この記事は、セキュリティ資格学習のために、AI(Claude)と共同で作成したコンテンツです。
※間違った解釈がある可能性あります。
この記事の目的
セキュリティの専門用語は、カタカナや略語が多く、初学者にとって非常に取っつきにくいものです。
そこで、専門家じゃなくてもわかるように構成してみました。
📋 マネジメント体制の基本
ISMS(アイエスエムエス)
Information Security Management System = 情報セキュリティマネジメントシステム
一言で言うと: 情報を守るための「学校の校則みたいなルールブック」
何をするの?
- 📝 ルールを作る(「パスワードは月1で変える」など)
- 🎯 実行する(ルール通りに実践)
- 🔍 チェックする(ちゃんと守られてる?)
- 🔄 改善する(もっと良い方法ないかな?)
例え話:
学校の防災訓練を想像してください。
- 避難経路を決めて(ルール作成)
- 年に2回訓練して(実行)
- 何分で避難できたか測って(チェック)
- 次はもっと早く逃げられるように改善(改善)
ISMSも同じで、PDCAサイクルで情報を守り続ける仕組みです。
🌍 ISO/IEC 27000ファミリー規格
一言で言うと: ISMSの「世界共通の教科書シリーズ」
世界中どこでも同じ基準で情報セキュリティを管理できるように、国際標準化機構(ISO)が作ったルール集。全部で50冊以上あるけど、よく使うのは以下の7つ+1つ。
ISO/IEC 27001(にーななまるまるいち)
ISMS認証の試験問題集
何をするの?:
「うちの会社はISMSをちゃんとやってます!」という認証を取るための要求事項が書いてある。
例え話:
運転免許の試験みたいなもの。
- 27001 = 運転免許試験の合格基準
- これをクリアすると「ISMS認証」という免許証がもらえる
認証のメリット:
- 🏆 お客さんに「ちゃんとしてる会社だ」と信頼される
- 💼 大企業との取引で有利
- 🔒 情報漏洩のリスクが下がる
ISO/IEC 27002(にーななまるまるに)
セキュリティ対策のアイデア集
何をするの?:
実際にどんな対策をすればいいか、具体的な方法が114個書いてある。
例え話:
料理のレシピ本みたいなもの。
- 27001 = 「美味しい料理を作れること」(合格基準)
- 27002 = 「カレーの作り方」「パスタの作り方」(具体的レシピ114種類)
114個の例:
- パスワードは8文字以上
- アクセスログは6ヶ月保存
- 入退室を記録する
- USBメモリは暗号化
ISO/IEC 27003(にーななまるまるさん)
ISMSの始め方ガイド
何をするの?:
ISMSをゼロから導入するときの手順書。
例え話:
新しいゲームを始めるときのチュートリアル。
- どこから手をつけるの?
- どの順番でやるの?
- 何を準備すればいいの?
ステップ例:
- 経営者の承認をもらう
- チームを作る
- 現状を調査する
- ルールを作る
- 実行する
ISO/IEC 27004(にーななまるまるよん)
測定と評価の方法
何をするの?:
ISMSがうまくいってるか数値で測る方法。
例え話:
ダイエットの記録アプリみたいなもの。
- 体重の変化を記録
- 目標まであと何キロ?
- 効果が出てる?
測定する項目例:
- 📊 ウイルス感染件数(月0件目標)
- 📧 フィッシングメール訓練の引っかかり率(10%以下目標)
- 🔐 パスワード変更率(100%目標)
ISO/IEC 27005(にーななまるまるご)
リスク管理の専門書
何をするの?:
「どんな危険があるか」を見つけて、対策する方法。
例え話:
家の防犯対策を考えるとき。
- 🔍 リスク特定: 「窓から泥棒が入るかも」
- 📊 リスク分析: 「1階の窓は危険度高い」
- 🎯 リスク評価: 「まずは1階を優先的に守ろう」
- 🛡️ リスク対応: 「防犯カメラをつける」
会社での例:
- リスク: 社員がパスワードをメモに書いて貼る
- 対応: パスワード管理ツールを導入
ISO/IEC 27006(にーななまるまるろく)
認証審査員のルール
何をするの?:
ISMS認証の審査をする人(審査員)の資格基準。
例え話:
運転免許試験の試験官みたいなもの。
- 27001 = 運転免許の合格基準
- 27006 = 試験官になるための資格
試験官も「適当な人」じゃダメ。ちゃんとした資格が必要。
ISO/IEC 27007(にーななまるまるなな)
監査のやり方ガイド
何をするの?:
ISMSがちゃんと動いてるかチェックする方法(監査の手順)。
例え話:
学校の保健室の定期検査みたいなもの。
- 救急箱の中身は足りてる?
