最終更新日:2026年6月3日
sg sg-security-management isms risk_assessment it_security_operations
まず結論
ISMSとは、情報セキュリティ管理を体系的に行うための国際規格に基づく仕組みです。
SG試験では「PDCAで継続的に管理されているか」を判断させる問題として問われます。
直感的な説明
前の記事の「情報セキュリティ管理」は、
👉「組織で守る仕組み」でした。
ISMSはその“型(テンプレ)”です。
- 何を決めるべきか
- どう運用するべきか
- どう改善するべきか
これをバラバラに考えるのではなく、
👉 国際ルールとして整理したものがISMS
つまり
「ちゃんとしたやり方で管理していますよ」と示せる状態です。
定義・仕組み
公式: ISMS適合性評価制度(ISMS-AC):公式: ISMS適合性評価制度(ISMS-AC) ISMS(Information Security Management System)は
情報セキュリティを組織的・継続的に管理するための仕組み(JIS Q 27001 などで規定)
です。
① 国際規格に基づく
- JIS Q 27001(ISO/IEC 27001)が代表
- 世界共通のルール
👉 「やり方が標準化されている」のがポイント
JIS Q 27001の要求事項と附属書Aの違い
JIS Q 27001では、規格本文の要求事項と、附属書Aの管理策を混同しないことが大切です。
SG試験では、次のように切り分けます。
| 対象 | 試験での判断 |
|---|---|
| 規格本文の要求事項 | ISMSへの適合を宣言するなら、基本的に満たす必要がある |
| 附属書Aの管理策 | リスク対応の結果に応じて選ぶ。妥当な理由があれば適用除外できる |
つまり、要求事項は「満たすべきもの」、附属書Aの管理策は「リスクに応じて選び、理由を示すもの」です。
選択肢で、要求事項まで「妥当な理由があれば除外できる」と書かれていたら注意します。
一方で、附属書Aの管理策を「すべて必ず実施する」と書いている選択肢も、リスク対応に基づく選定という考え方から外れます。
② PDCAサイクルで運用
ISMSの本質はここです。
- Plan(設定):方針・ルールを決める
- Do(運用):ルールに従って実行
- Check(見直し):監査・評価
- Act(改善):再発防止・改善
👉 回し続けることが前提
③ 組織全体で管理する
- トップダウン(経営層の関与)
- 役割と責任の明確化
- 教育・周知の徹底
👉 IT部門だけでは成立しない
組織の管理下で働く人が認識すること
ISMSでは、組織の管理下で働く人が、単にルールを知っているだけでは不十分です。
SG試験では、次の3点をセットで押さえます。
| 認識すること | 試験での見方 |
|---|---|
| 情報セキュリティ方針 | 組織として何を守り、どの方向で管理するかを知っているか |
| ISMSの有効性への自分の貢献 | セキュリティパフォーマンス向上による便益も含め、自分の行動がISMSにどう効くかを理解しているか |
| ISMS要求事項に適合しないことの意味 | ルール違反や要求事項不適合が、組織のリスクや信頼低下につながると理解しているか |
選択肢では、「情報セキュリティ方針」を外して、個別の監査資料や計画文書に置き換えてくることがあります。
この論点では、適用宣言書や内部監査結果を否定するのではなく、従業員が認識すべき基本項目として問われたら、情報セキュリティ方針を優先すると考えます。
④ 認証制度がある
- 第三者機関による審査
- 適合していれば「ISMS認証」を取得
👉 信頼性向上・リスク低減につながる
⑤ 情報セキュリティ目的の達成計画で決める5項目(頻出)
JIS Q 27001では、情報セキュリティ目的をどう達成するかを計画するとき、次を決めます。
- 実施事項
- 必要な資源
- 責任者
- 達成期限
- 結果の評価方法
SG試験では、ここに「必要なプロセス」や「適用する管理策」を混ぜてくるひっかけに注意します。
この設問軸では、まず上の5項目を思い出して切り分けるのが有効です。
どんな場面で使う?
