ISO27001　>　ISO27001-2022　>　4. 組織の状況から10. 改善　>　付属書Ａ.管理目的及び管理策　>　詳細管理策の解説　>　情報セキュリティ用語 ｜ サイトマップ

詳細管理策の解説

A.5 組織的管理策

• A.5.1 情報セキュリティのための方針群
• A.5.2 情報セキュリティのための方針群のレビュー

解説

詳細管理策の見出しは、”方針群”となっている。方針はひとつではなく、複数を示していることがわかる。経営者は情報セキュリティ方針を作成して周知する。
~
~

• 5.19 供給者関係における情報セキュリティ
• 5.20 供給者との合意における情報セキュリティの取扱い
• 5.22 供給者のサービス提供 の監視、レビュー及び変更管理

解説

この項目は、供給者がアクセスできる組織の資産の保護を確実にするため行う管理策である。

企業における調達、製造、物流、販売、サービスといった行程を「供給の鎖」(サプライチェーン)として捉え、それに関わる情報を互いに共有管理して最適化を図る経営手法、または情報システムのことをいう。
サプライチェーンの各工程の個別最適ではなく、全体最適を図っていくことが重要とされている。
リードタイム短縮や在庫抑制によって、顧客満足度の向上を図りながら、コスト削減および収益拡大につなげる。

ICTサプライチェーンとは

企業における調達、製造、物流、販売、サービスといった行程を「供給の鎖」(サプライチェーン)として捉え、それに関わる情報を互いに共有管理して最適化を図る経営手法、または情報システムのことをいう。
サプライチェーンの各工程の個別最適ではなく、全体最適を図っていくことが重要とされている。
リードタイム短縮や在庫抑制によって、顧客満足度の向上を図りながら、コスト削減および収益拡大につなげる。
~
~
~

• A.5.24 情報セキュリティインシデント管理の計画策定及び準備
• A.5.25 情報セキュリティ事象の評価及び決定
• A.5.26 情報セキュリティイン シデントへの対応

解説

• 情報セキュリティインシデントの管理及びその改善は、情報セキュリティインシデントの管理に、一貫性のある効果的な取組み方法を用いることを確実にするため行なう。
• 情報セキュリティの事象及び弱点の報告は、情報システムに関連する情報セキュリティの事象及び弱点を、時機を失しない是正処置を講じることができるやり方で連絡することを確実にするため行なう。~

~
~
~

• A.5.29 事業の中断・阻害時の情報セキュリティ
• A.5.30 事業継続のための ICT の備え

解説

• 事業継続計画（Business continuity planning、BCP）は「競争的優位性と価値体系の完全性を維持しながら、組織が内外の脅威にさらされる事態を識別し、効果的防止策と組織の回復策を提供するためハードウェア資産とソフトウェア資産を総合する計画」のこと。事業継続と復旧計画（Business Continuity & Resiliency Planning、BCRP）とも呼ばれる。
• 情報セキュリティの継続が事業継続マネジメント（BCM という。）プロセス又は災害復旧管理（DRM という。）プロセスに織り込まれているか否かを判断することが望ましい。
• 事業継続及び災害復旧に関する正式な計画が策定されていない場合，通常の業務状況とは異なる困難な状況においても，情報セキュリティ要求事項は変わらず存続することを，情報セキュリティマネジメントの前提とすることが望ましい。

• 事業継続管理は、情報システムの重大な故障又は災害の影響からの事業活動の中断に対処するとともに、それらから重要な業務プロセスを保護し、さらに、事業活動及び重要な業務プロセスの時機を失しない再開を確実にするため行なう。
• 情報セキュリティに対して"追加的な"BIA を実施するための時間及び労力を軽減するには，通常の BCM又は DRM における BIA に，情報セキュリティに関する側面を織り込むことが推奨される。すなわち，情報セキュリティ継続に関する要求事項が，BCM プロセス又は DRM プロセスにおいて明確に定められているということである。
• BCMに関する情報が，JIS Q 22301，ISO 22313　及び ISO/IEC 27031　に示されている。~

