対象試験と出題頻度
ISMS(情報セキュリティマネジメントシステム)は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで出題される超重要テーマです。
特に「情報セキュリティマネジメント試験」では、試験名に含まれているだけあって最重要の出題範囲となっています。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(超重要)絶対に覚える必要あり
用語の定義
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、一言で言うと「組織の情報セキュリティを継続的に管理・改善していくための仕組み」のことです。
イメージとしては、「会社の健康診断を定期的に行い、問題があれば治療し、健康を維持し続ける仕組み」と考えるとわかりやすいでしょう。
一度対策を講じて終わりではなく、「計画→実行→点検→改善」のサイクルを回し続けることで、変化する脅威に対応しながらセキュリティレベルを維持・向上させていきます。
情報処理試験を勉強していると、「ISMSって結局何をするの?ISO 27001とは違うの?」と混乱しがちです。結論から言うと、ISMSは「仕組み・考え方」であり、ISO/IEC 27001は「その仕組みの国際規格」です。この関係を押さえておけば、試験問題にも対応できます。
📊 ISMSの基本構造
| 要素 | 内容 |
|---|---|
| 目的 | 情報の機密性・完全性・可用性を維持・改善する |
| 手法 | PDCAサイクルによる継続的な改善 |
| 国際規格 | ISO/IEC 27001(要求事項)、ISO/IEC 27002(実践規範) |
| 国内規格 | JIS Q 27001(ISO/IEC 27001の日本語版) |
解説
ISMSは、組織が情報セキュリティを「場当たり的」ではなく「体系的・継続的」に管理するための仕組みです。単にファイアウォールを導入したり、パスワードを複雑にしたりするだけでなく、組織全体でセキュリティに取り組む体制を構築し、維持していくことを目指します。
ISMSが目指す3つの目標
ISMSが守ろうとしているのは、情報セキュリティの3要素(CIA)です。これは別の記事でも解説していますが、ISMSを理解する上で欠かせないので、ここでも簡単に触れておきます。
📊 情報セキュリティの3要素(CIA)
| 要素 | 英語 | 意味 |
|---|---|---|
| 機密性 | Confidentiality | 許可された人だけが情報にアクセスできる状態 |
| 完全性 | Integrity | 情報が正確で改ざんされていない状態 |
| 可用性 | Availability | 必要なときに情報やシステムが使える状態 |
ISMSは、この3つの要素をバランスよく維持・向上させることを目標としています。機密性だけを重視して使いにくくなったり、可用性だけを優先してセキュリティが甘くなったりしないよう、総合的に管理していくのがISMSの役割です。
PDCAサイクルで継続的に改善する
ISMSの最大の特徴は、PDCAサイクルを回して継続的に改善していく点にあります。「一度対策を講じたら終わり」ではなく、常に見直しと改善を繰り返すことで、変化する脅威に対応し続けます。
💡 ISMSにおけるPDCAサイクル
Plan(計画):リスクアセスメントを行い、セキュリティ方針や目標を策定する
Do(実行):計画に基づいてセキュリティ対策を実施する
Check(点検):対策の効果を監視・測定し、内部監査を行う
Act(改善):点検結果を踏まえて、是正措置や改善を行う
「PDCAサイクルって、品質管理の話じゃないの?」と思った人もいるかもしれません。その通りです。PDCAはもともと品質管理の手法として生まれましたが、情報セキュリティの分野でも広く採用されています。ISMSは、セキュリティの「品質」を継続的に高めていく仕組みだと考えれば理解しやすいでしょう。
ISO/IEC 27001との関係
ISMSを語る上で避けて通れないのが、ISO/IEC 27001という国際規格です。
ISO/IEC 27001は、ISMSを構築・運用するための「要求事項」を定めた国際規格です。組織がこの規格の要求事項を満たしていることを第三者機関に認証してもらうことで、「うちの会社はISMSをちゃんとやっています」と対外的に証明できます。これが「ISMS認証」と呼ばれるものです。
試験では「ISO/IEC 27001」と「ISMS」がセットで出題されることが多いです。両者の関係を整理しておきましょう。
📊 ISMS関連の規格
| 規格名 | 内容 |
|---|---|
| ISO/IEC 27001 | ISMSの要求事項(認証の基準となる規格) |
| ISO/IEC 27002 | 情報セキュリティ管理策の実践規範(ベストプラクティス集) |