使うべき場面
- 組織全体でセキュリティを強化したいとき
- 取引先に「ちゃんと管理している」と示したいとき
- 内部統制や監査を強化したいとき
👉 SG試験では
「ISMSに沿った運用か」が問われる
誤解しやすい場面
- 認証を取れば安全になる → ❌
- 一度取得すれば終わり → ❌
👉 運用し続けて初めて意味がある
よくある誤解・混同
❌ 誤解①:ISMS=認証
- ISMS:仕組みそのもの
- 認証:その仕組みが適合している証明
👉 認証は結果であって本体ではない
❌ 誤解②:ISMS=セキュリティ対策
- 対策:個別の技術
- ISMS:管理の仕組み
👉 「FW導入=ISMS対応」は誤り
❌ 誤解③:PDCAの一部だけやればよい
- Planだけある → ❌
- Checkしていない → ❌
👉 4つ全部が回っている必要がある
❌ 誤解④:リスク評価で対策(回避・低減)まで決める
→ ⭕ 対策を決めるのはリスク対応で、リスク評価は大きさを判断する工程です
SG試験では、次の入れ替えが典型的なひっかけです。
- リスク評価:発生確率・影響度などでリスクの大きさを判断する
- リスク対応:回避・低減・共有(移転)・受容を選ぶ
👉 判断ポイント
「対策を選ぶ」という文言があれば、評価ではなく対応を疑う
❌ 誤解⑤:脅威と脆弱性は同じ
→ ⭕ 脅威は悪影響を与える要因、脆弱性は内在する弱点です
この2つは、用語を入れ替えた選択肢が非常に多い論点です。
| 用語 | SG試験での定番表現 | 見分け方 |
|---|---|---|
| 脅威 | 自然災害、不正行為、障害、過失など | 外側から悪影響を与える要因か |
| 脆弱性 | 設計不備、設定不備、運用不備、管理上の弱点 | 守る側に内在する弱点か |
| リスク特定 | 脅威が脆弱性につけ込むことで発生する影響を洗い出す | 「脅威×脆弱性」の組合せを見ているか |
👉 判断ポイント
自然災害や不正行為は「脅威」側、内在する欠点は「脆弱性」側
SG試験でのひっかけ
- 「ルールはあるが見直していない」→ ❌
- 「監査しているが改善していない」→ ❌
- 「現場任せで経営層が関与していない」→ ❌
👉 “継続的改善”と“組織全体”がキーワード
❌ 誤解⑥:従業員は監査結果や計画書をすべて覚える必要がある
ISMSでは、従業員が自分の業務で守るべき方針や、自分の行動がISMSの有効性にどう関係するかを理解することが重要です。
監査資料や各種計画文書は重要ですが、試験で「組織の管理下で働く人々が認識するもの」を問われた場合は、まず情報セキュリティ方針、自分の貢献、不適合の意味を思い出します。
確認問題(SG試験対策)
ISMS運用の考え方として最も適切なものはどれか。
- ア. 一度ルールを作ったら、継続的改善は不要である。
- イ. リスクアセスメントに基づき、PDCAで管理策を継続的に改善する。
- ウ. 技術対策だけ導入すれば、組織的対策は不要である。
- エ. 対象範囲を定めずに全社一律で始めるのが必須である。
▶ クリックして答えと解説を見る(ここを開く)
正解:イ
解説
- ア:ISMSは継続的改善が前提です。
- イ:リスクベース運用とPDCAが核です。
- ウ:人的・組織的管理策も重要です。
- エ:適用範囲を定義するのが基本です。
👉 判断ポイント
ISMSは「制度を作って終わり」ではなく「回し続ける仕組み」。
SG試験で選択肢を切る判断軸(ISMS手順編)
-
「リスク分析・評価の前に、管理策を先に決める」と書かれている
→ 誤り。ISMSはリスクアセスメント結果に基づいて、管理目的・管理策を選びます。 -
「適用宣言書を最初に作る」と書かれている
→ 誤り。適用宣言書(SoA)は、選択した管理目的・管理策を根拠付きで整理する文書なので後段です。 -
「適用宣言書を作成した後に、リスク対応計画や残留リスクの承認へ進む」と書かれている → 適切な流れです。試験では順序の入れ替えが典型的なひっかけです。
迷ったら、「リスクを評価する → 管理策を選ぶ → 適用宣言書で文書化する → 計画・承認へ進む」の順で切り分けます。
まとめ(試験直前用)
- ISMS=情報セキュリティ管理の標準的な仕組み
- ISO/IEC 27001(JIS Q 27001)に基づく
- 規格本文の要求事項は満たし、附属書Aの管理策はリスクに応じて選ぶ
- 従業員は、情報セキュリティ方針、自分の貢献、不適合の意味を認識する
- PDCAを回し続けることが本質
- 認証はゴールではなく「運用できている証明」
👉 SG試験では
「PDCAが回っているか」「組織全体で運用しているか」で判断する