セキュリティ

インターネットが社会インフラとなった現代では、情報セキュリティの知識はすべての IT 技術者に必須です。ニュースで「個人情報の流出」や「ランサムウェア被害」が報じられるように、セキュリティの脅威は常に身近にあります。

このセクションでは、情報セキュリティの 3大要素（CIA） を軸に、脅威と脆弱性の関係、そして FE 試験で頻出の 主要な攻撃手法 を仕組み・被害・対策のセットで学びます。

情報セキュリティの3大要素（CIA）

情報セキュリティは CIA と呼ばれる3つの要素で定義されます。これは建物のセキュリティに例えると理解しやすいです。

要素	英語	意味	建物に例えると
機密性	Confidentiality	許可された人だけが情報にアクセスできる	鍵を持つ人だけが部屋に入れる
完全性	Integrity	情報が改ざん・破壊されていない	部屋の中のものが勝手に動かされていない
可用性	Availability	必要なときに情報を利用できる	必要なときにいつでも部屋に入れる

この3つをバランスよく確保することが情報セキュリティの目標です。たとえば、機密性を高めすぎると（鍵を何重にもかけると）可用性が下がる（入るのに時間がかかる）といったトレードオフがあります。

追加の4要素

ISO/IEC 27001 では CIA に加えて以下の4要素も定義されています。

要素	意味
真正性 （Authenticity）	利用者や情報が本物であることを証明できる
責任追跡性 （Accountability）	誰がいつ何をしたか追跡できる（ログ管理）
否認防止 （Non-repudiation）	行為を後から「やっていない」と否定できない
信頼性 （Reliability）	意図した通りに動作し、結果が一貫している

脅威と脆弱性

情報セキュリティにおけるリスクは 脅威 と 脆弱性 の2つの要因から生まれます。

脅威 とは、情報資産に損害を与える可能性のある要因です。以下の3種類に分類されます。

分類	内容	例
人的脅威	人間の行為による脅威	不正アクセス、内部犯行、誤操作、ソーシャルエンジニアリング
技術的脅威	技術的な手段による脅威	マルウェア、DoS攻撃、SQLインジェクション
物理的脅威	物理的な事象による脅威	地震、火災、停電、盗難

脆弱性 （ぜいじゃくせい）とは、システムやソフトウェアに存在するセキュリティ上の欠陥や弱点です。脅威は脆弱性を突いて攻撃を成功させます。脆弱性が存在しても脅威がなければリスクは低く、逆に脅威があっても脆弱性がなければ攻撃は成功しません。

ソーシャルエンジニアリング

技術的な手段ではなく、 人間の心理的な隙 を突いて情報を盗む手法です。

• ショルダーハッキング: パスワード入力中の画面や手元を背後から覗き見る
• トラッシング: ゴミ箱から機密情報が書かれた書類やメモを回収する
• なりすまし電話: システム管理者を装い、電話でパスワードを聞き出す

対策としては、のぞき見防止フィルターの使用、書類のシュレッダー処分、電話での情報提供ルールの徹底などがあります。

マルウェア

マルウェア （Malware = Malicious + Software）は、悪意のあるソフトウェアの総称です。

種類	特徴	感染・拡散の仕組み
コンピュータウイルス	他のプログラムに 寄生 して自己複製	感染ファイルを開くと発症、他のファイルにも感染
ワーム	単独で動作し 自己複製してネットワーク経由で拡散	宿主不要。ネットワークに接続するだけで感染することも
トロイの木馬	有用なソフトに見せかけて 裏で不正動作	自己複製しない。ユーザーが自らインストールしてしまう
ランサムウェア	ファイルを 暗号化して身代金を要求	メール添付やWebサイト経由。近年の被害が急増
スパイウェア	ユーザーの行動を 密かに収集・送信	フリーソフトにバンドル、Webサイト経由
キーロガー	キーボード入力を記録 して外部に送信	スパイウェアの一種。パスワード窃取が主目的
ボット	攻撃者の 遠隔操作を受けて動作	感染した大量のPCで ボットネット を構成し、DDoS攻撃等に利用

マルウェアへの対策

• ウイルス対策ソフト の導入と定義ファイルの最新化
• OS・ソフトウェアの更新 （セキュリティパッチの適用）
• 不審なメールの添付ファイルやリンクを開かない
• 出所不明のソフトウェアをインストールしない

