情報セキュリティ用語 - Tatecs ISOコンサルティング ISO認証取得・維持支援 タテックス有限会社 舘 喜久男

ISO27001 > ISO27001-2022 > 4. 組織の状況から10. 改善 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO27001 > 製造業 ISO27001 ｜ サイトマップ

情報セキュリティの用語

ISO27001:2013で用いる主な用語及び定義は、ISO27000による。89個ある。 主な用語を紹介する。

情報セキュリティ(information security)

情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある。

機密性(confidentiality)

認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性。

完全性(integrity)

正確さ及び完全さの特性。

可用性(availability)

認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

真正性(authenticity)

エンティティは、それが主張するとおりのものであるという特性。

脅威(threat)

システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因。

ぜい弱性(vulnerability)

一つ以上の脅威によって付け込まれる可能性のある、資産又は管理策の弱点。

リスクマネジメント(risk management)

リスクについて、組織を指揮統制するための調整された活動。

リスクアセスメント(risk assessment)

リスク特定、リスク分析及びリスク評価のプロセス全体。

リスク分析(risk analysis)

リスクの特質を理解し、リスクレベルを決定するプロセス。

リスク対応(risk treatment）

リスクを修正するプロセス。

残留リスク(residual risk)

リスク対応後に残っているリスク。

リスク所有者(risk owner)

リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体。

アクセス制御(access control）

資産へのアクセスが、事業上及びセキュリティの要求事項に基づいて認可及び制限されることを確実にする手段。

管理策（control）

リスクを修正(modifying)する対策。

管理目的(control objective)

管理策を実施した結果として、達成することを求められる事項を記載したもの。

事象(event)

ある一連の周辺状況の出現又は変化。

情報セキュリティ事象(information security event)

情報セキュリティ方針への違反若しくは管理策の不具合の可能性、又はセキュリティに関係し得る未知の状況を示す、システム、サービス又はネットワークの状態に関連する事象。

情報セキュリティインシデント(information security incident)

望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。

情報セキュリティインシデント管理(information security incident management）

情報セキュリティインシデントを検出し、報告し、評価し、応対し、対処し、更にそこから学習するためのプロセス。

方針(policy)

トップマネジメントによって正式に表明された組織の意図及び方向付け。

プロセス(process)

インプットをアウトプットに変換する、相互に関連する又は相互に作用する一連の活動。

力量(competence)

意図した結果を達成するために、知識及び技能を適用する能力。

利害関係者(interested party)

ある決定事項若しくは活動に影響を与え得るか、その影響を受け得るか、又はその影響を受けると認識している、個人又は組織。

文書化した情報(documented information)

組織が管理し、維持するよう要求されている情報、及びそれが含まれている媒体。

監査 (audit)

監査基準が満たされている程度を判定するために、監査証拠を収集し、それを 客観的に評価するための、体系的で、独立し、文書化したプロセス。

監視(monitoring)

システム、プロセス又は活動の状況を明確にすること。

レビュー(review)

確定された目的を達成するため、対象となる事柄の適切性、妥当性及び有効性を決定するために実行される活動。

外部委託する（outsource)

ある組織の機能又はプロセスの一部を外部の組織が実施するという取決めを行う。

適合(conformity)

要求事項を満たしていること。

不適合(nonconfonnity)

要求事項を満たしていないこと。

是正処置(corroctive action)

不適合の原因を除去し、再発を防止するための処置。

パフォーマンス(performance)

測定可能な結果。

継続的改善（continual improvement)

パフォーマンスを向上するために繰り返し行われる活動。

有効性(effectiveness)

計画した活動を実行し、計画した結果を達成した程度。

信頼性(reliability)

意図する行動と結果とが一貫しているという特性。

ICTサプライチェーンとは

企業における調達、製造、物流、販売、サービスといった行程を「供給の鎖」(サプライチェーン)として捉え、それに関わる情報を互いに共有管理して最適化を図る経営手法、または情報システムのことをいう。 サプライチェーンの各工程の個別最適ではなく、全体最適を図っていくことが重要とされている。 リードタイム短縮や在庫抑制によって、顧客満足度の向上を図りながら、コスト削減および収益拡大につなげる。

事業継続計画（Business continuity planning、BCP）とは

事業継続計画は、「競争的優位性と価値体系の完全性を維持しながら、組織が内外の脅威にさらされる事態を識別し、効果的防止策と組織の回復策を提供するためハードウェア資産とソフトウェア資産を総合する計画」のこと。事業継続と復旧計画（Business Continuity & Resiliency Planning、BCRP）とも呼ばれる。

• 情報セキュリティの継続が事業継続マネジメント（BCM という。）プロセス又は災害復旧管理（DRM という。）プロセスに織り込まれているか否かを判断することが望ましい。
• 事業継続及び災害復旧に関する正式な計画が策定されていない場合，通常の業務状況とは異なる困難な状況においても，情報セキュリティ要求事項は変わらず存続することを，情報セキュリティマネジメントの前提とすることが望ましい。

