こんにちは!
ナビゲーターのEVEです。
なお、ISO/IEC 27001で思い出しましたが、以下に関する記述も見たような気がします。
ナビゲーターのEVEです。
本日は、日曜日ということでセキュリティの日なのですが、いきなり暑くなりましたね?ちょっと、散歩に外へ出たところ、ここ数日の服装では暑くて倒れそうでした。そのため、途中で服を脱ぎましたが、外に出るまでは、ここまで暑いとは思いませんでした。寒暖の差により体調をくずす可能性がありますので、お気を付け下さい。
IPA、中小企業診断士の試験をなどを受験していると、頻繁に見かけるのが、ISOの文書。ISOの後に、数字が続くのですが、数字を覚えるのが苦手で、何がどんな文書なのか頭に入っていきません。今回は、IPA、ISOの試験でどんなISOの文書が出てきているのか調べ、その文書がどのような内容なのかまとめて行きます。
[ISOの文書]
以下が、私が、過去問を解きながら、抽出したものです。思ったより少ないですね?
■ISO/IEC 27001(情報セキュリティマネジメントシステム - ISMS)
★概要
情報セキュリティマネジメントシステム(ISMS)の国際標準規格。情報の機密性・完全性・可用性を確保し、リスクを適切に管理するためのフレームワークを提供する。
★主な内容:
・リスクアセスメントとリスク対応の方法
・情報資産の保護
・継続的な改善の仕組み(PDCAサイクル)
・監査・評価の基準
■ISO/IEC 20000(ITサービスマネジメント - ITSM)
★概要
ITサービスマネジメント(ITSM)の国際標準規格。ITサービスの品質を向上させ、効率的な運用を確立するための基準を定めている。
★主な内容:
・サービスマネジメントシステム(SMS)の確立
・インシデント管理・問題管理・変更管理のプロセス
・サービスレベル管理
・継続的改善のフレームワーク
■ISO 8824(ASN.1 - Abstract Syntax Notation One)
★概要
データの構造やエンコーディングを定義するための記述言語「ASN.1(Abstract Syntax Notation One)」を規定した標準。
★主な内容:
・データ通信プロトコルの標準化
・バイナリデータとテキストデータの表現方法
・電子証明書やネットワーク通信プロトコル(LDAP, X.509など)での利用
■ISO/IEC 15408(情報セキュリティ評価基準 - Common Criteria)
★概要
情報システムや製品のセキュリティ評価基準である「コモンクライテリア(CC)」を定めた規格。情報セキュリティの機能と保証要件を評価する枠組みを提供する。
★主な内容:
・セキュリティ機能要件(機密性・完全性・可用性)
・セキュリティ保証要件(開発・設計・運用の信頼性)
・評価アシュアランスレベル(EAL1〜EAL7)
■ISO/IEC 25010(ソフトウェア品質モデル)
★概要
ソフトウェアやシステムの品質を評価するためのモデルを定めた規格。品質特性を体系的に整理し、品質保証の基準を提供する。
★主な内容:
・製品品質の8つの特性(機能適合性、信頼性、使用性、効率性、保守性、移植性など)
・品質の内訳と評価基準
・ユーザー中心の品質評価
■ISO/IEC 9594-8(X.509 - 公開鍵インフラストラクチャ)
★概要
X.509証明書を含む公開鍵基盤(PKI)に関する標準規格。デジタル証明書のフォーマットや認証機関(CA)の役割を定める。
★主な内容:
・X.509証明書のフォーマットと構成
・証明書の発行・管理・失効のプロセス
・認証機関(CA)と証明書の階層構造
このように、それぞれのISO規格は情報セキュリティ、ITサービス管理、ソフトウェア品質、データ通信、認証基盤など、異なる分野に関する基準を定めています。特に ISO/IEC 27001, 15408, 9594-8 は情報セキュリティに関連が深く、ISO/IEC 25010 はソフトウェアの品質評価に、ISO/IEC 20000 はITサービスの管理に、ISO 8824 はデータ構造の記述に関する規格となっています。
IPA、中小企業診断士試験に共通に出てくる用語としては、ISO/IEC 27001、ISO/IEC 20000ぐらいです。それ以外は、IPAのみで出題されるという認識で問題ないと思います。★概要
情報セキュリティマネジメントシステム(ISMS)の国際標準規格。情報の機密性・完全性・可用性を確保し、リスクを適切に管理するためのフレームワークを提供する。
★主な内容:
・リスクアセスメントとリスク対応の方法
・情報資産の保護
・継続的な改善の仕組み(PDCAサイクル)
・監査・評価の基準
■ISO/IEC 20000(ITサービスマネジメント - ITSM)
★概要
ITサービスマネジメント(ITSM)の国際標準規格。ITサービスの品質を向上させ、効率的な運用を確立するための基準を定めている。
★主な内容:
・サービスマネジメントシステム(SMS)の確立
