セキュリティ⑤ セキュリティ運用

リスク管理

情報セキュリティにおけるリスクとは、脅威が脆弱性を突くことで発生する損害の可能性のことです。リスク管理ではリスクを洗い出し、評価し、対策を講じます。全くゼロにはできないため、受容・低減・移転・回避という意思決定を行います。

試験でこう出る：脅威×脆弱性＝リスクという考え方が最重要。「低減」や「移転」の意味を問う問題が多いです。

小学生でもわかる説明：わるいことが起きるかもしれないから、先にどうするか考えておくことです。

組織全体で情報セキュリティを継続的に改善する仕組みです。代表的な規格として ISO/IEC 27001 があり、PDCA サイクルで運用改善を行います。

試験でこう出る：ISMS＝「組織的にセキュリティを管理する仕組み」。ISO27001やPDCAとの関連が問われます。

小学生でもわかる説明：みんなでしっかり決まりを守って、ずっと安全をよくしていくしくみです。

セキュリティが適切に守られているかを第三者がチェックする活動です。内部監査と外部監査があります。文書確認やヒアリングを通じて実施します。

試験でこう出る：監査＝「評価」「確認」。点検ではなく、独立性が重要という点も問われます。

小学生でもわかる説明：ちゃんとルールどおりにできているかを、べつの人がたしかめることです。

災害やシステム障害が起きても、事業を止めずに続けるための計画です。業務の優先順位を決め、代替手段や復旧手順を準備しておきます。

試験でこう出る：BCP＝事業を止めないための計画。防災計画との違いも狙われます（防災＝被害を防ぐ）。

小学生でもわかる説明：もし大変なことがあっても、お仕事を続けられるようにする計画です。

RTO（復旧時間目標）は「どれくらいの時間で復旧するか」。
RPO（復旧時点目標）は「どこまでのデータを守れるか」。
どちらも事業継続に欠かせない指標です。

試験でこう出る：RTO＝時間、RPO＝データの保存時点。混ぜるひっかけに注意。

小学生でもわかる説明：いつまでに戻せるか、どこまで戻せるかをきめることです。

セキュリティ事故が発生した際に、対応を専門に行う組織です。被害拡大防止、原因調査、再発防止策などを担当します。

試験でこう出る：インシデント対応組織＝CSIRT が定番。社外組織も存在します。

小学生でもわかる説明：セキュリティ事件が起きたら、すぐにかけつけて対処するチームです。

ログとは、操作履歴や通信記録のことです。インシデントが起きたとき、原因調査や不正防止に役立ちます。消さずに安全に保管することが必要です。

試験でこう出る：証跡の確保が監査・調査の基本。改ざんできないことも重要。

小学生でもわかる説明：だれが何をしたかの記録をちゃんと残して、あとで調べられるようにすることです。