- 消毒液の期限は切れてない?
- 記録はちゃんとつけてる?
監査の流れ:
- 📋 チェックリスト作成
- 🔍 実際に確認
- 📝 報告書作成
- 🔧 改善提案
ISO/IEC 27014(にーななまるいちよん)
経営者向けのガバナンス指針
何をするの?:
社長や経営陣が情報セキュリティをどう管理すべきか書いてある。
例え話:
学校の校長先生の役割マニュアル。
- 校長先生が「防災は大事!」と決める
- 予算をつける
- 定期的に報告を受ける
- 改善を指示する
経営者の役割:
- 💰 予算を確保
- 🎯 方針を決定
- 📊 定期報告を受ける
- ⚖️ 最終責任を負う
現場だけに任せず、トップが関わることが大事。
ISO/IEC 27017(にーななまるいちなな)
クラウドサービス専用ガイド
何をするの?:
Google DriveやAWSなどのクラウドサービス特有のセキュリティ対策。
例え話:
貸し倉庫のセキュリティみたいなもの。
自分の家(自社サーバー)の場合:
- 鍵は自分で管理
- 防犯カメラも自分で設置
貸し倉庫(クラウド)の場合:
- 🔑 倉庫会社が鍵を持ってる
- 📹 防犯カメラは倉庫会社が管理
- 🤝 「誰がどこまで責任持つ?」を明確に
27017で決めること:
- データの保管場所はどこ?(国内?海外?)
- バックアップは誰がとる?
- サービスが止まったら誰の責任?
🔄 事業継続計画
BCP(ビーシーピー)
Business Continuity Plan = 事業継続計画
一言で言うと: 「災害が起きても会社を続けるための作戦」
何をするの?:
地震、火事、サイバー攻撃などが起きても、最低限の仕事は続けられるように準備する。
例え話:
学園祭の準備中に雨が降ってきた!
- ❌ パニック: 「もうダメだ、中止だ!」
- ✅ BCP: 「室内用の代替案で続行!」
BCPの中身:
- 🎯 優先業務の特定: 「給料計算は絶対止められない」
- 📞 緊急連絡網: 誰にどう連絡する?
- 💾 データバックアップ: 別の場所に保管
- 🏢 代替拠点: 本社が使えなくなったら支社で作業
具体例:
- サーバーがダウン → クラウドの予備サーバーに切り替え
- オフィスが火事 → 在宅勤務に切り替え
BCM(ビーシーエム)
Business Continuity Management = 事業継続マネジメント
一言で言うと: BCPを「作って終わり」じゃなく、継続的に改善する活動全体
BCPとBCMの違い:
- BCP = 作戦書(計画書そのもの)
- BCM = 作戦を実行し続ける活動(訓練・改善も含む)
例え話:
- BCP = 避難経路の地図
- BCM = 年2回避難訓練して、経路を改善し続ける活動
BCMのサイクル:
- 📝 BCPを作る
- 🏃 訓練する(年2回など)
- 🔍 問題点を見つける
- 🔄 BCPを改善
- 繰り返し
🎯 リスク管理
リスクマネジメント vs リスクアセスメント
めちゃくちゃ間違えやすいので要注意!
リスクマネジメント(Risk Management)
「リスク管理の全プロセス」
範囲: リスクを見つけて → 評価して → 対策して → 見直す 全部
例え話: 健康管理の全体
- 🔍 健康診断を受ける
- 📊 結果を評価する
- 💊 治療・予防する
- 🔄 定期的にチェック
リスクアセスメント(Risk Assessment)
「リスクを見つけて評価する部分だけ」
範囲: リスクマネジメントの最初の2ステップだけ
- 🔍 リスク特定(何が危険?)
- 📊 リスク分析・評価(どれくらい危険?)