パスワードに対する攻撃

攻撃手法	仕組み	特徴
ブルートフォース攻撃（総当たり攻撃）	すべての文字の組み合わせを順に試す	時間はかかるが理論上は必ず突破。パスワードが短いほど危険
辞書攻撃	よく使われる単語やパスワードリストを順に試す	「password」「123456」などの安易なパスワードに有効
パスワードリスト攻撃	他のサービスから流出したID/パスワードの組を使い回して試す	パスワードの使い回しが被害を拡大させる
レインボーテーブル攻撃	ハッシュ値とパスワードの対応表を事前に作成し、照合して逆引きする	ソルト（ランダムな文字列の付加）で対策可能

パスワード攻撃への対策

• パスワードは 8文字以上 、英大文字・小文字・数字・記号を混在
• サービスごとに 異なるパスワード を使用（使い回し禁止）
• アカウントロック : 一定回数のログイン失敗でアカウントを一時停止
• 多要素認証（MFA） : パスワード以外の認証要素を組み合わせる
• パスワードのハッシュ保存時に ソルト を付加する

Webアプリケーションへの攻撃

SQLインジェクション

Webアプリケーションの入力欄に SQL文の断片を注入（inject） し、データベースを不正に操作する攻撃です。

仕組み:

• ログインフォームのユーザー名欄に ' OR '1'='1 と入力
• アプリが入力値をそのままSQL文に埋め込むと SELECT * FROM users WHERE name='' OR '1'='1' となり、条件が常に真になる
• 全ユーザーのデータが取得されてしまう

被害: データベースの情報漏洩、データの改ざん・削除、認証の迂回

対策:

• プレースホルダ（バインド機構） を使用し、入力値をSQL文の構造から分離する（最も効果的）
• 入力値の エスケープ処理 （特殊文字を無害化）
• データベースアカウントの 最小権限 の原則

クロスサイトスクリプティング（XSS）

Webサイトの脆弱性を悪用し、閲覧者のブラウザで 不正なスクリプトを実行 させる攻撃です。

仕組み:

• 攻撃者が掲示板などに悪意のあるスクリプト（JavaScript）を含む投稿をする
• 他の利用者がそのページを閲覧すると、ブラウザ上でスクリプトが実行される
• Cookie（セッション情報）が盗まれたり、偽の画面が表示されたりする

被害: セッションハイジャック（なりすまし）、個人情報の窃取、フィッシングサイトへの誘導

対策:

• 出力時の エスケープ処理 （< を < に変換するなど、 サニタイジング ）
• Content Security Policy（CSP） ヘッダの設定
• Cookie に HttpOnly 属性を付与（スクリプトからのアクセスを防止）

クロスサイトリクエストフォージェリ（CSRF）

利用者がログイン中のWebサービスに対し、 意図しないリクエストを送信させる 攻撃です。

仕組み:

• 利用者がサービスA（銀行サイトなど）にログインした状態で、攻撃者が用意した罠サイトを訪問
• 罠サイトにはサービスAへの不正リクエスト（送金など）が仕込まれている
• ブラウザが自動的にCookieを送信するため、サービスAは正規のリクエストと判断してしまう

被害: 不正送金、パスワード変更、データの削除

対策:

• CSRFトークン : フォームにランダムなトークンを埋め込み、リクエスト時に検証
• Refererヘッダ のチェック
• 重要な操作時に再認証を要求

ディレクトリトラバーサル

Webサーバのファイルパスを操作して、公開されていないファイルに 不正にアクセス する攻撃です。

仕組み: パラメータに ../../etc/passwd のような相対パスを指定し、上位ディレクトリのファイルにアクセス

対策: ファイル名の直接指定を避ける、パスに含まれる .. を無効化する

DoS攻撃とDDoS攻撃

DoS攻撃（Denial of Service: サービス妨害攻撃）

大量のリクエストを送りつけて、サーバやネットワークの リソースを枯渇 させ、正常なサービス提供を妨害する攻撃です。

DDoS攻撃（Distributed DoS: 分散型サービス妨害攻撃）

ボットネット（マルウェアに感染した大量のPC群）を使い、 複数の発信元から一斉に DoS攻撃を行います。発信元が分散しているため、攻撃元の特定やブロックが困難です。

被害: Webサイトの閲覧不能、サービスの停止、機会損失

対策:

• ファイアウォール や IPS での異常トラフィックの遮断
• CDN （コンテンツ配信ネットワーク）の利用で負荷分散
• レートリミット （一定時間あたりのリクエスト数制限）
• ISP（インターネットサービスプロバイダ）との連携

