情報セキュリティ用語の補足説明です。
ISMS要求事項の用語の定義は、以下の規格をご確認ください。
JIS Q 27000:2019(ISO/IEC 27000:2018)
情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語
JIS規格はWebで参照できます。JIS規格の検索方法については、以下をご参照ください。
ISO9000シリーズ等のJIS規格と「JIS検索」について
ISO9000シリーズ品質マネジメントシステム要求事項等とJIS規格を検索方法について説明します。「JISQ9004組織の持続的成功のための運営管理−品質マネジメントアプローチ」の「付属書A(参考)自己評価ツール」の自己採点はお勧めです。
pdcatovision.com
2023.12.17
- ISMS用語の補足説明
- ISMS(Information Security Management System)
- コンプライアンス
- ファシリティ
- ソフトウェア
- トロイの木馬
- ノートPC(パソコン)
- リスク
- インシデント
- エンティテイ
- 違法複製等
- 可用性
- 会社情報
- 会社貸与外の情報機器・備品・ソフトウェア
- 完全性
- 管理者アカウント
- 機密性
- 共用情報機器
- 脅威
- 業務領域
- 個人使用情報機器
- 個人情報
- 顧客情報
- 顧客預かり情報
- 使用許諾契約(約款)
- 使用禁止ソフトウェア
- 社内ネットワーク
- 社内情報システム
- 従業員
- 情報資産
- 脆弱性
- 第三者
- 秘密情報
- 標準セキュリティ製品
- 標準外セキュリティ製品
- 不正アクセス
- リスクアセスメント
- リスク評価
- リスク分析
- リスクマネジメント
- 隠れチャネル
- ハウジングサービス
- ホスティングサービス
- モバイルコード
ISMS用語の補足説明
ISMS(Information Security Management System)
- 情報セキュリティを適切なレベルに維持し、管理していくための継続的な取り組み(仕組み)
コンプライアンス
- 法令遵守
- 企業が法令や企業倫理を遵守すること
ファシリティ
- 事業所、施設及び構築物等
ソフトウェア
- PCで稼動し、市販されているシステム、アプリケーション、ユーティリティ等のソフトウェア
トロイの木馬
- 普通のプログラムやファイルのように見せかけ、利用者が気づかないうちに、何らかの破壊活動やデータを外部に流出させる等の利用者の意図しない行動をとるプログラム
ノートPC(パソコン)
- 持ち運び可能なPC(パソコン)、タブレットを含む。
リスク
- 事象の発生確率と事象の結果との組み合わせをいう。
- 目標達成の妨げや阻害要因、マイナスの影響を与えるもの
インシデント
- 好ましくない出来事、事故が発生するおそれのある事態
はかせ
情報システムに関する仕事をしていないとなじみのない言葉かと思います。
情報セキュリティ事故となる兆候と考えています。
エンティテイ
- 実態、主体などともいう。
- 情報セキュリティの要求事項などでの意味合いは、情報を使用する人、情報を扱う設備、ソフトウェア及び物理的媒体などを意味する。
違法複製等
- 著作権法及び使用許諾契約書(約款)に違反して複製する行為
可用性
- 正当なアクセス権限を持つ者が、必要な時に、その情報及び関連する情報資産にアクセスできる状態であること
会社情報
- 会社の業務に関係するすべての情報
会社貸与外の情報機器・備品・ソフトウェア
従業員に貸与したものではない情報機器・備品・ソフトウェア
- 個人所有の携帯電話(スマホ含む)、デジタルカメラ、ボイスレコーダ、携帯音楽プレーヤー
- 個人所有のソフトウェア、外部記憶メディア(CD、DVD、USBメモリ、外付けHDD・SSD等)
- 業務委託先の会社所有PC、外部記憶メディア(CD、DVD、USBメモリ、外付けHDD・SSD等)、ソフトウェア等
完全性
- 情報が、元の内容を正確に維持している、又は当該情報に関わる変更が正確に反映されている状態であること
管理者アカウント
- 市販ソフトウェアに組み込まれた特別なアカウント(管理者権限等)
- 社内又は外部委託により構築した情報システムを操作・管理するために作成された特別なアカウント
機密性
- 正当なアクセス権限を持たない者がその情報にアクセスできないようになっている状態であること
共用情報機器
- 利用権限を持つ複数のメンバで共同利用することを許可されている情報機器
- 共用PC等
脅威
- システムや組織に損害を与える可能性がある事故の潜在的な原因
業務領域
- 組織単位(部署、プロジェクト等)及び各組織が担当する業務の領域
個人使用情報機器
- 特定個人のみが利用することを前提として会社が貸与した情報機器
個人情報
個人に関する情報で、当該情報に含まれる氏名、生年月日その他のデータにより、特定の個人を識別することができるものをいう。
他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。
ただし、法人その他の団体の代表者の役職、氏名、連絡先等、公表されている個人情報(公開情報)は、管理の対象から除外できる。
- 【例1】個人情報の主体「本人」
- お客様、問合せをしてきた方、求職者
- 苦情を寄せてきた方、紛争の相手方
- 各種取引先の役員、従業員、被出向者
- 事業所近隣の居住者、地権者
- 従業員
- 【例2】情報の種類
- 氏名のみ、氏名及び住所、氏名及び勤務先、氏名及び電話番号
- 個人が使用するメールアドレス
- 従業員氏名、人事評価、公的資格、健康情報、家族情報等
- 求職者の経歴、自己紹介、評価結果等
顧客情報
- 顧客に関するすべての情報
顧客預かり情報
- 顧客提供図面、顧客仕様書等、顧客から提供された情報