例え話: 健康診断を受けて、結果を見るだけ
関係性:
┌─────────────────────────────────┐ │ リスクマネジメント(全体) │ │ ┌──────────────────────┐ │ │ │ リスクアセスメント │ │ │ │ ①リスク特定 │ │ │ │ ②リスク分析・評価 │ │ │ └──────────────────────┘ │ │ ③リスク対応(対策実施) │ │ ④モニタリング・見直し │ └─────────────────────────────────┘
試験での見分け方:
- 「対策まで含む」「継続的に管理」→ リスクマネジメント
- 「評価だけ」「現状把握」→ リスクアセスメント
🔍 リスク分析手法
STRIDE分析(ストライド)
攻撃者の視点で脅威を洗い出す方法
STRIDEは6つの脅威の頭文字:
- Spoofing(なりすまし)
- 🎭 他人のフリをする
- 例: 偽の社長メールで振り込み指示
- Tampering(改ざん)
- ✏️ データを勝手に書き換え
- 例: テストの点数を改ざん
- Repudiation(否認)
- 🙅 「やってない!」と嘘をつく
- 例: ログを消して証拠隠滅
- Information Disclosure(情報漏洩)
- 📢 秘密がバレる
- 例: 顧客情報が流出
- Denial of Service(サービス妨害)
- 🚫 システムを使えなくする
- 例: F5連打でサーバーダウン
- Elevation of Privilege(権限昇格)
- 👑 一般ユーザーが管理者権限をゲット
- 例: バグを突いて管理者画面にアクセス
使い方:
システムの各部分について「STRIDEの6つ、それぞれ大丈夫?」とチェック
例え話:
学校の生徒手帳管理システムを作るとき
- S: 他人の生徒手帳番号で出席できちゃう?
- T: 出席記録を改ざんされない?
- R: 誰が記録を変更したか残る?
- I: 個人情報が見えちゃう?
- D: システムがダウンしない?
- E: 生徒が先生の権限を奪えちゃう?
アタックツリー分析(Attack Tree Analysis = ATA)
攻撃の手順を木の図で整理する方法
一言で言うと: 「泥棒が家に入る方法」を樹形図で整理
木の構造:
【目標: 家に侵入】
↓
┌─────────┼─────────┐
窓から 玄関から 屋根から
↓ ↓ ↓
鍵を壊す 鍵を盗む はしごで
ガラス割る ピッキング
セキュリティでの例:
【目標: 機密情報を盗む】
↓
┌───────┼───────┐
ハッキング 内部犯行 物理侵入
↓ ↓ ↓
SQLi USBで サーバールーム
XSS コピー に侵入
メリット:
- 👀 攻撃方法が一目でわかる
- 🎯 どこを重点的に守るか決めやすい
- 💰 コスパの良い対策を選べる
STRIDE vs アタックツリー:
- STRIDE: 「どんな脅威があるか」を種類別に整理
- アタックツリー: 「どうやって攻撃するか」を手順で整理
🔐 個人情報保護
JIS Q 15001(ジスキュー いちごまるまるいち)
個人情報保護マネジメントシステム(PMS)の日本規格
一言で言うと: 「個人情報を守るための日本版ルールブック」
ISMSとの違い:
- ISMS: 情報全般を守る(社内文書、技術情報など)
- JIS Q 15001: 個人情報だけを守る
例え話:
- ISMS = 学校の全ての書類を守る(テスト問題、会議資料など)
- JIS Q 15001 = 生徒の個人情報だけを守る(住所、成績など)
これをクリアすると:
→ Pマーク(プライバシーマーク)がもらえる!