その他の重要な攻撃手法

攻撃手法	仕組み	対策
フィッシング	金融機関などを装った偽メール・偽サイトで個人情報を詐取	URLの確認、電子証明書の確認、メール内リンクを直接クリックしない
DNSキャッシュポイズニング	DNSサーバのキャッシュに偽の情報を注入し、偽サイトに誘導	DNSSEC（DNSの応答に電子署名）の導入
中間者攻撃（MITM）	通信経路に割り込み、通信内容を盗聴・改ざん	SSL/TLSによる暗号化通信、証明書の検証
セッションハイジャック	他人のセッションIDを奪い、なりすましてサービスを利用	セッションIDの推測困難化、HTTPS化、Cookie属性の適切な設定
バッファオーバーフロー	プログラムのバッファ領域を超えるデータを入力し、不正なコードを実行	入力サイズのチェック、安全な関数の使用、ASLR
ゼロデイ攻撃	修正パッチが公開される前の脆弱性を突く攻撃	多層防御、IDS/IPSの導入、早期のパッチ適用

インターネットで安全に情報をやり取りするには、 暗号技術 が欠かせません。たとえばネットショッピングでクレジットカード番号を入力するとき、その情報が暗号化されていなければ、通信経路上で簡単に盗み見られてしまいます。

このセクションでは、暗号方式の基本である 共通鍵暗号 と 公開鍵暗号 、それらを組み合わせた ハイブリッド暗号 、通信の安全性を保証する デジタル署名 と 認証局（CA） 、そして暗号の基盤技術である ハッシュ関数 を学びます。

共通鍵暗号方式（対称鍵暗号）

暗号化と復号に 同じ鍵（共通鍵） を使う方式です。「鍵と錠前」の例えで言えば、同じ鍵で施錠も解錠もできる南京錠のイメージです。

項目	内容
暗号化の鍵	共通鍵（秘密鍵）
復号の鍵	同じ共通鍵
処理速度	高速
鍵の管理	通信相手ごとに異なる鍵が必要
代表的な方式	AES （現在の標準）、DES（旧方式、安全性不足）

鍵配送問題

共通鍵暗号の最大の課題は 鍵をどうやって安全に相手に渡すか です。暗号化した通信を始める前に、共通鍵を相手と共有しなければなりません。この鍵をインターネット上でそのまま送ると、盗聴されてしまう危険があります。

また、通信相手が n 人いる場合、必要な鍵の数は n(n-1)/2 個になります。たとえば 100 人の場合は 4,950 個の鍵を管理する必要があり、大規模な通信には不向きです。

この問題を解決するのが、次に説明する 公開鍵暗号方式 です。

公開鍵暗号方式（非対称鍵暗号）

暗号化と復号に 異なる2つの鍵（公開鍵と秘密鍵） を使う方式です。手紙に例えると、 誰でも投函できるポスト（公開鍵） と、 持ち主だけが開けられる鍵（秘密鍵） のイメージです。

項目	内容
暗号化の鍵	受信者の 公開鍵 （誰でも入手可能）
復号の鍵	受信者の 秘密鍵 （受信者だけが保持）
処理速度	共通鍵暗号より 低速
鍵の管理	各人が公開鍵と秘密鍵の1ペアを持つだけでよい
代表的な方式	RSA 、楕円曲線暗号（ECC）

公開鍵暗号の仕組み

1. Bob は 公開鍵 を公開し、 秘密鍵 は自分だけが保持
2. Alice は Bob の公開鍵で平文を暗号化して送信
3. Bob は自分の秘密鍵で暗号文を復号
4. 秘密鍵を持たない第三者は暗号文を復号できない

公開鍵暗号では、鍵を安全に配送する必要がありません（公開鍵は盗聴されても問題ない）。ただし、共通鍵暗号に比べて 処理速度が遅い という欠点があります。

ハイブリッド暗号方式

共通鍵暗号の 高速な処理 と公開鍵暗号の 安全な鍵配送 、両方の利点を組み合わせた方式です。SSL/TLS をはじめ、現在のインターネット通信の大半がこの方式を採用しています。

手順のまとめ:

1. 送信者が 共通鍵をランダムに生成
2. 受信者の 公開鍵で共通鍵を暗号化 して送信（鍵配送問題を解決）
3. 受信者は 秘密鍵で共通鍵を復号
4. 以降は 共通鍵で高速に暗号化通信