• 事業継続管理は、情報システムの重大な故障又は災害の影響からの事業活動の中断に対処するとともに、それらから重要な業務プロセスを保護し、さらに、事業活動及び重要な業務プロセスの時機を失しない再開を確実にするため行なう。
• 情報セキュリティに対して"追加的な"BIA を実施するための時間及び労力を軽減するには，通常の BCM又は DRM における BIA に，情報セキュリティに関する側面を織り込むことが推奨される。すなわち，情報セキュリティ継続に関する要求事項が，BCM プロセス又は DRM プロセスにおいて明確に定められているということである。
• BCMに関する情報が，JIS Q 22301，ISO 22313　及び ISO/IEC 27031　に示されている。
  
  
  

ランサムウェア (身代金要求型ウイルス)とは？

ランサムウェアの「ランサム（ransom）」とは「身代金」という意味です。 感染すると端末の操作やファイルの参照をできなくすることで、これらを人質にとり、元に戻すパスワードが欲しければお金（身代金）を払うようにとの脅迫メッセージを表示します。

直接あなたの金銭を奪おうとするウイルスが問題になっています。 中でも、感染した端末の画面をロックしたり（端末ロック型）、ファイルを勝手に暗号化したり（暗号化型）することによって使用できなくしたのち、元に戻すことと引き換えに「身代金」を要求する「ランサムウェア（身代金要求型ウイルス）」の被害が拡大しています。2017年5月世界中で被害が拡大し大ニュースになっています。

金銭を狙うランサムウェア（身代金要求型ウイルス）が急増感染するとあなたの会社の大事な情報資産（写真や動画、ファイル）が使えなくなります。 トレンドマイクロの調査では、日本国内のランサムウェア検出台数が、2016年1月～12月で65,400件を超え、2015年1年間の検出台数6,700件に対して、9.8倍と急増してます。

また独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2017」の第2位に「ランサムウェア」がランクインしています。

どんな場合、ランサムウェアに感染するかというと、Webページを見たり、メールの添付ファイルを開くという一般的な操作で感染するのです。

迷惑（スパム）メールの添付ファイルを開いたことで、ランサムウェアがダウンロードされてしまったり、攻撃者によって用意された不正なURLをうっかりクリックしてランサムウェアを拡散するサイトにアクセスしてしまったりすることで感染するケースが多いようです。

シンクライアントとは

• 【広義のシンクライアント】： シンクライアント (Thin client) とは、ユーザーが使うクライアント端末に必要最小限の処理をさせ、ほとんどの処理をサーバ側に集中させたシステムアーキテクチャ全般のことを言う。
• 【狭義のシンクライアント】：または、そのようなシステムアーキテクチャで使われるように機能を絞り込んだ専用のクライアント端末のことを言う場合もある。狭義のシンクライアントにおいて、クライアント側に Windows、UNIX、Android などの一般的なGUI OSを使わないケースをゼロクライアント (Zero client) と呼ぶこともある。

シンクライアントの「シン (thin)」とは、すなわち「薄い、少ない」という意味で、クライアント端末がサーバに接続するための最小限のネットワーク機能、およびユーザーが入出力を行うためのGUIを装備していれば良いことを示している。

シンクライアントとは逆の意味を持つ用語としては、「ファット (FAT) クライアント」または「シック (Thick) クライアント」がある。 本来の英語の「thin」の反対語は「thick」であるが、日本ではシンクライアントの反対語としては「ファットクライアント」の用語が用いられることが圧倒的に多い。

トランザクション（transaction）とは

商取引、売買、執行、取扱、議事録などの意味を持つ英単語。ソフトウェアの処理方式の一つで、互いに関連・依存する複数の処理をまとめ、一体不可分の処理単位として扱うことをトランザクション処理と呼び、そのような処理単位をトランザクションという。

データベースシステムや業務用ソフトウェアなどでよく用いられる概念で、金融機関のコンピュータシステムにおける入出金処理のように、一連の作業を全体として一つの処理として管理するために用いる。

トランザクションとして管理された処理は「すべて成功」か「すべて失敗」のいずれかであることが保証される。 例えば、資金移動システムをコンピュータで処理する場合、出金処理と入金処理は「どちらも成功」か「どちらも失敗」のどちらかであることが要求される。「出金に成功して入金に失敗」すると、出金された資金が宙に浮いてしまうからである。 このような場合に、出金と入金をまとめて一つのトランザクションとして管理し、どちらか一方が失敗したらもう片方も取り消し、どちらも成功したときに初めて全体を成功として確定する。

ISMSの新規認証取得支援、運用保守・改善支援のコンサルティングを行っております。

御見積り・ご相談等は信頼と実績のタテックスまでお問合せください。

お問合せは、ここをクリック
　　↓

お問合せ

---