・インシデント管理・問題管理・変更管理のプロセス
・サービスレベル管理
・継続的改善のフレームワーク
■ISO 8824(ASN.1 - Abstract Syntax Notation One)
★概要
データの構造やエンコーディングを定義するための記述言語「ASN.1(Abstract Syntax Notation One)」を規定した標準。
★主な内容:
・データ通信プロトコルの標準化
・バイナリデータとテキストデータの表現方法
・電子証明書やネットワーク通信プロトコル(LDAP, X.509など)での利用
■ISO/IEC 15408(情報セキュリティ評価基準 - Common Criteria)
★概要
情報システムや製品のセキュリティ評価基準である「コモンクライテリア(CC)」を定めた規格。情報セキュリティの機能と保証要件を評価する枠組みを提供する。
★主な内容:
・セキュリティ機能要件(機密性・完全性・可用性)
・セキュリティ保証要件(開発・設計・運用の信頼性)
・評価アシュアランスレベル(EAL1〜EAL7)
■ISO/IEC 25010(ソフトウェア品質モデル)
★概要
ソフトウェアやシステムの品質を評価するためのモデルを定めた規格。品質特性を体系的に整理し、品質保証の基準を提供する。
★主な内容:
・製品品質の8つの特性(機能適合性、信頼性、使用性、効率性、保守性、移植性など)
・品質の内訳と評価基準
・ユーザー中心の品質評価
■ISO/IEC 9594-8(X.509 - 公開鍵インフラストラクチャ)
★概要
X.509証明書を含む公開鍵基盤(PKI)に関する標準規格。デジタル証明書のフォーマットや認証機関(CA)の役割を定める。
★主な内容:
・X.509証明書のフォーマットと構成
・証明書の発行・管理・失効のプロセス
・認証機関(CA)と証明書の階層構造
このように、それぞれのISO規格は情報セキュリティ、ITサービス管理、ソフトウェア品質、データ通信、認証基盤など、異なる分野に関する基準を定めています。特に ISO/IEC 27001, 15408, 9594-8 は情報セキュリティに関連が深く、ISO/IEC 25010 はソフトウェアの品質評価に、ISO/IEC 20000 はITサービスの管理に、ISO 8824 はデータ構造の記述に関する規格となっています。
なお、ISO/IEC 27001で思い出しましたが、以下に関する記述も見たような気がします。
■ISO/IEC 27000:情報セキュリティマネジメントシステムの用語と概要
ISO/IEC 27000は、27000シリーズ全体の基礎となる規格で、以下のような内容が含まれています。
★情報セキュリティマネジメントシステム(ISMS)の基本概念
・ISMSの目的、必要性、適用範囲について説明
・セキュリティ管理のフレームワークの概要
★共通の用語と定義
・27000シリーズ全体で統一的に使用する情報セキュリティに関する用語の定義(例:「リスク」「資産」「脅威」「脆弱性」など)
・他の規格を理解するための前提知識を提供
ISO/IEC 27000は、ISO/IEC 27001を理解するための前提となる規格であり、特に情報セキュリティ関連の専門用語の統一的な定義が重要なポイントです。
■ISO/IEC 27002:情報セキュリティ管理策(ガイドライン)
ISO/IEC 27002は、ISO/IEC 27001で要求される情報セキュリティ対策(管理策)について、より詳細なガイドラインを示した規格です。
★主な内容
・情報セキュリティ管理策(Annex Aの詳細解説)
・ISO/IEC 27001の附属書Aにある**管理策(114項目)**の詳細を解説
・例:アクセス制御、暗号化、バックアップ、物理的セキュリティ、インシデント対応など
★各管理策の実施方法の詳細
・管理策をどのように適用すべきか、具体的な手法を説明
・例:「アクセス制御」の場合、ID管理の基準、パスワードポリシーの設定、認証強化策の適用など
★組織の規模や業種に応じた適用
・すべての管理策がすべての組織に適用されるわけではなく、リスクに応じた選択が可能
ISO/IEC 27002は、ISO/IEC 27001の補助的な規格であり、ISMSを実践するためのベストプラクティスを提供しています。
■ISO/IEC 27005:情報セキュリティリスクマネジメントの手法
ISO/IEC 27005は、情報セキュリティリスクを管理するための具体的な手法を示した規格です。
★主な内容
リスクアセスメントのプロセス
・リスクの特定(情報資産、脅威、脆弱性の洗い出し)
・リスクの評価(リスクの影響度と発生確率を評価)
・リスクの対応(リスク回避、低減、移転、受容の選択)
★リスクマネジメントの継続的な運用
・リスク評価を定期的に実施し、適切な対策を講じる
・リスク対応計画の策定と実行
ISO/IEC 27005は、ISO/IEC 27001の「リスクマネジメント」に特化した規格であり、ISMSを導入する際のリスク評価のフレームワークとして活用されます。
