JIS Q 27000シリーズは何を知っていればよいのか?

2020年11月23日

JIS Q 27000とは何か?

JIS Q 27000の概要

JIS Q 27000には情報セキュリティマネジメントシステム(ISMS:Information Security Management System)における情報セキュリティの管理・リスク・制御に対するベストプラクティスがまとめられています。
ISO(国際標準化機構・International Organization for Standardization)IEC(国際電気標準会議:International Electrotechnical Commission)が共同で策定したISO/IEC 27000シリーズという規格群がありますが、JIS Q 27000はその翻訳バージョンであると考えてよいでしょう。

このJIS Q 27000は情報セキュリティマネジメント試験をはじめとするIPAの情報処理技術者試験にも頻出の規格です。これらの試験にはJIS Q 27000とISO/IEC 27000の両方の規格の名前が出てくるため、混乱してしまいがちです。しかし上述の通り、ISO/IEC 27000とJIS Q 27000はほぼ同じものであるため、情報セキュリティマネジメント試験などで問題を解く場合は、両規格を区別せず、解答しても大過ないでしょう。

改定年は気にしなくてもよい

また、規格は「JIS Q 2700X:201Y」という構成になっていますが、:(コロン)以降の数字は改定された年を意味しています。
情報処理技術者試験の勉強をしていると、この改訂も気になってしまいますが、試験合格を目指すだけであれば、改訂の内容は気にしなくてよいでしょう。
なぜなら、「2013年版と2015年版の違いを答えよ」という問題は出たためしがないため、改訂の詳細は気にせず、規格の概要を把握しておくにとどめておいて問題ないでしょう。

情報セキュリティの用語定義

JIS Q 27000では以下のように用語を定義しています。とくに「機密性」「完全性」「可用性」はJIS Q 27000の中で最重要項目です。
情報セキュリティマネジメント等の情報処理技術者試験の勉強では、この用語の定義を押さえておきましょう。

機密性

許可された正規のユーザーだけが情報にアクセスでき、許可されていないユーザーには情報を使用させず、開示しない特性

完全性

情報が完全で、改ざん・破壊されていないという情報資産の正確さおよび完全さの特性

可用性

障害が発生しても安定したサービスを提供でき、ユーザーが必要な時にシステムや情報を利用可能である特性

真正性

利用者、プロセス、システム、情報などが、主張どおりであることを確実にする特性

責任追跡性

情報資産に行われたある操作についてユーザーと動作を一意に特定でき、過去に遡って追跡できる特性

否認防止

ある活動または事象が発生した際、その操作が行われた事実や発生した事象を証明でき、後になって否認されないようにする能力

信頼性

情報システムによる処理に欠陥や不具合がなく、期待した処理が確実に行われている特性