~
~

• A.5.31 法令、規制及び契約上の要求事項
• A.5.32 知的財産権
• A.5.34 プライバシー及び個人識別可能情報(PII）の保護

解説

• 法的要求事項の順守は、法令、規則又は契約上のあらゆる義務、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため行なう。~
• 情報セキュリティ方針及び標準の順守、並びに技術的コンプライアンスは、組織のセキュリティ方針及び標準類へのシステムの順守を確実にするため行なう。~
• 情報システム監査に対する考慮事項は、情報システム監査手続の有効性を最大限にするため、及び情報システム監査手続への／からの干渉を最小限にするため行なう。

A.6 人的管理策 ──────────────────────────

• A.6.1 選考
• A.6.2 雇用条件
• A.6.4 懲戒手続
• A.6.5 雇用の終了又は変更後の責任

解説

• 雇用前は、従業員、契約相手及び第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、又は設備の不正使用のリスクを低減するために行なう。
• 雇用期間中は、従業員、契約相手及び第三者の利用者の、情報セキュリティの脅威及び諸問題、並びに責任及び義務に対する認識を確実なものとし、通常の業務の中で組織のセキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため行なう。
• 雇用の終了または変更は、従業員、契約相手及び第三者の利用者の組織から離脱又は雇用の変更を所定の方法で行うことを確実にするため行なう。

A.7 物理的管理策 ──────────────────────────

• 7.2 物理的入退管理策
• 7.3 オフィス、部屋及び施設のセキュリティ
• 7.4 物理的セキュリティの監視
• 7.7 クリアデスク・クリアスクリーン
• 7.10 記憶媒体

解説

• セキュリティを保つべき領域は、組織の施設及び情報に対する認可されていない物理的アクセス、損傷及び妨害を防止するため行なう。~
• 装置のセキュリティは、資産の損失、損傷、盗難又は劣化、及び組織の活動に対する妨害を防止するために行なう。

A.8 技術的管理策 ──────────────────────────

• A.8.20 ネットワークセキュリティ
• A.8.21 ネットワークサービスのセキュリティ
• A.8.23 ウェブフィルタリング

解説

• アクセス制御に対する業務上の要求事項は、情報へのアクセスを制御するため行なう。~-通信のセキュリティは、ネットワークにおける情報の保護、及びネットワークを支える情報処理施設の保護を確実にするために行う。

~
~
~

• A.8.7 マルウェアに対する保護
• A.8.8 技術的ぜい弱性の管理

• A.8.13 情報のバックアップ
• A.8.15 ログ取得

• A.8.31 開発環境、テスト環境 及び本番環境の分離
• A.8.32 変更管理

解説

運用のセキュリティは、情報処理設備の正確かつセキュリティを保った運用を確実にするために行う。

• A.8.26 アプリケーションセキ ュリティの要求事項
• A.8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
• A.8.30 外部委託による開発
• A.8.32 変更管理

解説

システムの取得、開発及び保守における管理策は、ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため行う。
これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含んでいる。

~
~

ランサムウェア (身代金要求型ウイルス)とは？

ランサムウェアの「ランサム（ransom）」とは「身代金」という意味です。
感染すると端末の操作やファイルの参照をできなくすることで、これらを人質にとり、元に戻すパスワードが欲しければお金（身代金）を払うようにとの脅迫メッセージを表示します。

直接あなたの金銭を奪おうとするウイルスが問題になっています。
中でも、感染した端末の画面をロックしたり（端末ロック型）、ファイルを勝手に暗号化したり（暗号化型）することによって使用できなくしたのち、元に戻すことと引き換えに「身代金」を要求する「ランサムウェア（身代金要求型ウイルス）」の被害が拡大しています。2017年5月世界中で被害が拡大し大ニュースになっています。