■ISO/IEC 27017:クラウドサービス向けの情報セキュリティ管理策
ISO/IEC 27017は、クラウド環境に特化した情報セキュリティの管理策を定めた規格であり、**クラウドサービスの提供者(CSP)と利用者(顧客)**の双方が適用できる基準です。
★主な内容
クラウド特有のセキュリティリスクへの対応
・データの所在管理(クラウド上のデータがどこに保存されるか)
・クラウド環境のアクセス制御(特権ユーザー管理、APIセキュリティ)
・仮想化環境のセキュリティ対策
★クラウド事業者と利用者の責任分担
・クラウドプロバイダー(AWS, Azure, GCPなど)と顧客のセキュリティ責任を明確化
・例:クラウド事業者は「インフラのセキュリティ」、利用者は「データの暗号化」を担当
ISO/IEC 27017は、クラウド環境での情報セキュリティリスクを低減し、安全に運用するためのガイドラインとして利用されます。
ISO/IEC 27000は、27000シリーズ全体の基礎となる規格で、以下のような内容が含まれています。
★情報セキュリティマネジメントシステム(ISMS)の基本概念
・ISMSの目的、必要性、適用範囲について説明
・セキュリティ管理のフレームワークの概要
★共通の用語と定義
・27000シリーズ全体で統一的に使用する情報セキュリティに関する用語の定義(例:「リスク」「資産」「脅威」「脆弱性」など)
・他の規格を理解するための前提知識を提供
ISO/IEC 27000は、ISO/IEC 27001を理解するための前提となる規格であり、特に情報セキュリティ関連の専門用語の統一的な定義が重要なポイントです。
■ISO/IEC 27002:情報セキュリティ管理策(ガイドライン)
ISO/IEC 27002は、ISO/IEC 27001で要求される情報セキュリティ対策(管理策)について、より詳細なガイドラインを示した規格です。
★主な内容
・情報セキュリティ管理策(Annex Aの詳細解説)
・ISO/IEC 27001の附属書Aにある**管理策(114項目)**の詳細を解説
・例:アクセス制御、暗号化、バックアップ、物理的セキュリティ、インシデント対応など
★各管理策の実施方法の詳細
・管理策をどのように適用すべきか、具体的な手法を説明
・例:「アクセス制御」の場合、ID管理の基準、パスワードポリシーの設定、認証強化策の適用など
★組織の規模や業種に応じた適用
・すべての管理策がすべての組織に適用されるわけではなく、リスクに応じた選択が可能
ISO/IEC 27002は、ISO/IEC 27001の補助的な規格であり、ISMSを実践するためのベストプラクティスを提供しています。
■ISO/IEC 27005:情報セキュリティリスクマネジメントの手法
ISO/IEC 27005は、情報セキュリティリスクを管理するための具体的な手法を示した規格です。
★主な内容
リスクアセスメントのプロセス
・リスクの特定(情報資産、脅威、脆弱性の洗い出し)
・リスクの評価(リスクの影響度と発生確率を評価)
・リスクの対応(リスク回避、低減、移転、受容の選択)
★リスクマネジメントの継続的な運用
・リスク評価を定期的に実施し、適切な対策を講じる
・リスク対応計画の策定と実行
ISO/IEC 27005は、ISO/IEC 27001の「リスクマネジメント」に特化した規格であり、ISMSを導入する際のリスク評価のフレームワークとして活用されます。
■ISO/IEC 27017:クラウドサービス向けの情報セキュリティ管理策
ISO/IEC 27017は、クラウド環境に特化した情報セキュリティの管理策を定めた規格であり、**クラウドサービスの提供者(CSP)と利用者(顧客)**の双方が適用できる基準です。
★主な内容
クラウド特有のセキュリティリスクへの対応
・データの所在管理(クラウド上のデータがどこに保存されるか)
・クラウド環境のアクセス制御(特権ユーザー管理、APIセキュリティ)
・仮想化環境のセキュリティ対策
★クラウド事業者と利用者の責任分担
・クラウドプロバイダー(AWS, Azure, GCPなど)と顧客のセキュリティ責任を明確化
・例:クラウド事業者は「インフラのセキュリティ」、利用者は「データの暗号化」を担当
ISO/IEC 27017は、クラウド環境での情報セキュリティリスクを低減し、安全に運用するためのガイドラインとして利用されます。
[あとがき]
もっと、あると思って調査を始めましたが、7つだけですか?なんで、ISOからの文書がIPA、中小企業診断士の試験で頻出されていると誤解をしたのか考えたところ、多分ですが、ISO以外にもJISとかその他の団体も類似の番号で似たような内容で文書を題しているためだと思います。
今回、せっかく調べたので、この機会に覚え、試験に出題されたら、正解したいと思います。その他の団体は別の機会に!
では、また!
コメント
コメントを投稿