sg security_management isms access_control it_security_operations sg-security-management
まず結論
- 情報セキュリティ対策基準とは、基本方針を実現するために「何を守るか」を具体的なルールとして定めた文書
- SG試験では「方針ではなくルールレベルかどうか」を見極める問題がよく出る
直感的な説明
基本方針が「こういう考えで守る!」という宣言だとすると、
対策基準は
👉「じゃあ何を守るの?」を決めるルールです
たとえば:
- パスワードは〇文字以上にする
- USBは許可されたものだけ使う
- アクセス権は必要最小限にする
👉 現場で守るべき“約束ごと”のイメージです
定義・仕組み
情報セキュリティ対策基準は、ポリシーの中間レイヤーです。
役割は以下の通り:
- 基本方針を具体化する
- 組織全体で守るルールを統一する
- セキュリティ対策の基準を示す
主な内容:
- アクセス制御のルール
- パスワード管理の基準
- ログ管理・監視のルール
- 端末・ネットワーク利用ルール
👉 ポイント
「何を守るか」まで書くが、「どうやるか」は書かない
どんな場面で使う?
使う場面
- 社内ルールの整備
- セキュリティ監査の基準
- 委託先への要求事項の提示
👉 現場では
「人によってやり方が違う」状態を防ぐために使います
注意が必要な場面
- 手順レベルまで細かく書く
- 経営方針のような抽象的な内容を書く
👉 それは
- 手順 → 実施手順
- 抽象 → 基本方針
の役割です
よくある誤解・混同
❌ 誤解1
- 対策基準=作業手順
👉 ⭕ 正しくは
ルールであり、手順ではない
❌ 誤解2
- 対策基準=経営方針
👉 ⭕ 正しくは
基本方針を具体化したもの
❌ 誤解3
- システムごとの詳細設定を書く
👉 ⭕ 正しくは
組織全体のルールを書く
SG試験では
👉「これはルールか?手順か?」
👉「これは方針か?基準か?」
の切り分けが重要です
まとめ(試験直前用)
- 対策基準=何を守るか(ルール)
- 基本方針より具体的、手順より抽象的
- 手順までは書かない
- 組織全体の共通ルール
- 「やり方が書いてある」→手順なので誤り
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】