使用許諾契約(約款)
- ソフトウェアメーカー(著作権者)が、ソフトウェアの使用権をユーザーに許諾するための契約
- 約款(ソフトウェアの利用範囲、使用条件が記載されている)
使用禁止ソフトウェア
- ファイル共有ソフト(Winny、Winnyp、Share)等
社内ネットワーク
- 本社及び各拠点を含む当社のネットワーク全体
- ITインフラ
社内情報システム
- 機密性・完全性・可用性が損なわれた場合に当社の事業運営に大きな影響を与える情報システム(基幹システム、イントラネット、メール等)
- 社内ネットワーク、基幹システムの総称
従業員
- 当社の役員(取締役、監査役)、及び社員、契約社員、嘱託社員、パート・アルバイト従業員、定年再雇用従業員、派遣社員、協力会社(グループ会社)社員、要員
情報資産
当社にとって価値を持つ情報及びその情報を利用可能とする手段(ハードウエア、ソフトウェア、サービス等)
- 【例1】価値を持つ情報
- 秘密情報、従業員の個人情報、顧客の個人情報、顧客情報、顧客預かり情報(仕様書、図面等)、技術情報
- 【例2】価値を持つ情報を利用可能とする手段
- ハードウエア(サーバ、PC、通信装置・機器、外部記憶装置)
- ソフトウェア(アプリケーションソフトウェア(Office、CAD等)、システムソフトウェア(OS)、ユーティリティ)
- サービス(電話回線、インターネット回線、クラウド)
- 情報が記録された各種メディア、文書、その他媒体
脆弱性
- 情報資産に内在する、その情報資産の機密性・完全性・可用性を脅かす可能性のある欠陥や問題点、弱点
第三者
- 当社の従業員以外の者
秘密情報
例えば、秘密情報は、秘密等級(極秘/秘/社外秘/公開)に区分される。
- 【極秘】
- 業務上これを取り扱う社内の限定された最小限の直接の関係者に対してのみ伝達される情報(文書)
- 【秘】
- 業務上これを取り扱う部署長及び限定された担当者に対してのみ伝達される情報(文書)
- 【社外秘】
- 当社従業員を対象として伝達されるもので、内容を社外に公表してはならない情報(文書)
【参考1】機密情報
- 企業にとり重大な秘密情報、特定の企業を識別できる情報
- 例
- 在庫情報、企画書、顧客情報、給与情報、人事情報、仕入先リスト、マニュアル、営業計画、設計図面等
【参考2】機密文書
- 業務上特定の関係者以外に公表してはならない文書
- 会社の重要な経営施策、人事に関する事項
- 重要会議(品質マニュアルの会議体等)の議事に関する事項
- 会社製品に関する重要な事項(価格、仕様、不具合等)
- 契約、協約又は申し合わせによる事項
- 規定、命令をもって特に指定した事項
標準セキュリティ製品
- 当社の情報セキュリティを確保するために、情報システム室が指定した当社の標準品として使用する機器・備品・ソフトウェア
標準外セキュリティ製品
- 標準セキュリティ製品が指定されている範疇の機器・備品・ソフトウェアでかつ標準セキュリティ製品以外のもの
不正アクセス
次に該当する行為をいう。
①情報システムへの不正なアクセス(コンピュータ不正アクセス)
正当な権限なくして情報システムにコンピュータネットワーク又は当該情報システムの端末を直接利用して、他人のユーザ・アカウント等や他人がログインした端末を利用して、制限されている情報やサービス等を利用可能な状態にさせる行為
情報システムのセキュリティホール等を利用して、制限されている情報やサービス等を利用可能な状態にさせる行為
②ファシリティへの不正なアクセス
入館又は入室を制限しているファシリティに対し、入館又は入室の権限を持たない者が立ち入るもしくは立ち入ろうとする行為
リスクアセスメント
- 「リスクアセスメント」とは、「リスク分析」から「リスク評価」までのすべてのプロセスをいう。
リスク評価
- 「リスク評価」とは、「リスク」の重大さを決定するために、算定された「リスク」を与えられたリスク基準と比較するプロセスをいう。
リスク分析
- 「リスク分析」とは、リスク因子を特定するための、および「リスク」を算定するための情報の系統的使用をいう。
リスクマネジメント
- 「リスクマネジメント」とは、「リスク」に関して組織を指揮し管理する調整された活動をいう。
- 「リスクマネジメント」は一般に「リスクアセスメント」、「リスク対応」、「リスク」の受容およびリスクコミュニケーションを含む。
- 「リスク対応」とは、「リスク」を変更させるための方策を選択および実施するプロセスをいう。
隠れチャネル
- 「隠れチャネル」とは、限られたユーザに提供される秘密の通信経路をいう。
- 隠れチャネルがあると、情報漏洩の経路や、外部からの不正アクセス経路に悪用される危険がある。
ハウジングサービス
- 「ハウジングサービス」とは、データセンター等の施設を運営する業者が当社所有のサーバ機器等を当該施設に預かって稼動させるサービスをいう。
ホスティングサービス
- 「ホスティングサービス」とは、インターネット上での情報発信等のためにサーバやインターネット回線等を貸し出すサービスをいう。
- 「レンタルサーバサービス」と呼ばれることもある。
モバイルコード
- 「モバイルコード」とは、あるコンピュータから別のコンピュータへ移動するソフトウエアで、利用者とのやり取りがほとんどないまたは全くない状態で、自動的に起動し、特定の機能を実行するものをいう。(例:Java、ActiveX)
- モバイルコードは幾つかのミドルウエアサービスと関係している。
- 「モバイルコード」とは、あるコンピュータから別のコンピュータへ移動するソフトウエアで、利用者とのやり取りがほとんどないまたは全くない状態で、自動的に起動し、特定の機能を実行するものをいう。(例:Java、ActiveX)
- モバイルコードは幾つかのミドルウエアサービスと関係している。
