを他者へ転嫁または共有すること。サイバー保険への加入により金銭的損失を保険会社に移転する場合や、専門的なセキュリティ運用を外部ベンダー(SOCなど)に委託する場合がこれに当たる。ただし、法的責任までは完全に移転できない点に注意が必要である4。
- リスク保有(Accept / Retain): リスク対策のコストが想定される損害額を上回る場合や、対策技術が存在しない場合などに、あえて対策を行わずリスクを受容すること。ただし、これは単なる放置ではなく、経営陣がリスクの存在を認知し、承認した上での決定(受容)でなければならない4。
2.3 JIS Q 27000系 頻出用語集
ISMSの運用においては、用語の定義を正確に理解しておくことが不可欠である。以下に、試験対策として必須となる用語を解説する。
表1:ISMS・マネジメント関連用語一覧
| 用語 | 解説・試験的ポイント | 関連規格/概念 |
| ISMS (Information Security Management System) | 情報セキュリティを組織として管理・運用するための体系的な仕組み。技術的対策だけでなく、経営陣の関与、組織体制、文書化されたルール、教育を含むプロセス全体を指す1。 | ISO/IEC 27001 |
| PDCAサイクル | Plan(計画): 方針策定、リスクアセスメント、計画立案。 Do(実行): 計画の実施、運用、教育。 Check(監視・レビュー): 内部監査、マネジメントレビュー、有効性測定。 Act(維持・改善):是正処置、継続的改善1。 | 継続的改善 |
| JIS Q 27000 | 情報セキュリティマネジメントシステムに関する「用語と定義」を定めた規格。問題文中の用語定義の根拠となる。 | 用語定義 |
| JIS Q 27001 | ISMSの**要求事項(Requirements)**を定めた規格。組織がISMS認証を取得する際の審査基準(ものさし)となる。これを満たすことが認証取得の必須条件である2。 | 認証基準 |
| JIS Q 27002 | 情報セキュリティ管理策の実践規範(Code of Practice)。具体的な対策(アクセス制御、暗号化、物理的セキュリティなど)の実装ガイドラインであり、27001の附属書Aの詳細版にあたる。 | 実践規範 |
| 情報セキュリティ方針 (Information Security Policy) | 組織の情報セキュリティに対する意図と方向性を経営陣が正式に表明した文書。全ての対策の最上位に位置し、従業員への周知徹底が求められる。 | トップマネジメント |
| 適用範囲 (Scope) | ISMSを適用する組織の境界。全社適用だけでなく、特定の事業部、拠点、システムのみを対象とすることも可能であり、認証取得において明確化が必須1。 | 認証範囲 |
| 情報資産 (Information Asset) | 組織にとって価値があり、保護すべき情報およびその処理設備(ハードウェア、ソフトウェア、サービス、人、ノウハウ)。 | 資産管理 |
| 脅威 (Threat) | 情報資産や組織に損害を与える可能性がある潜在的な原因。自然災害、サイバー攻撃、内部不正、操作ミスなどが含まれる3。 | リスク要因 |
| 脆弱性 (Vulnerability) | 脅威によって悪用される可能性のある資産や管理策の弱点。パッチ未適用のOS、不適切な入退室管理、教育不足の従業員など2。 | リスク要因 |
| リスク (Risk) | 脅威が脆弱性を利用して損害を与える可能性。「資産価値 × 脅威 × 脆弱性」の組み合わせで評価されることが多い。 | リスク分析 |
| 残留リスク (Residual Risk) | リスク対応(低減策など)を実施した後もなお残っているリスク。これについては経営陣が承認(受容)する必要がある。 | リスク受容 |
| リスク所有者 (Risk Owner) | 特定のリスクに対して運用管理責任と権限を持つ者。通常は該当する資産を管理する部門長などが指名され、リスク対応の承認を行う。 | 責任権限 |
| 適用宣言書 (Statement of Applicability) | 組織が適用することを決定した管理策(コントロール)を一覧にした文書。JIS Q 27001の附属書Aの管理策のうち、どれを採用し、どれを除外したか(およびその理由)を記述する。 | 認証文書 |