Pマークのメリット:
- 🏷️ 会社のサイトに表示できる
- 💼 個人情報を扱う仕事で有利
- 🤝 顧客からの信頼UP
OECD(オーイーシーディー)
Organisation for Economic Co-operation and Development = 経済協力開発機構
一言で言うと: 先進国のクラブ(日本も加盟)
OECDプライバシーガイドライン(8原則)
世界共通の「個人情報保護の基本ルール」
OECD8原則(超重要!):
- 収集制限の原則
- 個人情報は必要最小限だけ集める
- 例: バイト応募に家族構成は不要
- データ内容の原則
- 正確で最新の情報を保つ
- 例: 引っ越したら住所を更新
- 目的明確化の原則
- 何のために集めるか明確にする
- 例: 「配送のために住所を使います」
- 利用制限の原則
- 目的外で使わない
- 例: 配送用の住所をDMに使わない
- 安全保護の原則
- セキュリティ対策をする
- 例: パスワードで保護、暗号化
- 公開の原則
- 誰が何を管理してるか公開
- 例: プライバシーポリシー
- 個人参加の原則
- 本人が確認・訂正できる
- 例: 「自分の情報を見せて」と言える
- 責任の原則
- 管理者が責任を持つ
- 例: 漏洩したら社長が謝罪
PMS(ピーエムエス)
Privacy Mark System = プライバシーマーク制度
一言で言うと: JIS Q 15001をクリアした証明書
PMSとは:
- Pマークの認証制度そのもの
- JIS Q 15001に基づいて審査される
取得の流れ:
- 📝 JIS Q 15001に沿った体制を作る
- 🔍 審査を受ける
- ✅ 合格したらPマーク取得
- 🔄 2年ごとに更新審査
例え話:
- JIS Q 15001 = 料理人の技術基準
- PMS = 料理人の免許証
🌐 技術標準規格
IEEE 802(アイトリプルイー はちまるに)
ネットワークの世界共通ルール集
IEEE(アイトリプルイー):
- Institute of Electrical and Electronics Engineers
- 電気電子技術者協会(アメリカの団体)
802シリーズ: ネットワーク通信の規格集
よく出る規格:
- IEEE 802.3 → 有線LAN(イーサネット)
- LANケーブルでつなぐやつ
- IEEE 802.11 → 無線LAN(Wi-Fi)
- 802.11a, 11b, 11g, 11n, 11ac, 11ax
- 新しいほど速い
- IEEE 802.1X → ネットワーク認証
- Wi-Fiにつなぐときのパスワード認証
例え話:
- IEEE 802 = 道路交通法
- 802.3 = 一般道路のルール
- 802.11 = 空のルール(Wi-Fiは電波=空を飛ぶ)
ITU-T X.509(アイティーユーティー エックス ごーまるきゅう)
デジタル証明書のフォーマット
ITU-T: 国際電気通信連合(国連の組織)
X.509とは:
「デジタル証明書はこう書こう」という世界共通のフォーマット
デジタル証明書って?:
ウェブサイトの「身分証明書」
例え話:
運転免許証の書き方が世界共通なイメージ
- 名前はここ
- 写真はここ
- 有効期限はここ
X.509も「証明書にはこの情報を書く」と決まってる。
証明書に書いてあること:
- 🏢 サイトの名前
- 🔑 公開鍵
- 📅 有効期限
- ✍️ 誰が発行したか(認証局)
どこで使う?:
- HTTPS通信(安全な通信)
- メールの電子署名
- VPN接続
🔐 認証技術
FIDO(ファイド)
Fast IDentity Online = パスワードのいらない認証技術
一言で言うと: 「指紋や顔でログインできる仕組み」
FIDOが解決する問題:
- パスワード忘れた!
- パスワード使い回しで危険
- フィッシングで盗まれる
FIDOの仕組み:
- 🔑 秘密鍵はスマホ/パソコンに保存
- 📡 公開鍵だけサーバーに送る
- 👆 指紋や顔で本人確認
メリット:
- パスワード不要
- フィッシングされない(秘密鍵が外に出ない)
- 生体認証で楽ちん
FIDO UAF(ユーエーエフ)
Universal Authentication Framework = パスワードレス認証
特徴: パスワードを完全になくす
使い方:
- スマホに指紋登録
- ログイン時に指紋でタッチ
- おしまい!
例: スマホの顔認証でアプリにログイン
FIDO U2F(ユーツーエフ)
Universal 2nd Factor = 2段階認証の強化版
特徴: パスワード + セキュリティキー
使い方:
- パスワード入力
- USBキーを挿す(またはタッチ)
- ログイン完了
例: Google アカウントにYubiKeyで2段階認証
FIDO2(ファイドツー)
UAFとU2Fを統合した最新版
特徴:
- パスワードレスも可能
- 2段階認証も可能
- 両方使える!
