License
情報管理技術にまつわるキーワードを詳細解説!【技術士のHOTワードWeb 第6回】
「総合技術監理部門」の合格につながる
2024.09.05
第6回
ゼロトラスト、情報セキュリティマネジメントシステム(ISMS)、政府情報システムのためのセキュリティ評価制度(ISMAP)、クラウドコンピューティング、クラウドサービス
技術士における21の技術部門のなかで、一線を画すカテゴリーである総合技術監理部門。時々刻々と変化する最新テクノロジーの知識を吸収する専門性だけでなく、さまざまな分野を総合的に判断できるマネジメント能力も求められる。まさに、スキルアップのために取得する部門だ。
本連載は、総合技術監理部門の試験に必要な「キーワード集」(文部科学省が公表)のなかから、HOTなキーワードを徹底解説するものである。今回は情報管理技術関連のキーワードである。
(1)ゼロトラスト
筆者が社会人になった1970年代、情報システムはオンプレミス(on-premises)で運用されていた。これはコンピュータやソフトウエアなどを、使用者が管理している施設の構内に設置して運用することをいう。情報システム内のデータなどを計算機室や建物の外に持ち出すためには、ひと抱えもある磁気ディスク、磁気テープや大型プリンタ専用の用紙に打ち出す必要があった。
現在の情報システムはクラウドサービスが多用され、出張先やリモートワークで自宅からも社内外の情報にアクセスできるようになっているため、物理的な会社の施設で情報セキュリティを守ることは困難である。
ゼロトラストセキュリティの概念を図1に示す。「社内ネットワークは安全、外部は危険」という「境界型セキュリティ」の考え方を根本から見直し、あらゆるアクセスを疑うことで高度化するサイバー攻撃などから情報システムを保護する「ゼロトラストセキュリティ(Zero Trust Security)」が必要となっている。
ゼロトラストセキュリティは社内を含むネットワーク上の全デバイスやユーザーを信頼せず、常に身元を確認し、アクセス権限を細かく制御するセキュリティモデルである。
「ゼロトラスト」はキーワード集2024で初めて登場したキーワードで、IT分野において国際的な共通語となっている。
①基本的な考え方
ゼロトラストは表1に示す4つの基本的な考え方によって成立している。
②求められる背景
近年、リモートワークの普及やクラウドサービスの利用拡大により、ネットワークの境界線が曖昧になり、従来のセキュリティ対策では対応が難しくなっている。このような状況下、ゼロトラストは、より強固なセキュリティを実現するための新しいアプローチとして注目されている。
③導入のメリット
ゼロトラストを導入するメリットを表2にまとめる。
④導入事例
成功例として、Googleでの導入が報告されている。国内ではネット証券会社、住宅設備メーカー、コンピュータゲーム会社などの導入事例がある。
(2)情報セキュリティマネジメントシステム(ISMS)
ISMS(Information Security Management System)とは、組織の情報資産を保護するための体系的な取り組みを指す。具体的には情報セキュリティに関連するリスクを特定し、そのリスクを低減するための対策を計画、実施、評価、改善する一連の活動のことである。
「情報セキュリティマネジメントシステム」はキーワード集2019から記載されているキーワードである。
なお、情報処理安全確保支援士(認定セキュリティスペシャリスト、通称「認定セキスペ」)はサイバーセキュリティ分野の日本国の国家資格である。有資格者は政府機関や企業などにおける情報セキュリティ確保支援を業とすることができる。この有資格者を含む高度情報処理技術者試験(9種目)の合格者は、情報工学部門の技術士第一次試験3科目のうち、専門科目試験が免除される。
①目的
ISMSの導入目的を表3に示す。
②構成要素
ISMSが構成されている要素を表4にまとめる。
③導入のメリット
ISMSを導入することで期待できるメリットを表5に示す。
(3)政府情報システムのためのセキュリティ評価制度(ISMAP)
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program、ISMAP(イスマップ))はキーワード集2024で初登場したキーワードで、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価、登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的とした制度である。政府によって評価、登録されたクラウドサービス一覧は公表され、民間企業なども参照することができる。
①特徴
ISMAPの特徴を表6にまとめる。
②評価基準
ISMAPでは3つの管理基準にしたがって評価が行われる(表7)。
③メリット
ISMAPを採用するメリットを表8に示す。
(4)クラウドコンピューティング
クラウドコンピューティング(Cloud Computing)はインターネット経由でコンピュータのリソース(計算処理、データ保存、ソフトウエアなど)を必要な分だけ、必要なときに利用することである。まるで、空の雲(クラウド)から必要なものを、いつでも手に入れるようにITリソースを柔軟に利用できることから、この名がつけられた。最初に公表されたキーワード集2019から最新のキーワード集まで継続して記載されている。
情報処理推進機構(IPA)のウェブサイトを参考に、クラウドコンピューティングの概要を以下にまとめる。
なお、総監試験R06Ⅰ-1-17ではクラウドコンピューティングの定義を問う出題があった。
①特徴
クラウドコンピューティングは表9のように5つの特徴を備えている。
②サービスモデル
クラウドコンピューティングの3つのモデルを表10に示す。
これらのサービスモデルにより、ユーザーが用意しなければならないソフトウエアなどが異なる。筆者は情報システムを専門としない学生でも理解できるようにするため、「SaaSは手ぶらで行って滑れるスキー場、PaaSはスキー用品やスキーウエアを持参するスキー場、IaaSは山と雪だけがあるバックカントリーのようなもの」と説明している。
③実装モデル
クラウドコンピューティングの実装モデルを表11にまとめる。
(5)クラウドサービス
クラウドサービス(Cloud Services)はキーワード集2023で追加されたキーワードで、クラウドコンピューティングの技術を利用して提供されるサービスのことである。総監試験H29Ⅰ-1-23とR03Ⅰ-1-23でクラウドサービスの特徴を問う出題があった。
[参考]
「ゼロトラスト Googleが選んだ最強のセキュリティー」
勝村 幸博著、株式会社日経BP、2021年
「テレワーク時代のISMSガイドブック」
池田 秀司著、一般財団法人日本規格協会、2022年
内閣サイバーセキュリティセンター
「政府情報システムのためのセキュリティ評価制度(ISMAP)」
情報処理推進機構(IPA)
「NISTによるクラウドコンピューティングの定義」
文/南野 猛(技術士:情報工学、総合技術監理)