金銭を狙うランサムウェア（身代金要求型ウイルス）が急増感染するとあなたの会社の大事な情報資産（写真や動画、ファイル）が使えなくなります。
トレンドマイクロの調査では、日本国内のランサムウェア検出台数が、2016年1月～12月で65,400件を超え、2015年1年間の検出台数6,700件に対して、9.8倍と急増してます。

また独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2017」の第2位に「ランサムウェア」がランクインしています。

どんな場合、ランサムウェアに感染するかというと、Webページを見たり、メールの添付ファイルを開くという一般的な操作で感染するのです。

迷惑（スパム）メールの添付ファイルを開いたことで、ランサムウェアがダウンロードされてしまったり、攻撃者によって用意された不正なURLをうっかりクリックしてランサムウェアを拡散するサイトにアクセスしてしまったりすることで感染するケースが多いようです。

どうすればいいの？　ランサムウェアの被害を防ぐための対策ポイント

ランサムウェアの被害を防ぐために、次の５つの対策を心がけましょう。

1. 不自然なものには“触らない”
2. OSやソフトの“更新プログラムを速やかに適用”
3. セキュリティソフトは常に“最新に”
4. 大切なデータは、複数の場所でこまめに“バックアップ”
5. 身代金を要求されても“支払わない”

~
~

シンクライアントとは

• 【広義のシンクライアント】： シンクライアント (Thin client) とは、ユーザーが使うクライアント端末に必要最小限の処理をさせ、ほとんどの処理をサーバ側に集中させたシステムアーキテクチャ全般のことを言う。
• 【狭義のシンクライアント】：または、そのようなシステムアーキテクチャで使われるように機能を絞り込んだ専用のクライアント端末のことを言う場合もある。狭義のシンクライアントにおいて、クライアント側に Windows、UNIX、Android などの一般的なGUI OSを使わないケースをゼロクライアント (Zero client) と呼ぶこともある。

シンクライアントの「シン (thin)」とは、すなわち「薄い、少ない」という意味で、クライアント端末がサーバに接続するための最小限のネットワーク機能、およびユーザーが入出力を行うためのGUIを装備していれば良いことを示している。

シンクライアントとは逆の意味を持つ用語としては、「ファット (FAT) クライアント」または「シック (Thick) クライアント」がある。
本来の英語の「thin」の反対語は「thick」であるが、日本ではシンクライアントの反対語としては「ファットクライアント」の用語が用いられることが圧倒的に多い。

~
~

トランザクション（transaction）とは

商取引、売買、執行、取扱、議事録などの意味を持つ英単語。ソフトウェアの処理方式の一つで、互いに関連・依存する複数の処理をまとめ、一体不可分の処理単位として扱うことをトランザクション処理と呼び、そのような処理単位をトランザクションという。

データベースシステムや業務用ソフトウェアなどでよく用いられる概念で、金融機関のコンピュータシステムにおける入出金処理のように、一連の作業を全体として一つの処理として管理するために用いる。

トランザクションとして管理された処理は「すべて成功」か「すべて失敗」のいずれかであることが保証される。
例えば、資金移動システムをコンピュータで処理する場合、出金処理と入金処理は「どちらも成功」か「どちらも失敗」のどちらかであることが要求される。「出金に成功して入金に失敗」すると、出金された資金が宙に浮いてしまうからである。
このような場合に、出金と入金をまとめて一つのトランザクションとして管理し、どちらか一方が失敗したらもう片方も取り消し、どちらも成功したときに初めて全体を成功として確定する。

~
~
~

情報セキュリティマネジメントシステム コンサルティング

最新版での新規認証取得支援のコンサルティング、システム運用保守支援、改善支援、内部監査代行サービスなどを行っております。

御見積りは信頼と実績のタテックスまでお問合せください。

　　　お問合せは、ここをクリック→お問合せ

~
~
~
~