WebAuthn(ウェブオースン):
FIDO2をウェブブラウザで使える技術
対応サービス:
- Microsoft
- Apple
- GitHub
例え話:
- FIDO UAF = 指紋だけでドアが開く
- FIDO U2F = カード + 指紋でドアが開く
- FIDO2 = どっちでも選べる!
🔒 暗号評価
FIPS PUB 140(フィップス パブ いちよんまる)
Federal Information Processing Standards Publication 140
アメリカ政府の暗号モジュール評価基準
一言で言うと: 「暗号化装置の安全性テスト(アメリカ版)」
日本版: JCMVP(前に説明した)
評価レベル(4段階):
- Level 1: 基本的なセキュリティ
- Level 2: 物理的な改ざん対策あり
- Level 3: 改ざんされたら検知
- Level 4: 改ざんされたらデータ消去
例え話:
金庫の頑丈さランク
- Level 1: 普通の金庫
- Level 2: こじ開け防止機能つき
- Level 3: こじ開けたら警報が鳴る
- Level 4: こじ開けたら中身が燃える
どこで使う?:
- 軍事機密(Level 4)
- クレジットカード端末(Level 2-3)
- 一般企業(Level 1-2)
☁️ クラウドセキュリティ
ISMAP(イスマップ)
Information system Security Management and Assessment Program
政府情報システムのためのセキュリティ評価制度(日本)
一言で言うと: 「政府が使えるクラウドの認定制度」
目的:
政府機関が安心してクラウドサービスを使えるように審査
ISMAPクラウドサービスリスト:
合格したサービスのリスト(公開されてる)
審査内容:
- セキュリティ対策は十分か
- データは日本国内にあるか
- サポート体制はあるか
- 災害対策はできてるか
例え話:
学校が業者を選ぶとき「教育委員会認定業者リスト」から選ぶみたいなもの。
合格サービス例(時期によって変わる):
- AWS(一部サービス)
- Microsoft Azure(一部サービス)
- Google Cloud(一部サービス)
🏢 企業統制
内部統制(ないぶとうせい)
会社が不正や間違いをしないための仕組み
一言で言うと: 「会社の中のルールとチェック体制」
4つの目的:
- 業務の有効性・効率性: ムダなく仕事する
- 財務報告の信頼性: 帳簿を正確につける
- 法令遵守: 法律を守る
- 資産の保全: 会社の財産を守る
例え話:
学校の委員会活動みたいなもの。
図書委員の例:
- 📚 本の貸出ルール(業務の効率性)
- 📝 貸出記録を正確につける(財務報告の信頼性)
- 📖 著作権法を守る(法令遵守)
- 🔒 本をなくさない(資産の保全)
内部統制の3つの柱:
- 統制環境: 社長が「不正ダメ!」と言う
- 統制活動: チェック体制を作る(ダブルチェックなど)
- モニタリング: 定期的に見直す
IT と内部統制:
- 入力ミス防止(バリデーション)
- アクセス権限管理
- ログの記録
- バックアップ
ITガバナンス
IT を会社の目標達成のために正しく使う仕組み
一言で言うと: 「IT の使い方を経営者が管理すること」
内部統制との違い:
- 内部統制: 「間違いや不正を防ぐ」(守り)
- ITガバナンス: 「ITで会社を成長させる」(攻め+守り)
例え話:
部活動の顧問の先生の役割
内部統制:
- 部費の使い込みを防ぐ
- ケガを防ぐ
ITガバナンス:
- 「全国大会出場」という目標設定
- そのために効果的な練習メニュー
- 予算配分(どの道具を買うか)
- 成果の測定
ITガバナンスの5つの領域:
- 戦略的整合: IT と経営目標を合わせる
- 例: 「売上2倍」なら ECサイトを強化
- 価値提供: IT でちゃんと成果を出す
- 例: 業務効率化で残業30%削減
- リスク管理: IT のリスクを管理
- 例: サイバー攻撃対策
- 資源管理: IT 予算・人材を最適配分
- 例: どのシステムに投資するか
- パフォーマンス測定: 成果を測る
- 例: システム導入で売上20%増えた?
