情報セキュリティ・キーワード 2025 ① 情報セキュリティの基礎

情報セキュリティを学ぶ上で不可欠な、概念、脅威と脆弱性、リスク管理の基本、そして関連する法規や組織体制の基礎に関わるキーワードを取り上げます。

• 1.1 情報セキュリティの概念と目的
• 1.2 情報セキュリティの脅威と脆弱性
• 1.3 リスクマネジメントの基礎（識別、評価、対策）
• 1.4 情報セキュリティ関連法規・規制・規格
• 1.5 セキュリティポリシーと組織体制
• 1.6 セキュリティ教育と啓発

1.1 情報セキュリティの概念と目的

情報セキュリティ (Information Security)
情報資産の機密性、完全性、可用性を維持すること。さらに、真正性、責任追跡性、否認防止、信頼性といった特性も含まれる場合がある。

機密性 (Confidentiality)
許可された者だけが情報にアクセスできることを確実にすること。情報の漏洩や不正な開示を防ぐ。

完全性 (Integrity)
情報が正確であり、改ざんや破壊が行われていない状態を維持すること。情報が意図せず変更されたり、破壊されたりするのを防ぐ。

可用性 (Availability)
許可された利用者が必要なときに情報および情報システムにアクセスできることを確実にすること。システムダウンやサービス停止を防ぐ。

真正性 (Authenticity)
情報や通信の送り手・受け手が、主張している通りの本人（または実体）であることを証明できること。

責任追跡性 (Accountability)
ある行為を行った者が、その行為の責任を負うことを確実にできること。ログや監査証跡によって、誰が何をいつ行ったかを追跡可能にすること。

否認防止 (Non-repudiation)
送信者や受信者が、メッセージを送ったことや受け取ったことを後から否認できないようにすること。デジタル署名などが用いられる。

セキュリティバイデザイン (Security by Design)
システムやソフトウェアの設計段階からセキュリティを考慮し、組み込むこと。

セキュリティバイデフォルト (Security by Default)
製品やサービスが提供される初期設定で、最も安全な状態が適用されていること。

耐タンパー性
機器やシステム、またはソフトウェアが、外部からの不正な解析、読み取り、改ざんといった干渉（タンパー）に対し、どれだけ抵抗力を持っているかを示す性質や度合いのこと。

1.2 情報セキュリティの脅威と脆弱性

脅威 (Threat)
情報システムや情報資産に損害を与える可能性のある事象や行為。自然災害、偶発的事故、意図的な攻撃などが含まれる。

脆弱性 (Vulnerability)
情報システムや情報資産が持つ、脅威によって悪用される可能性のある弱点や欠陥。ソフトウェアのバグ、設定ミス、人的ミスなどが含まれる。

サイバー攻撃 (Cyber Attack)
コンピュータネットワークやシステムに対して、不正なアクセス、情報窃取、改ざん、破壊などを目的として行われる行為。

マルウェア (Malware)
悪意を持って作成されたソフトウェアの総称。ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェアなどがある。

ソーシャルエンジニアリング (Social Engineering)
人間の心理的な隙や行動の傾向を悪用し、情報を不正に入手したり、特定の行動を誘発したりする手法。フィッシング、なりすまし、肩越し盗みなど。

フィッシング (Phishing)
銀行や大手企業などを装い、偽のメールやウェブサイトを使ってパスワードやクレジットカード情報などの個人情報を騙し取る詐欺。

標的型攻撃 (Targeted Attack)
特定の組織や個人を狙い、時間をかけて準備し、様々な手法を組み合わせて行われる高度なサイバー攻撃。

ゼロデイ攻撃 (Zero-day Attack)
ソフトウェアの脆弱性が発見されてから、その修正プログラム（パッチ）が公開されるまでの間に、その脆弱性を悪用して行われる攻撃。

DoS攻撃 (Denial of Service attack)
サーバーやネットワークに対して大量のトラフィックを送りつけるなどして過負荷をかけ、正当な利用者がサービスを利用できないようにする攻撃。

DDoS攻撃 (Distributed Denial of Service attack)
複数のコンピューター（ボットネットなど）から協調してDoS攻撃を行い、攻撃元を特定しにくく、防御を困難にする攻撃。