| 内部監査 (Internal Audit) | ISMSが規格に適合し、有効に機能しているかを組織内部の人間(または委託された外部者)が客観的に評価するプロセス2。 | Check工程 |
| マネジメントレビュー | 経営陣がISMSの適切性、妥当性、有効性を確認し、変更や改善の必要性を判断する活動。内部監査の結果やフィードバックをインプットとする。 | Check/Act工程 |
| 是正処置 (Corrective Action) | 発生した不適合(インシデントや監査指摘事項)の「根本原因」を除去し、再発を防止するための措置2。 | Act工程 |
| 不適合 (Nonconformity) | 要求事項を満たしていない状態。ルール違反やセキュリティ事故の前兆となる状態2。 | 監査発見事項 |
| 完全性 (Integrity) | 資産の正確さ及び完全さを保護する特性。改ざんされていないことの保証2。 | CIA |
| 機密性 (Confidentiality) | 認可されていない者への情報開示を防ぐ特性1。 | CIA |
| 可用性 (Availability) | 必要な時にいつでも使用が可能である特性1。 | CIA |
| 真正性 (Authenticity) | 主体(ユーザーやシステム)が、主張する通りのものであることを確実にする特性。 | 追加特性 |
| 責任追跡性 (Accountability) | ある動作を特定の個人や主体に一意に紐付けることができる特性。ログ取得により実現される1。 | 追加特性 |
| 否認防止 (Non-repudiation) | 行為者が後になってその行為を否定できないようにする特性。デジタル署名等で実現3。 | 追加特性 |
| 信頼性 (Reliability) | システムが意図した通りに一貫して動作し続ける特性1。 | 追加特性 |
3. 法規・コンプライアンスの枠組み
情報処理安全確保支援士は、技術的な助言にとどまらず、組織が法令を遵守(コンプライアンス)するための支援も重要な任務とする。特に「個人情報保護法」、「不正競争防止法」、「不正アクセス禁止法」、「刑法」の4つは、実務上のインシデント対応やデータ管理において直結するため、試験でも頻出のトピックである。
3.1 個人情報保護法(APPI)
個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律である。近年の改正により、データの利活用を促進するための新たな区分(仮名加工情報)や、本人の権利強化(利用停止請求権の拡大)などが盛り込まれており、最新の法改正事項への理解が求められる。
個人識別符号の定義と分類
法律において「個人情報」に該当するか否かの判断基準の一つとして、特定の符号が含まれているかどうかが重要となる。「個人識別符号」が含まれる情報は、それ単体で個人情報として扱われる。これには大きく分けて2つの種類が存在する5。
- 第1号(生体情報由来): 身体の一部の特徴を電子計算機用に変換した符号。
- 例: DNA塩基配列、指紋データ、顔認証データ、虹彩データ、声紋データ、手指静脈データ、掌紋データ、歩行態様など。これらは普遍的かつ不変的な特徴であり、高度な認証に利用される。
- 第2号(公的番号・割当番号): サービス利用や公的書類において、対象者ごとに割り振られる符号。
- 例: パスポート(旅券)番号、基礎年金番号、運転免許証番号、マイナンバー(個人番号)、住民票コード、健康保険証の記号・番号、介護保険被保険者証の番号など。
- 注意点: 携帯電話番号やクレジットカード番号、会員IDは、それ単体では原則として個人識別符号(=単体で個人情報)には該当しない。これらは契約変更等で変わり得るものであり、他の情報と容易に照合して特定できる場合に限り個人情報となる5。
データの加工と利活用:匿名加工情報と仮名加工情報
ビッグデータ活用とプライバシー保護の両立を図るため、データの加工レベルに応じた法的な区分が設けられている。この違いは試験での頻出ポイントである7。
- 匿名加工情報: 特定の個人を識別できないように個人情報を加工し、かつ復元できないようにしたもの。特定の個人との対応関係が排斥されているため、本人の同意なく第三者提供や目的外利用が自由に行える。ただし、加工方法の公表や、第三者提供時の明示義務がある。