📊 全体の関係図
┌─────────────────────────────────────┐
│ 経営層の役割 │
│ ┌──────────────────────┐ │
│ │ ITガバナンス │ │
│ │ (IT戦略・予算・評価) │ │
│ └──────────────────────┘ │
│ ↓ │
│ ┌──────────────────────┐ │
│ │ 内部統制 │ │
│ │ (不正防止・法令遵守) │ │
│ └──────────────────────┘ │
└─────────────────────────────────────┘
↓
┌─────────────────────────────────────┐
│ セキュリティ管理 │
│ ┌──────────────────────┐ │
│ │ ISMS (ISO 27001) │ │
│ │ (情報セキュリティ全般)│ │
│ └──────────────────────┘ │
│ ┌──────────────────────┐ │
│ │ PMS (JIS Q 15001) │ │
│ │ (個人情報保護) │ │
│ └──────────────────────┘ │
└─────────────────────────────────────┘
↓
┌─────────────────────────────────────┐
│ リスク管理 │
│ ┌──────────────────────┐ │
│ │ リスクアセスメント │ │
│ │ (STRIDE、ATA など) │ │
│ └──────────────────────┘ │
│ ↓ │
│ ┌──────────────────────┐ │
│ │ リスク対応 │ │
│ └──────────────────────┘ │
└─────────────────────────────────────┘
↓
┌─────────────────────────────────────┐
│ 技術的対策 │
│ - 暗号化 (FIPS, JCMVP) │
│ - 認証 (FIDO, X.509) │
│ - ネットワーク (IEEE 802) │
└─────────────────────────────────────┘
🎓 試験対策:頻出の比較
ISMSファミリーの使い分け
| 規格 | 役割 | 覚え方 |
|---|---|---|
| 27001 | 認証取得の要求事項 | 「01」= 基本・試験 |
| 27002 | 具体的対策114個 | 「02」= 対策集 |
| 27003 | 導入の手順書 | 「03」= スタート |
| 27004 | 測定と評価 | 「04」= 数値測定 |
| 27005 | リスク管理専門 | 「05」= リスク |
| 27006 | 審査員の資格 | 「06」= 審査員 |
| 27007 | 監査の方法 | 「07」= 監査 |
| 27014 | 経営層向け | 「14」= 意思決定 |
| 27017 | クラウド専用 | 「17」= クラウド |
個人情報関連の整理
| 用語 | 範囲 | 認証 | 国/地域 |
|---|---|---|---|
| OECD 8原則 | 世界共通の基本原則 | なし | 国際 |
| JIS Q 15001 | 日本の詳細規格 | Pマーク | 日本 |
| PMS | Pマーク制度 | Pマーク | 日本 |
| GDPR | EU一般データ保護規則 | なし | EU |
認証技術の世代
| 世代 | 技術 | 方式 |
|---|---|---|
| 第1世代 | パスワード | 覚える |
| 第2世代 | FIDO U2F | パスワード + キー |
| 第3世代 | FIDO UAF | 生体認証のみ |
| 最新 | FIDO2 | どちらも可能 |
💡 覚えるコツ
語呂合わせ
OECD 8原則
「しゅうこうもくりあんこうせき」
- しゅう: 収集制限
- こう: 公開
- もく: 目的明確化
- り: 利用制限
- あん: 安全保護
- こう: (データ)内容
- せき: 責任
- さん: 参加(個人参加)
※「こう」が2回出るので注意!
STRIDE
「スートリーデ」で覚える
- ス: Spoofing
- ト: Tampering
- リ: Repudiation
- I: Information Disclosure
- デ: Denial of Service
- E: Elevation of Privilege
ビジュアル記憶
ISO 27000ファミリー
- 27001-27007 = 基本セット(01から順番)
- 27014 = 経営層(「14」→「意思決定」)
- 27017 = クラウド(「17」→「イーナ(いい名)」)
📚 次のステップ
この用語集で基礎を学んだら:
- 過去問で確認
- 各用語がどう問われるか確認
- 選択肢の引っかけパターンを見抜く
- 比較問題に強くなる
- 「AとBの違いは?」形式が頻出
- 表で整理しておく
- 実例と結びつける
- 「実際の会社でどう使う?」をイメージ
- ニュースのセキュリティ事件と結びつける
- 創作活動で定着
- 用語を使った歌詞作成
- 概念図の3Dモデル化
- ストーリー形式の解説記事