公開鍵暗号は鍵の交換という短い処理にだけ使い、本体のデータは高速な共通鍵暗号で処理するため、速度と安全性を両立できます。

デジタル署名

紙の文書には手書きの署名や印鑑を押して「本人が作成した」ことを証明します。デジタルの世界でこれに相当するのが デジタル署名 です。デジタル署名は次の2つを保証します。

• 認証（本人確認）: そのデータを作成したのが確かに本人であること
• 改ざん検知: データが途中で変更されていないこと

デジタル署名の仕組み

デジタル署名は公開鍵暗号を 逆向き に使います。暗号化では「公開鍵で暗号化→秘密鍵で復号」ですが、署名では「秘密鍵で署名→公開鍵で検証」です。

ポイント:

• 秘密鍵は送信者だけが持つため、署名を作成できるのは本人だけ（ 否認防止 ）
• メッセージが1ビットでも変わるとハッシュ値が変わるため、改ざんを検知できる（ 完全性の保証 ）
• デジタル署名だけでは暗号化（機密性の保証）はされない点に注意

認証局（CA）とPKI

公開鍵暗号やデジタル署名を使うとき、「この公開鍵は本当にその人のものか？」を保証する仕組みが必要です。この問題を解決するのが 認証局（CA: Certificate Authority） と PKI（Public Key Infrastructure: 公開鍵基盤） です。

デジタル証明書（公開鍵証明書）

認証局が発行する電子的な身分証明書です。手紙の例で言えば、 封蝋（ふうろう）に刻印された紋章 のように、信頼できる第三者がその公開鍵の持ち主を保証します。

デジタル証明書に含まれる主な情報:

• 証明書の所有者の情報（組織名、ドメイン名等）
• 所有者の 公開鍵
• 認証局の デジタル署名
• 有効期間

PKI の仕組み

構成要素	役割
認証局（CA）	デジタル証明書の発行・管理・失効
登録局（RA）	証明書の申請受付、本人確認を行う
リポジトリ	証明書や失効リスト（CRL）を公開する場所

Webサイトが HTTPS で通信する場合、サーバはデジタル証明書をブラウザに提示します。ブラウザは認証局の公開鍵で証明書の署名を検証し、そのサーバが本物であることを確認します。

SSL/TLS

SSL（Secure Sockets Layer） / TLS（Transport Layer Security） は、インターネット上の通信を暗号化するプロトコルです。SSL は旧バージョンで現在は TLS が標準ですが、慣例的に「SSL/TLS」と併記されることが多いです。

HTTPS（HTTP over TLS）は、Web通信に SSL/TLS を適用したものです。

SSL/TLS の通信手順

1. クライアントがサーバに接続を要求
2. サーバが デジタル証明書 （公開鍵を含む）を送信
3. クライアントが認証局の公開鍵で証明書を検証
4. クライアントが 共通鍵のもと を生成し、サーバの公開鍵で暗号化して送信（ ハイブリッド暗号 ）
5. 以降は共通鍵で暗号化通信

SSL/TLS は ハイブリッド暗号 + デジタル証明書 + ハッシュ関数 を組み合わせることで、 機密性 （暗号化）・ 完全性 （改ざん検知）・ 真正性 （サーバの本人確認）を実現しています。

ハッシュ関数

ハッシュ関数 は、任意の長さのデータを 固定長のハッシュ値（メッセージダイジェスト） に変換する関数です。デジタル署名やパスワードの保存など、セキュリティの様々な場面で使われます。

ハッシュ関数の特徴

特徴	説明
一方向性	ハッシュ値から元のデータを復元できない
衝突耐性	異なるデータから同じハッシュ値が生成される確率が極めて低い
固定長出力	入力データの長さに関係なく、出力は常に固定長
高感度	入力が1ビット変わるだけでハッシュ値が大きく変化する

代表的なハッシュ関数

アルゴリズム	ハッシュ長	安全性
MD5	128ビット	脆弱（衝突が発見済み、セキュリティ用途には非推奨）
SHA-1	160ビット	脆弱（衝突攻撃が実証済み）
SHA-256	256ビット	現在の標準。十分な安全性
SHA-512	512ビット	SHA-256より高い安全性

ハッシュ関数の用途

• デジタル署名: メッセージのハッシュ値に署名することで効率化
• パスワードの保存: パスワードそのものではなくハッシュ値を保存
• ファイルの改ざん検知: ダウンロード前後のハッシュ値を比較
• ブロックチェーン: 前のブロックのハッシュ値を次のブロックに含めて連鎖