- 仮名加工情報: 他の情報と照合しない限り特定の個人を識別できないように加工したもの(例:氏名をIDに置き換えるが、対照表は別途厳重に管理する)。社内でのデータ分析等を促進するために新設された区分である。利用目的の変更ルールが緩和されている一方で、原則として第三者提供は禁止されている(法令に基づく場合等を除く)。また、本人への連絡等に利用することも禁止されている。
第三者提供とオプトアウト
個人データを第三者に提供する場合、原則としてあらかじめ本人の同意が必要である。しかし、「オプトアウト」という制度を利用することで、例外的に事前の同意なしに提供が可能となる。オプトアウトとは、本人の求めがあれば事後的に第三者提供を停止することを条件に、提供を認める制度である。ただし、これを行うには個人情報保護委員会への届出が必要であり、さらに要配慮個人情報(病歴、犯罪歴など)や、不正取得された個人データ、オプトアウト手続きにより提供された個人データについては、オプトアウトによる第三者提供が禁止されている8。
表2:個人情報保護法関連用語一覧
| 用語 | 解説・試験的ポイント | 法的区分 |
| 個人情報 | 生存する個人に関する情報で、氏名等により特定の個人を識別できるもの、または「個人識別符号」が含まれるもの。死者の情報は原則として対象外である。 | 定義 |
| 個人識別符号 | その情報単体で特定の個人を識別できる符号として政令で定められたもの。指紋データ(1号)やマイナンバー(2号)など5。 | 定義 |
| 要配慮個人情報 | 本人に対する不当な差別や偏見が生じないよう、特に慎重な取り扱いを要する情報。人種、信条、社会的身分、病歴、犯罪歴、犯罪被害事実などが該当。取得には原則として本人同意が必須であり、オプトアウト提供は禁止7。 | 特段の配慮 |
| 個人情報取扱事業者 | 個人情報データベース等を事業の用に供している者。現在は取り扱う個人情報の件数に関わらず、すべての事業者が対象となる(かつての5000人要件は撤廃)。 | 義務主体 |
| 匿名加工情報 | 特定の個人を識別できないように加工し、復元不能にした情報。第三者提供や目的外利用が柔軟に可能であり、ビッグデータビジネスの基盤となる7。 | データ利活用 |
| 仮名加工情報 | 他の情報と照合しない限り識別できないように加工した情報。社内分析用として規制が緩和されているが、第三者提供は原則禁止7。 | データ利活用 |
| オプトアウト | 本人の求めに応じて提供を停止することを条件に、本人の同意なく第三者提供を行う制度。委員会への届出が必要8。 | 第三者提供 |
| 第三者提供の制限 | 原則として本人の事前同意が必要。例外として、法令に基づく場合、人の生命・身体・財産の保護(緊急時)、公衆衛生、委託、事業承継、共同利用がある。 | 禁止事項 |
| 保有個人データ | 事業者が開示、訂正、削除等の権限を有する個人データ。6ヶ月以内に消去される短期保存データも現在は対象に含まれる。 | 開示請求対象 |
| 安全管理措置 | 個人データの漏洩等を防止するために講じなければならない措置。「組織的」「人的」「物理的」「技術的」の4つの観点に加え、「外的環境の把握」(外国の法制度の把握)が求められる5。 | 事業者義務 |
3.2 不正競争防止法(UCPA)
企業の公正な競争を確保するための法律であり、情報セキュリティの観点からは「営業秘密」の保護が最大の論点となる。情報漏洩が発生した際、それが単なる社内ルール違反なのか、犯罪(営業秘密侵害罪)として法的措置をとれるのかの分水嶺となるのが、以下の「3要件」である。
営業秘密の3要件
企業の情報が法的に「営業秘密」として認められ、保護を受ける(差止請求や損害賠償請求、刑事告訴が可能になる)ためには、以下の3つの要件をすべて満たす必要がある。試験では、具体的な状況(「キャビネットに鍵がかかっていなかった」「誰でも閲覧できた」等)が提示され、営業秘密に該当するか否かを判断させる問題が頻出する9。
- 秘密管理性(Secret Management): 情報にアクセスできる者が制限されており、かつアクセスした者がそれを秘密であると認識できるように管理されていること。
- 具体的措置: ID/パスワードによるアクセス制御、文書への「社外秘」「マル秘」の表示、キャビネットの施錠、就業規則や秘密保持契約(NDA)での規定などが求められる。単に「秘密だと思っていた」という主観だけでは認められず、客観的な管理実態が必要である11。
