1. 情報セキュリティマネジメントの推進又は支援に関すること（6/7）～情報セキュリティに関する動向・事例の収集と分析～

1-6 情報セキュリティに関する動向・事例の収集と分析

概要　(引用)

情報セキュリティに関する事件・事故，傾向と背景，攻撃の手口，脅威，脆弱性及び対策，セキュリティ技術などの情報を収集する。
情報セキュリティに関する法令，規制，規格類の制定・改廃や社会通念の変化，コンプライアンス上の新たな課題などについて把握する。
収集した各情報について，組織内への影響，対応の緊急性，対応の費用・効果・必要性を評価し，報告する。

要求される知識

・ JIS，ISO，IEC，IEEE，NISTなどのセキュリティ関連の規格の動向に関する知識
・ 業界標準，ガイドラインの動向に関する知識
・ サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）に関する知識
・ 攻撃の手口に関する知識
・ 攻撃の分析モデル（サイバーキルチェーン，ATT＆CKなど）に関する知識
・ 脅威インテリジェンス（OSINTなど）に関する知識

要求される技能

・ 国内外の様々な情報源（公的機関，セキュリティ機関，ベンダからの発表，カンファレンス，論文など）から，必要な情報を，迅速にかつ継続的に収集する能力
・ 収集した情報の信頼性，正確さを検証する能力
・ 収集した情報を整理し，関係者に伝達する能力
・ 収集した情報に関して，組織内への影響などを評価する能力

• 引用元
  • 情報処理推進機構　「情報処理安全確保支援士試験（レベル４）シラバス－ 情報処理技術者試験における知識・技能の細目 Ver.2.1（2023年12月25日掲載）
  • https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014ir-att/syllabus_sc_ver2_1.pdf

セキュリティ関連の規格の動向に関する知識

セキュリティ分野では、JIS、ISO、IEC、IEEE、NISTなどの各種標準化団体が策定する規格が、情報セキュリティの対策・設計・運用における指針として広く活用されています。
これらの規格の動向に関する知識は、情報処理安全確保支援士にとって重要です。以下に主要な規格団体ごとの概要と動向を説明します。

1. JIS（日本産業規格）

• 概要：日本国内で統一された工業・技術の国家規格。ISO/IEC規格を翻訳・適用するケースが多い。

• セキュリティ関連例：

  • JIS Q 27001：ISMS（情報セキュリティマネジメントシステム）に関する要求事項
  • JIS Q 15001：個人情報保護マネジメントシステム（PMS）

• 動向：

  • ISO/IECの改訂に追随して日本語版が更新される。
  • DX・クラウド・IoT対応を意識した改訂も進行中。

2. ISO（国際標準化機構）／IEC（国際電気標準会議）

• 概要：グローバルに通用する国際規格を制定。情報セキュリティは共同で「ISO/IEC」名義で策定される。
• 代表的な規格と動向：
  • ISO/IEC 27001（ISMS）：2022年に改訂。リスク対応策の整理や統合が進む。
  • ISO/IEC 27002：管理策ガイドライン。2022年版では制御分類の見直しが行われ、クラウドや物理セキュリティ対策が拡充。
  • ISO/IEC 27701：プライバシー情報管理（PIMS）対応。個人情報保護への国際的対応を反映。
  • ISO/IEC 27017 / 27018：クラウドセキュリティ・クラウドにおける個人情報保護に特化。
• 今後の注目点：
  • AIガバナンス、サプライチェーンセキュリティ、ゼロトラスト関連規格の策定。

3. IEEE（米国電気電子学会）

• 概要：ハードウェア・ネットワーク・ソフトウェアに関する工学的な標準を策定。

• セキュリティ関連例：

  • IEEE 802.1X：ネットワークアクセス制御（無線LANなどの認証技術）
  • IEEE 1686：産業用制御システムのセキュリティ機能要件

• 動向：

  • スマートグリッド、IoT、5G、AIとの連携に関するセキュリティ規格が活発化。
  • サイバー・フィジカル・システム（CPS）の保護規格の議論が進展中。

4. NIST（米国国立標準技術研究所）

• 概要：米国政府が主導する技術基準策定機関。NISTのフレームワークは世界的に高い信頼を持つ。
• 代表的なセキュリティ文書：
  • NIST SP 800-53：セキュリティ・プライバシー管理策のカタログ
  • NIST CSF（サイバーセキュリティフレームワーク）：リスク管理指針。2024年に「CSF 2.0」がリリースされ、ガバナンスとサプライチェーンへの対応が強化された。
  • NIST SP 800-171：民間事業者向け機密情報保護要件（CMMCにも関連）
• 動向：
  • ゼロトラスト、量子耐性暗号、AIセキュリティへの対応が進行中。
  • サイバーセキュリティガバナンスの明確化が意識されている。

情報セキュリティに関する動向・事例の収集と分析について

情報処理安全確保支援士における「情報セキュリティに関する動向・事例の収集と分析」とは、日々進化するセキュリティリスクに対応するために、最新情報を体系的に収集・評価し、組織の安全対策に役立てる活動です。
以下のように整理されます。

① セキュリティ情報の収集

支援士は、以下のような情報を多角的に収集します。

• インシデント事例：マルウェア感染、情報漏えい、ランサムウェア攻撃などの事件・事故。
• 脅威・攻撃手法：フィッシング、ゼロデイ攻撃、サプライチェーン攻撃など。
• 脆弱性情報：ソフトウェアや機器のセキュリティホール（例：CVE情報）。
• 技術動向：最新のセキュリティ技術、製品、標準プロトコル。
• 法令・規制・規格：個人情報保護法、サイバーセキュリティ基本法、ISMS、NISTなどの制定・改正動向。
• 社会的要請・通念：コンプライアンスに関する社会の期待や倫理的観点。

② 情報の分析と評価

収集した情報をもとに、次の観点で組織への影響を分析・評価します。

• 組織内でのリスクの有無と重大性
  　例：対象の脆弱性が使用中のシステムに該当するか。

• 対応の緊急性
  　例：外部公開されたサーバに対する脅威であれば即時対応が必要。

• 対応策の費用対効果・必要性
  　例：パッチ適用によるシステム停止のリスクと対策コストの比較。

③ 組織への報告と助言

分析結果は、経営層や関係部門に向けて的確に報告・助言し、組織のセキュリティ方針や対策計画に反映させます。
例えば：

• 優先的に対応すべきセキュリティリスクの提示
• 法改正に伴う社内規程の見直しの提案
• セキュリティ教育や訓練の必要性の提言

まとめ

情報処理安全確保支援士は、情報セキュリティの変化に機敏に対応するために、日々の情報収集と的確な分析・評価を行い、組織の安全性と法令遵守の両立を支える役割を果たします。
これは、単なる知識の保持にとどまらず、リスクマネジメントの実務に直結する重要な活動です。