セキュリティの脅威と暗号技術を学んだところで、次は 具体的な防御の仕組み と 組織的な管理体制 を見ていきましょう。家のセキュリティに例えると、暗号技術は「鍵」の技術でしたが、ここでは「門」「塀」「警備員」「防犯ルール」に相当する内容です。

このセクションでは、ネットワークセキュリティの要である ファイアウォール ・ IDS/IPS ・ WAF 、 アクセス制御 の仕組み、そして組織的なセキュリティ管理の枠組みである ISMS ・ リスクマネジメント ・ セキュリティポリシー を学びます。

ファイアウォール

ファイアウォール（FW） は、内部ネットワークと外部ネットワーク（インターネット）の境界に設置し、 通信の許可・拒否を制御 する仕組みです。名前の由来は建物の「防火壁」で、外部からの不正な通信を遮断する役割を果たします。

パケットフィルタリング

最も基本的なファイアウォールの方式です。パケットの ヘッダ情報 （送信元/宛先IPアドレス、ポート番号、プロトコル）を検査し、事前に定義した ルール（ACL: アクセス制御リスト） に基づいて通過を許可または拒否します。

項目	説明
利点	処理が高速、設定がシンプル
欠点	パケットの中身（ペイロード）は検査しない、アプリケーション層の攻撃を防げない

ステートフルインスペクション

通信の 状態（セッション） を追跡し、正規の通信セッションに属するパケットのみを通過させる方式です。外部から新規に開始された不正な通信を検知できます。

アプリケーションゲートウェイ（プロキシ型）

アプリケーション層（HTTP、FTP等）の内容まで検査する方式です。内部のクライアントに代わって外部と通信する 代理（プロキシ） の役割を果たし、不正なコンテンツを遮断します。

DMZ（非武装地帯）

ファイアウォールを使って、内部ネットワークとインターネットの間に設ける 中間のネットワーク領域 です。外部に公開するサーバ（Webサーバ、メールサーバ等）を DMZ に配置することで、万が一そのサーバが攻撃されても内部ネットワークへの被害を防ぎます。

通信方向	許可
インターネット → DMZ	許可（Webサーバへのアクセス等）
DMZ → 内部ネットワーク	原則拒否（最小限に制限）
インターネット → 内部ネットワーク	拒否
内部ネットワーク → インターネット	必要に応じて許可

IDS と IPS

ファイアウォールはヘッダ情報で通信を制御しますが、正規のポートを通る不正な通信（攻撃パターン）は検知できません。これを補完するのが IDS と IPS です。

IDS（Intrusion Detection System: 侵入検知システム）

ネットワークやホストの通信を監視し、不正なアクセスや攻撃の兆候を 検知して管理者に通知 するシステムです。自動的な遮断は行いません。

IPS（Intrusion Prevention System: 侵入防止システム）

IDS の機能に加えて、検知した不正な通信を 自動的に遮断 する機能を持ちます。リアルタイムに攻撃を防御できますが、正常な通信を誤って遮断する 誤検知（フォールスポジティブ） のリスクがあります。

比較	IDS	IPS
役割	検知 + 通知	検知 + 通知 + 遮断
対応速度	管理者が手動対応	自動で即座に遮断
リスク	攻撃を止められない	誤検知で正常な通信を遮断する可能性

検知方式

方式	仕組み	特徴
シグネチャ型	既知の攻撃パターン（シグネチャ）と照合	既知の攻撃に有効。未知の攻撃は検知できない
アノマリ型	通常の通信パターンとの差異を検知	未知の攻撃も検知可能。誤検知が多い傾向

WAF（Web Application Firewall）

WAF は、Webアプリケーションへの攻撃に特化したファイアウォールです。通常のファイアウォールがネットワーク層で通信を制御するのに対し、WAF は HTTP/HTTPS の通信内容 を詳細に検査します。

防御できる攻撃	通常のFW	WAF
ポートスキャン	防御可能	-
SQLインジェクション	防御不可	防御可能
XSS	防御不可	防御可能
CSRF	防御不可	防御可能

セキュリティ装置の多層防御

セキュリティ対策は1つの装置だけでは不十分です。複数の層で防御する 多層防御（Defense in Depth） の考え方が重要です。

層	装置	防御対象
ネットワーク層	ファイアウォール	IPアドレス・ポート番号による不正通信
ネットワーク層	IDS/IPS	攻撃パターンを含むパケット
アプリケーション層	WAF	Webアプリケーションへの攻撃
エンドポイント	ウイルス対策ソフト	マルウェア