- 有用性(Usefulness): その情報が事業活動(生産、販売、研究開発など)にとって有用であること。
- 範囲: 設計図、顧客名簿、製造ノウハウ、未公開の販売計画などが該当する。また、成功した実験データだけでなく、失敗した実験データ(ネガティブデータ)であっても、同じ失敗を避けるために役立つならば有用性は認められる。ただし、脱税マニュアルや公害隠しデータなど、公序良俗に反する情報は保護されない10。
- 非公知性(Non-publicity): 一般に入手不可能であり、公然と知られていないこと。
- 判断基準: 刊行物に掲載されている情報、ウェブサイトで公開されている情報、誰でも容易に入手できる情報は該当しない。自社の管理下以外では一般に入手できない状態であることが必要である12。
限定提供データ
近年の法改正により、「営業秘密」には該当しないものの、一定の価値を持つデータ(ビッグデータ等)を保護するための「限定提供データ」という枠組みが新設された。これは、ID/パスワード等で管理され、限定された相手に提供されるデータを指し、営業秘密ほどの厳格な秘密管理性がなくても、不正な取得や使用に対して差止請求等が可能となるものである。
表3:不正競争防止法関連用語一覧
| 用語 | 解説・試験的ポイント | 関連要件 |
| 営業秘密 | 秘密管理性、有用性、非公知性の3要件を全て満たす技術上または営業上の情報。法的保護の対象となる9。 | 保護対象 |
| 秘密管理性 | アクセス制限やマル秘表示などにより、客観的に秘密として管理されている状態。試験では管理の不備(鍵のかけ忘れ、パスワード共有など)によりこの要件が否定されるケースが問われる10。 | 3要件の1 |
| 有用性 | 事業活動に役立つ情報であること。コスト削減に繋がる情報や、失敗事例(ネガティブデータ)も含まれる10。 | 3要件の2 |
| 非公知性 | 公然と知られておらず、入手が困難であること。独自性のある顧客リストなどが該当する11。 | 3要件の3 |
| 限定提供データ | 業として特定の者に提供する情報として電磁的に管理されている技術上・営業上の情報。営業秘密の要件(特に秘密管理性)を緩和し、データの不正利用を規制するための枠組み。 | 新しい保護対象 |
| 技術的制限手段 | コンテンツの視聴やプログラムの実行、情報の処理を制限する技術(コピーガードやアクセスコントロール)。これを無効化するツールや装置の提供(回避機能提供行為)は不正競争行為となる。 | コピーガード |
| ドメイン名の不正取得 | 他人の著名な表示(商標など)と同一または類似のドメイン名を、不正の利益を得る目的や損害を加える目的(図利加害目的)で取得・保有・使用する行為(サイバースクワッティング)。 | ブランド保護 |
| 差止請求権 | 営業秘密の侵害行為に対し、その行為の停止や予防、侵害組成物(製品など)の廃棄を請求する権利10。 | 民事的救済 |
3.3 不正アクセス禁止法
ネットワークを通じた不正な侵入行為等を処罰し、電気通信に関する秩序を維持するための法律である。技術的な「アクセス制御機能」の有無が法の適用の大前提となる。
識別符号と禁止行為
法律の中核となる概念は「識別符号(IDやパスワード等)」と「アクセス制御機能」である。これらに関連して、以下の行為が禁止されている13。
- 不正アクセス行為(第3条):
- なりすまし: 他人の識別符号(ID/PW)を無断で入力し、制限された機能を利用可能にする行為。
- セキュリティホール攻撃: 識別符号以外の情報や指令を入力し、脆弱性を突いてアクセス制御機能を回避する行為。
- 識別符号の不正取得(第4条): 不正アクセスを行う目的で、他人のID/PWを取得する行為。スキミングやネットワーク盗聴、画面の盗み見(ショルダーハック)などが含まれる。
- 助長行為(第5条): 正当な理由なく、他人のID/PWを第三者に提供する行為。電話やメールで教えることだけでなく、パスワードが書かれたメモを放置して他者に見せる行為も、管理者の意図に反して第三者に提供したとみなされる場合がある。
- 識別符号の不正保管(第6条): 不正アクセスを行う目的で、他人のID/PWを保管する行為。
- フィッシング行為(第7条): アクセス管理者になりすまして、偽のサイトに誘導するなどして識別符号を入力させようとする行為。実際にID/PWを取得できなくても、入力を要求した時点(メール送信や偽サイト開設)で処罰対象となる13。