| JIS Q 27001 | ISO/IEC 27001の日本語翻訳版(JIS規格) |
| JIS Q 27002 | ISO/IEC 27002の日本語翻訳版(JIS規格) |
試験ではここまででOKです。27001が「要求事項」、27002が「実践規範(ベストプラクティス)」という違いを覚えておけば、選択肢で迷うことはないでしょう。
ISMS認証の仕組み
日本では、JIPDEC(日本情報経済社会推進協会)がISMS認証制度を運営しています。組織がISMS認証を取得すると、「ISMS適合性評価制度」のマークを使用でき、取引先や顧客に対してセキュリティへの取り組みをアピールできます。
認証を取得するためには、審査機関による審査を受ける必要があります。審査では、ISO/IEC 27001の要求事項を満たしているかどうかが確認されます。認証取得後も、定期的な審査(サーベイランス審査)を受けて、継続的に要求事項を満たしていることを証明し続ける必要があります。
📌 ISMS認証のメリット
・取引先や顧客からの信頼向上
・入札・契約時の評価ポイントになる
・社内のセキュリティ意識向上
・インシデント発生時のリスク低減
リスクアセスメントとリスク対応
ISMSを構築する上で重要なのが、リスクアセスメントです。これは「どんなリスクがあるか」を洗い出し、「どの程度危険か」を評価するプロセスです。
リスクアセスメントの結果に基づいて、それぞれのリスクにどう対応するかを決めます。これをリスク対応と呼びます。リスク対応には、リスク低減、リスク回避、リスク移転、リスク保有の4つの選択肢があります。
📝 リスク対応の4つの選択肢
リスク低減:セキュリティ対策を講じてリスクを小さくする
リスク回避:リスクの原因となる活動をやめる
リスク移転:保険加入や外部委託でリスクを他者に移す
リスク保有:リスクを受け入れて何もしない(コスト対効果で判断)
⚠️ 実務でのポイント
ISMSは「認証を取ること」が目的ではなく、「情報セキュリティを継続的に改善すること」が目的です。形だけ整えて認証を取得しても、実際の運用が伴っていなければ意味がありません。試験でも「ISMSの目的は継続的な改善」という観点で出題されることがあるので、この点は押さえておきましょう。
試験ではこう出る!
ISMSは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで頻出です。特に以下のポイントは確実に押さえておきましょう。
【頻出キーワード】
- PDCAサイクルによる継続的改善
- 情報セキュリティの3要素(機密性・完全性・可用性)の維持
- ISO/IEC 27001(要求事項)/ ISO/IEC 27002(実践規範)
- JIS Q 27001(日本語版)
- リスクアセスメント / リスク対応
- ISMS認証 / ISMS適合性評価制度
試験問題で「組織の情報セキュリティを継続的に管理・改善する仕組み」や「PDCAサイクルを用いて情報セキュリティを維持・向上させる体系」といった記述があれば、それは「ISMS」に関する記述です。
📝 IPA試験での出題パターン
ISMSの問題は、「ISMSの目的として適切なものを選べ」「PDCAサイクルの各段階で行う活動として適切なものを選べ」といった形式が多いです。また、ISO/IEC 27001と27002の違いを問う問題や、リスクアセスメント・リスク対応との関連を問う問題も出題されます。ISMS認証制度に関する基本的な知識も押さえておくと安心です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. ISMS(情報セキュリティマネジメントシステム)に関する説明として、最も適切なものはどれでしょうか?
- A. 組織の情報システムに対する不正アクセスを検知・遮断するためのセキュリティ製品
- B. 個人情報の取り扱いに関するルールを定めた法律で、違反すると罰則がある
- C. 組織の情報セキュリティを継続的に管理・改善するための仕組みで、PDCAサイクルを用いて運用する
正解と解説を見る
正解:C
解説:
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は、組織の情報セキュリティを継続的に管理・改善していくための仕組みです。「計画(Plan)→実行(Do)→点検(Check)→改善(Act)」のPDCAサイクルを回すことで、変化する脅威に対応しながらセキュリティレベルを維持・向上させます。ISO/IEC 27001がISMSの国際規格として知られており、この規格に基づく認証を取得することで、組織のセキュリティへの取り組みを対外的に証明できます。
選択肢Aは「IDS(侵入検知システム)」や「ファイアウォール」などのセキュリティ製品の説明です。選択肢Bは「個人情報保護法」の説明であり、ISMSとは異なる概念です。