アクセス制御

情報資産に対して 誰が・何を・どこまで できるかを管理する仕組みです。

認証の3要素

利用者を確認するための要素は3種類あります。これらを2つ以上組み合わせる認証を 多要素認証（MFA） と呼び、セキュリティ強度が大幅に向上します。

要素	説明	例
知識情報 （Something you know）	本人だけが知っている情報	パスワード、PIN、秘密の質問
所持情報 （Something you have）	本人だけが持っている物	ICカード、スマートフォン、ハードウェアトークン
生体情報 （Something you are）	本人の身体的特徴	指紋、顔、虹彩、静脈

生体認証（バイオメトリクス認証）

生体認証の精度を表す指標:

• FRR（False Rejection Rate: 本人拒否率） : 本人を誤って拒否する割合
• FAR（False Acceptance Rate: 他人受入率） : 他人を誤って受け入れる割合
• FRR と FAR が等しくなる点を EER（Equal Error Rate: 等価エラー率） と呼び、EER が低いほど認証精度が高い

アクセス制御の方式

方式	説明
任意アクセス制御（DAC）	データの所有者が自分の判断でアクセス権を設定。一般的なOS（Windows, Linux等）
強制アクセス制御（MAC）	システム管理者がセキュリティレベルに基づいて一元管理。軍事・機密情報向け
ロールベースアクセス制御（RBAC）	役割（ロール）にアクセス権を紐付け、ユーザーにロールを割り当て。企業システム向け

ISMS（情報セキュリティマネジメントシステム）

ISMS は、組織全体で情報セキュリティを継続的に管理・改善していくための 仕組み（マネジメントシステム） です。国際規格 ISO/IEC 27001 （国内規格 JIS Q 27001）に基づいて構築します。

ISMS は技術的対策だけでなく、 組織的 ・ 人的 ・ 物理的 な対策を含む包括的なアプローチです。「鍵をいくら頑丈にしても、従業員がドアを開けっぱなしにすれば意味がない」ように、人と組織のルールが不可欠です。

PDCA サイクル

ISMS は PDCA サイクル で継続的に改善します。

フェーズ	活動内容
Plan（計画）	リスクアセスメント、セキュリティポリシーの策定、対策の計画
Do（実行）	セキュリティ対策の導入・運用、従業員への教育
Check（点検）	内部監査、インシデント対応の評価、目標の達成度確認
Act（改善）	問題点の是正、ポリシーの見直し、次サイクルへの反映

リスクマネジメント

情報セキュリティにおけるリスクを体系的に管理するプロセスです。

リスクアセスメント

リスクを特定・分析・評価する一連のプロセスです。

ステップ	内容
リスク特定	情報資産の洗い出し、脅威と脆弱性の特定
リスク分析	リスクの発生確率と影響度を算定
リスク評価	リスクの大きさを判定し、対応の優先順位を決定

リスク対応の4つの戦略

戦略	説明	例
リスク低減（軽減）	対策を講じてリスクを小さくする	ファイアウォール導入、暗号化
リスク回避	リスクの原因となる活動自体を中止	機密データのクラウド保存を中止
リスク移転（転嫁）	リスクを第三者に移す	サイバー保険への加入、アウトソーシング
リスク保有（受容）	リスクを認識した上で対策せず受け入れる	影響が小さく対策コストが見合わない場合

セキュリティポリシー

情報セキュリティポリシー は、組織の情報セキュリティに対する 方針・規程・手順 を体系的にまとめた文書です。

3層構造

階層	文書名	内容	対象
第1層	基本方針 （ポリシー）	組織のセキュリティに対する基本的な考え方、目的、適用範囲	経営層が承認
第2層	対策基準 （スタンダード）	基本方針を実現するための具体的な規程・基準	管理者向け
第3層	実施手順 （プロシージャ）	対策基準に基づく具体的な操作手順・マニュアル	一般従業員向け

セキュリティ関連の法制度と規格

法律・規格	概要
不正アクセス禁止法	他人のID/パスワードを無断使用する行為やセキュリティホールを突く行為を禁止
個人情報保護法	個人情報の取得・利用・提供に関するルールを定めた法律
サイバーセキュリティ基本法	国のサイバーセキュリティ戦略の基本理念を定めた法律
ISO/IEC 27001	ISMSの要求事項を定めた国際規格。ISMS認証の基準
ISO/IEC 27002	ISMSの管理策（ベストプラクティス）を示した国際規格
ISMS適合性評価制度	日本における第三者認証制度。JIPDEC等が認証機関を認定