表4:不正アクセス禁止法関連用語一覧
| 用語 | 解説・試験的ポイント | 条文概念 |
| 不正アクセス行為 | (1)他人の識別符号を無断入力する(なりすまし)。 (2)脆弱性を突いてアクセス制御を回避する。これらは3年以下の懲役または100万円以下の罰金という重い刑罰の対象となる13。 | 禁止行為 |
| 識別符号 | 特定の利用者を識別するために用いられる符号。ID、パスワード、生体認証データ、ICカード内の電子データなどが該当する13。 | 定義 |
| アクセス制御機能 | 特定の利用者のみに機能の利用を許可する機能(OSのログイン機能、Webサービスの認証機能など)。これが備わっているシステムへの侵入のみが本法の対象となる(鍵のかかっていない部屋への侵入はこの法律では問えない)。 | 前提条件 |
| 識別符号の不正取得 | 不正アクセス目的でのID/PW取得。フィッシング詐欺でIDを入手する行為自体もここに含まれる13。 | 禁止行為 |
| 助長行為 | 他人のID/PWを第三者に教える行為。本人が友人に教えるケースなどは「正当な理由」がない限り禁止される。パスワード管理の杜撰さが助長行為とみなされるリスクもある13。 | 禁止行為 |
| フィッシング (Phishing) | 管理者を装いID/PWの入力を求める行為。2012年の改正で明示的に禁止された。「入力を要求する」だけで違法となる点が重要13。 | 禁止行為 |
3.4 刑法(サイバー犯罪関連)
刑法においては、物理的な破壊だけでなく、デジタルの記録を不正に操作・作成する行為が処罰される。特に「ウイルス作成罪」に関する判例は、セキュリティ技術者として知っておくべき重要な境界線を示している。
不正指令電磁的記録作成等罪(ウイルス作成罪)
正当な理由がないのに、人の電子計算機における実行の用に供する目的で、人が意図しない動作をさせ、または意図する動作をさせない不正な指令を与える電磁的記録(ウイルス、マルウェア等)を作成、提供、供用、取得、保管する罪である(刑法168条の2、3)。
- Coinhive事件(重要判例): ウェブサイト閲覧者のPCリソースを使って仮想通貨マイニングを行わせるスクリプト(Coinhive)を自身のサイトに設置した行為が、この罪に当たるかが争われた事件。最高裁は、このスクリプトが「反意図性(ユーザーが同意しておらず、意図しない動作であること)」を持つことは認めたものの、「不正性(社会的に許容されないものであること)」については、当時のウェブ広告の仕組みと比較しても著しく社会的に許容されないとは言えないとして無罪とした。この判例は、何が「不正な指令」に当たるかの判断基準として、「反意図性」だけでなく「不正性」の両方が必要であることを明確にした点で極めて重要である15。
表5:刑法関連用語一覧
| 用語 | 解説・試験的ポイント | 罪名・概念 |
| 不正指令電磁的記録作成等罪 | いわゆるウイルス作成罪。ウイルスを作成・提供することだけでなく、取得・保管することも処罰対象。実行の用に供する目的が必要15。 | 第168条の2 |
| 反意図性 | プログラムの動作が利用者の意図に反すること。ウイルス罪の成立要件の一つ。Coinhive事件では肯定された15。 | 構成要件 |
| 不正性 | そのプログラムの動作が社会的に許容されないものであること。Coinhive事件では否定され、無罪の根拠となった15。 | 構成要件 |
| 電子計算機損壊等業務妨害罪 | コンピュータや電磁的記録を損壊したり、虚偽の情報を与えたりして、業務を妨害する行為。DoS攻撃やデータベースの破壊などが該当する。 | 第234条の2 |
| 電子計算機使用詐欺罪 | 銀行のオンラインシステムなどに虚偽の情報を入力して、財産上の利益を不正に得る行為(例:預金残高のデータを改ざんして送金させる、他人のカードで決済する)。 | 第246条の2 |
| 電磁的記録不正作出・供用罪 | 事務処理を誤らせる目的で、権利義務に関する電磁的記録(電子マネーの残高データやポイントデータなど)を不正に作ったり使ったりする行為。文書偽造罪のデジタル版。 | 第161条の2 |
4. ガイドライン:経営と実務の指針
法律が「守らなければ罰せられる最低限のライン」であるのに対し、ガイドラインは「推奨されるベストプラクティス」であり、実務上の規範として機能する。試験では、経済産業省やIPAが発行するガイドラインの内容、特に経営層の責任や中小企業特有の制約を踏まえた対策について問われることが多い。
