.png)
-
-
🔰 Phase1:基礎理解(Day7)|なぜ内部不正は起きるのか?動機・機会・正当化モデル|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/2/28
1. 最大の脅威は「外部」ではなく「内部」 サイバー攻撃というと、外部のハッカーを想像しがちです。しかし実際には、 顧客データの持ち出し 退職前の情報コピー 不正アクセスの内部関与 経費データ改ざん ...
1. なぜ“管理”が問われるのか?
情報セキュリティマネジメント試験は、
技術試験ではありません。
問われているのは、
「組織としてどう管理するか」
です。
ファイアウォールの仕組みよりも、
- どうルールを作るか
- どう見直すか
- どう改善するか
この“管理構造”が得点の核心です。
2. ISMSとは何か?
ISMS(Information Security Management System)とは、
情報セキュリティを
組織的に継続管理する仕組み
のこと。
ポイントは「仕組み」という言葉です。
単発対策ではなく、
- 方針を定め
- リスクを洗い出し
- 対策を決め
- 実行し
- 見直し
- 改善する
この循環構造がISMSです。
3. ISMSの中心はPDCA
ISMSの核はPDCAサイクル。
P(Plan)
- リスクを特定
- 対策を決定
- 方針・目標を設定
D(Do)
- 対策を実施
C(Check)
- 内部監査
- ログ確認
- 効果測定
A(Act)
- 改善
- 是正処置
重要なのは、
“回すこと”が本質
という点。
一度作って終わりではありません。
4. 試験で狙われるポイント
頻出テーマ:
✔ PDCAの各段階の役割
✔ 内部監査の目的
✔ 継続的改善の意義
✔ マネジメントレビュー
特に問われるのは、
「これはPか?Cか?」
という分類問題です。
例:
- リスクアセスメント → Plan
- 内部監査 → Check
- 是正処置 → Act
瞬時に判断できるようにしましょう。
5. リスクアセスメントの本質
ISMSの中核は、
リスクアセスメント。
流れはこうです:
① 情報資産の洗い出し
② 脅威の特定
③ 脆弱性の特定
④ リスク評価(影響×発生可能性)
⑤ 対策の決定
ここで重要なのは、
リスクは“想像力”である
ということ。
事故は、想像できなかったところから起きます。
6. なぜリスク評価が重要なのか?
すべてのリスクに
完璧な対策はできません。
だからこそ、
優先順位を決める。
これが管理です。
試験ではよく、
「どのリスクを優先すべきか?」
が問われます。
答えは、
影響が大きく、発生可能性が高いもの。
構造で判断します。
7. ISMSは“認証”ではない
よくある誤解:
ISMS=ISO27001認証
ではありません。
ISO27001は、
ISMSを構築・運用するための国際規格。
本質は認証取得ではなく、
管理体制を回すこと。
ここを理解しているかどうかが差になります。
8. 経営視点での理解
ISMSは、
現場任せにしてはいけない。
なぜなら、
- 方針決定
- リスク受容判断
- 資源配分
は経営判断だからです。
試験でも、
「トップマネジメントの責任」
は頻出です。
9. 試験で狙われる典型パターン
✔ PDCAの順序入れ替え問題
✔ 内部監査と外部監査の違い
✔ マネジメントレビューの目的
✔ リスク対応の選択判断
特に、
内部監査=自己点検
外部監査=第三者確認
は区別できるように。
10. 今日のアウトプット課題
考えてみてください。
- 自社で最も重要な情報資産は何か
- 想定すべき脅威は何か
- リスクの優先順位はどう決めるか
- PDCAは回っているか
書ければ、管理視点が育っています。
11. 今日のまとめ
✔ ISMSは“継続管理の仕組み”
✔ 中心はPDCA
✔ リスクアセスメントが核
✔ 優先順位づけが重要
✔ 経営層の関与が必須
🏢 Phase2スタート
ここからは、
“管理できる人”になるフェーズです。
次回:
Day9|リスク対応の4類型(回避・低減・移転・受容)を使いこなす
いよいよ、
リスクをどう扱うかに踏み込みます。
-
.png)
-
🏢 Phase2:組織と管理(Day9)リスク対応の4類型(回避・低減・移転・受容)を使いこなす|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/2/28
前回の記事 1. リスクは「ゼロ」にできない 情報セキュリティの世界でまず理解すべきこと。 リスクはなくならない。 どれだけ対策をしても、リスクは必ず残ります。 だから重要なのは、 どう扱うかを決める ...