1.3 リスクマネジメントの基礎（識別、評価、対策）

リスク (Risk)
脅威が脆弱性を悪用することで、情報資産に損害が生じる可能性。リスク = 脅威 × 脆弱性 × 資産価値 と表現されることもある。

リスクマネジメント (Risk Management)
リスクを識別し、分析・評価し、適切な対策を講じて管理する一連のプロセス。

リスク識別 (Risk Identification)
組織の情報資産を特定し、それらに対する脅威と脆弱性を洗い出すこと。

リスク分析・評価 (Risk Analysis & Assessment)
識別されたリスクの発生可能性と、それがもたらす影響（損害）の大きさを評価すること。定性的評価と定量的評価がある。

リスク対応 (Risk Response / Treatment)
評価されたリスクに対して、以下のいずれかの対応を選択し、実行すること。

• リスク回避 (Risk Avoidance): リスクとなる活動を行わないこと。

• リスク低減 (Risk Mitigation / Reduction): 対策を講じてリスクの発生可能性や影響を減らすこと。

• リスク移転 (Risk Transfer / Sharing): 保険加入やアウトソーシングなどでリスクを第三者に移すこと。

• リスク受容 (Risk Acceptance): リスクが許容範囲内と判断し、特に対策を講じないこと。

情報資産 (Information Asset)
説明: 組織にとって価値のある情報そのもの、およびそれを生成・保存・処理・伝達するシステムや設備、サービス、文書など。

1.4 情報セキュリティ関連法規・規制・規格

個人情報保護法
個人情報の適正な取り扱いに関する基本原則を定め、個人の権利利益を保護することを目的とした日本の法律。

著作権法
著作物（文芸、学術、美術、音楽など）の著作者の権利を保護し、文化の発展に寄与することを目的とした法律。情報セキュリティの文脈では、ソフトウェアの不正コピーなどが関連する。

不正アクセス禁止法 (不正アクセス行為の禁止等に関する法律)
不正アクセス行為（コンピュータネットワークに無断で侵入する行為など）を規制し、ネットワーク社会の健全な発展を目的とした日本の法律。

サイバーセキュリティ基本法
サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、国の責務や基本方針などを定めた日本の法律。

ISMS (Information Security Management System)
情報セキュリティを管理するための仕組み。ISO/IEC 27001（情報セキュリティマネジメントシステム要求事項）という国際規格に基づき、組織が情報セキュリティを継続的に改善するための体系的なアプローチ。

NIST (National Institute of Standards and Technology)
米国国立標準技術研究所。サイバーセキュリティフレームワーク (CSF) や様々なセキュリティガイドラインを発行しており、国際的なデファクトスタンダードとして広く参照される。

GDPR (General Data Protection Regulation)
欧州連合 (EU) における個人情報保護に関する規則。EU域内の個人データを扱う企業に適用され、厳格なデータ保護義務を課す。

PCI DSS (Payment Card Industry Data Security Standard)
クレジットカード情報の保護を目的とした国際的なセキュリティ基準。クレジットカード情報を保存、処理、伝送する全ての組織に適用される。

IT基本法 (高度情報通信ネットワーク社会形成基本法)
高度情報通信ネットワーク社会の形成に関する基本理念を定めた日本の法律。情報セキュリティの基盤となる部分を指す。

e-文書法 (民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律)
法令で義務付けられている書面の保存を電子媒体で行うことを認める法律。電子情報の真正性確保が重要となる。

1.5 セキュリティポリシーと組織体制

セキュリティポリシー (Security Policy)
組織が情報セキュリティを確保するために定める、行動規範や規則、手順などを明文化したもの。情報セキュリティ基本方針、情報セキュリティ対策基準、情報セキュリティ実施手順などで構成される。

情報セキュリティ委員会
組織の情報セキュリティに関する意思決定や推進を行うための組織体。

CSIRT (Computer Security Incident Response Team)
コンピュータセキュリティインシデント発生時に対応を専門に行うチーム。

SOC (Security Operation Center)
24時間365日体制で情報システムやネットワークを監視し、セキュリティイベントの検知、分析、初動対応を行う組織。

CISO (Chief Information Security Officer)
組織の情報セキュリティ戦略、方針、管理を統括する最高情報セキュリティ責任者。

1.6 セキュリティ教育と啓発

セキュリティ教育 (Security Education)
組織内の従業員や関係者に対し、情報セキュリティに関する知識やスキルを習得させるための教育プログラム。

セキュリティ啓発 (Security Awareness)
従業員の情報セキュリティに対する意識を高め、適切な行動を促すための活動。