4.1 サイバーセキュリティ経営ガイドライン(Ver 3.0)
経済産業省とIPAが策定した、大企業および中小企業を含む全ての企業経営者が、CISO(最高情報セキュリティ責任者)等の担当幹部に指示すべき事項をまとめた指針。「セキュリティ対策はコストではなく、事業継続のための投資である」という考え方が根底にある。
経営者が認識すべき3原則と重要10項目
ガイドラインは、経営者がリーダーシップを発揮するための「3原則」と、実務者に指示すべき「重要10項目」で構成される16。
表6:サイバーセキュリティ経営ガイドライン構成要素
| 分類 | 項目 | 内容・解説 |
| 3原則 | 1. リーダーシップ | 経営者は、サイバーセキュリティリスクが経営リスクであることを認識し、自らリーダーシップをとって対策を進めること。部下任せにしない姿勢が求められる。 |
| 2. サプライチェーン | 自社だけでなく、系列企業、ビジネスパートナー、委託先を含めたサプライチェーン全体での対策が必要であること。自社が踏み台になるリスクも考慮する。 | |
| 3. コミュニケーション | 平時及び緊急時において、関係者(ステークホルダー)と適切な情報開示・共有を行うこと。隠蔽は最大のリスクとなる。 | |
| 重要10項目 | 1. 対策方針の策定 | リスクを認識し、全社的な対応方針(セキュリティポリシー)を策定する16。 |
| 2. 管理体制の構築 | CISOの設置やセキュリティ委員会など、リスク管理体制を組織的に構築する。 | |
| 3. 資源の確保 | 対策に必要な予算、人材(リソース)を確保する。セキュリティ投資を経営資源配分の一環と位置づける。 | |
| 4. リスク把握と計画 | 守るべき資産とリスクを特定し、対応計画を策定する(PDCAのPlan)。リスクアセスメントの実施が前提となる16。 | |
| 5. 仕組みの構築 | 防御、検知、分析などの具体的な対策の仕組み(多層防御など)を導入する。 | |
| 6. PDCAの実施 | 対策の実施状況を監視し、継続的に改善する。形骸化を防ぐ。 | |
| 7. 緊急対応体制 | インシデント発生時に備え、CSIRT等の緊急対応体制(連絡網、初動手順)を整備する。 | |
| 8. 復旧体制 | 事業継続計画(BCP)を含め、被害からの復旧手順を整備する。バックアップの確保などが含まれる。 | |
| 9. サプライチェーン | ビジネスパートナーや委託先のセキュリティ状況を把握し、対策を求める。契約時のセキュリティ条項の確認など。 | |
| 10. 情報共有と開示 | 攻撃情報等を外部(ISAC、IPA等)と共有し、インシデント発生時には適切に情報を開示する。 |
4.2 中小企業の情報セキュリティ対策ガイドライン
リソース(人・モノ・金)が限られる中小企業向けに、専門用語を極力排し、最低限実施すべき対策を具体的にまとめたもの。試験の午後問題において、中小企業の事例が出題された際の解答の指針として極めて重要である。「情報セキュリティ5か条」はその最も基本的な要素である17。
情報セキュリティ5か条
IPAが提唱する、中小企業がまず取り組むべき5つの基本対策。
- OSやソフトウェアは常に最新の状態にしよう!: Windows Updateやソフトウェアの自動更新を有効にし、既知の脆弱性を塞ぐ。最もコストパフォーマンスの高い対策である。
- ウイルス対策ソフトを導入しよう!: 定義ファイルの更新を確実に行い、マルウェア感染を防ぐ。
- パスワードを強化しよう!: 「長く」「複雑に」「使い回さない」。推測されやすいパスワードを避け、可能な限り多要素認証(MFA)を利用する。
- 共有設定を見直そう!: クラウドサービスやNAS、複合機の公開範囲設定を確認し、無関係な人が情報を見られないようにする。意図せぬ情報公開事故を防ぐ。
- 脅威や攻撃の手口を知ろう!: フィッシングメールやランサムウェアなどの最新の手口を知り、従業員への教育を行う。
5. 技術・運用に関連する頻出用語(マネジメント視点)
最後に、マネジメントや監査の文脈で頻出する、技術と運用が交差する用語を補足する。これらは「どのように管理するか」という視点で問われることが多い。
表7:技術・運用(マネジメント視点)用語一覧
| 用語 | 解説とマネジメント上の意義 |
| デジタルフォレンジック (Digital Forensics) | インシデント発生時に、法的証拠として採用できるようにデジタルデータを保全・解析する技術・手順。証拠の汚染を防ぐための手順(保全の連鎖)が重要3。 |
| 脆弱性評価 (Vulnerability Assessment) | システムのセキュリティホールを特定し、その深刻度を評価するプロセス。CVSS(共通脆弱性評価システム)などの客観的指標を用いてリスク対応の優先順位を決める2。 |
| ペネトレーションテスト (Penetration Test) | 実際に攻撃者の視点でシステムに侵入を試み、防御の有効性を検証するテスト。脆弱性評価よりも実践的で、実際の侵害可能性を確認できる11。 |
| SOC (Security Operation Center) | セキュリティデバイスのログを24時間365日監視・分析し、サイバー攻撃を検知する専門組織。外部委託する場合のSLA(サービスレベル合意書)管理が論点となる。 |
| CSIRT (Computer Security Incident Response Team) | インシデント発生時の対応(通報受付、初動、調査、広報)を行う組織内チーム。SOCが「監視」ならCSIRTは「司令塔・対処」を主務とする。 |
| サプライチェーン攻撃 | セキュリティ対策が堅牢なターゲット企業を直接攻撃するのではなく、対策が手薄な子会社、取引先、委託先を経由して攻撃する手法。ガイドラインでの管理強化の主要因。 |
| ランサムウェア (Ransomware) | データを暗号化して使用不能にし、復号のための身代金を要求するマルウェア。データの「可用性」を侵害する代表的な攻撃であり、BCP(バックアップ)の重要性を高めている。 |
| 標的型攻撃メール | 特定の組織や個人をターゲットに、業務メールを装ってウイルスを送りつける攻撃。訓練メールの実施などの人的対策(教育)が主たる防御策となる。 |
| BEC (Business Email Compromise) | ビジネスメール詐欺。経営層や取引先になりすまし、偽の口座への送金を指示する詐欺。技術的なハッキングよりもソーシャルエンジニアリング(人の心理を突く)要素が強い。 |
| ゼロトラスト (Zero Trust) | 「社内ネットワークは安全である」という境界型防御の概念を捨て、「何も信頼しない」前提で全てのアクセスを検証するセキュリティモデル。 |
| 共通鍵暗号 / 公開鍵暗号 | 共通鍵: 暗号化と復号に同じ鍵を使う(AESなど)。高速だが鍵配送問題がある。 公開鍵: ペアになる鍵を使う(RSAなど)。デジタル署名や鍵交換に使われる。鍵管理のポリシー策定が重要19。 |
| PKI (Public Key Infrastructure) | 公開鍵暗号基盤。CA(認証局)が発行するデジタル証明書を用いて、なりすましや改ざんを防ぐ仕組み。信頼の連鎖(トラストアンカー)を管理する20。 |
| 前方秘匿性 (Forward Secrecy) | 秘密鍵が将来漏洩しても、過去に暗号化された通信内容は解読されないという性質。長期間保存される暗号化通信の安全性を担保する19。 |
| IPスプーフィング | 送信元のIPアドレスを偽装し、正規のユーザーになりすます攻撃。アクセス制御リスト(ACL)の不備を突く3。 |
6. 結論
情報処理安全確保支援士試験における「マネジメント・法規」分野は、単なる用語の暗記ではなく、**「なぜそのルールが必要なのか」「インシデント発生時に組織としてどう動くべきか」**という文脈の理解が不可欠である。
- ISMSにおいては、PDCAサイクルを通じた継続的な改善プロセスと、組織ごとの事情(資産価値や脅威)に基づいた合理的なリスク対応の選択が問われる。
- 法規においては、個人情報の定義(識別符号)、営業秘密の3要件、不正アクセスの要件といった、法的保護を受けるための具体的な条件分岐が合否を分ける。
- ガイドラインにおいては、経営層の関与やサプライチェーンリスクへの対応といった、現代の企業が直面するセキュリティ課題への組織的対応力が求められる。
本報告書にまとめた体系的な知識は、試験の午前問題における正誤判定のみならず、午後問題における長文読解(事例問題)において、状況を整理し、経営層や関係者に対して適切な助言や対策を記述するための強固な基盤となるものである。
