高瀬里見「今回は『世界共通のセキュリティの教科書』について一緒に学んでいこう。組織がどうやって情報を守る仕組みを作るのか——その答えがここにあるよ」
📖 用語まとめ表
高瀬里見さあ、今日もがんばって行きましょう!
| 用語(略語) | 読み方 | 一言説明 | 身近な例え |
|---|---|---|---|
| ISMS | アイエスエムエス | 情報セキュリティマネジメントシステム。組織が情報を守るための仕組み全体 | 学校の「防災マニュアル」。ルールを作って、実行して、見直し続ける |
| ISO/IEC 27001 | にーななまるまるいち | ISMSを認証取得するための国際要求事項規格 | 運転免許の「合格基準」。これをクリアすると認証がもらえる |
| ISO/IEC 27002 | にーななまるまるに | 具体的なセキュリティ対策が書かれたガイドライン規格 | 料理のレシピ本。「何をすればいいか」が114個書いてある |
| PDCAサイクル | ピーディーシーエー | Plan→Do→Check→Actの改善サイクル | 勉強法の改善。計画して・やってみて・見直して・次に活かす |
| 情報セキュリティポリシー | じょうほうセキュリティポリシー | 組織のセキュリティに関する方針・基本ルールを文書化したもの | 学校の「校則」。これを読めば何がOKで何がNGかわかる |
| NIST | ニスト | 米国国立標準技術研究所。世界に影響力を持つセキュリティフレームワークを発行 | アメリカ発の「世界標準の教科書」を作っている機関 |
| CRYPTREC | クリプトレック | 日本政府が電子政府で使う暗号技術を評価するプロジェクト | 「日本のお墨付き暗号リスト」。政府が安全と認めた暗号だけ使う |
| CRYPTRECリスト3種 | クリプトレックリストさんしゅ | 電子政府推奨暗号リスト・推奨候補暗号リスト・運用監視暗号リストの3分類 | 「推奨」「候補」「要注意」の3ランクに分けた暗号の通知表 |
🔍 結城の偵察
深夜、薄暗いアパートの一室。画面だけが白く浮かび上がっている。
結城はメタCの公式サイトを開き、プレスリリースを上から順に読んでいた。
「…ISO/IEC 27001認証取得、か」
静かにつぶやいて、ブラウザのタブを閉じる。新たにメモアプリを開き、箇条書きで記録を足していく。
・ISMSの認証取得済み
・対外的な信頼性は高い
・でも、規格に適合しているのと、現場が完璧に動いているのは別の話だ
認証は「仕組みがある」ことの証明にすぎない。問題は、その仕組みが人間によってどう運用されているか——そこに必ず穴が生まれる。
結城はコーヒーカップを手に取り、冷めきった液体を一口飲んだ。
「表向きは整っている。だからこそ面白い。完璧な盾は、どこかに継ぎ目がある」
ISMSの認証を取った組織が内部で緩む瞬間を、結城は何度も見てきた。規格を通すために書類を作り、審査が終われば棚に積まれる。ルールはあっても、現場で生きていないケースがある。
じっくり時間をかければいい——そう確信した結城は、静かにキーボードに手を伸ばした。
💬 慎也と里見の会話①
翌朝、メタCのオフィス兼ラウンジエリア。
VR空間にアクセスするためのデスクが並ぶその一角で、慎也はコーヒーを片手にスマートフォンを眺めていた。ちょうどメタCのプレスリリースがSNSで流れてきたところだった。
「なあ里見、これ——ISO 27001って何?」
隣に座っていた恋人が、飲みかけのお茶をテーブルに置いて覗き込んだ。
「ISMS認証の話ね。ちょうどタイムリー」
「ISMSって最近よく聞くけど、ちゃんとわかってなくて」
「じゃあ、せっかくだから教えてあげる」
里見はデスクの端に置いてあったホワイトボードマーカーを手に取り、慎也のメモ用紙に図を描き始めた。
「ISMSっていうのは、情報を守るための仕組み全体のことだよ。英語でInformation Security Management System、略してISMS。大事なのは、ツールやルールそのものじゃなくて、それを回し続ける仕組みを持っていること」
「回し続ける?」
「そう。セキュリティって一回やれば終わりじゃないの。脅威は毎日変わるから、ずっと改善し続けないといけない。その繰り返しの仕組みがISMSの核心」
慎也はうなずきながらメモを取った。
📘 里見の解説「世界標準の盾」
里見はメモ用紙にPDCAと大きく書いた。
「ISMSの背骨がこれ——PDCAサイクル。Plan、Do、Check、Actの繰り返し」
「計画して、やって、確認して、改善する、か」
「そう。ダイエットで例えると——まず目標体重を決めて(Plan)、毎日ウォーキングして(Do)、体重計に乗って確認して(Check)、うまくいってなければ食事制限も追加する(Act)。それをずっと繰り返す。ISMSも同じ発想だよ」
「なるほど、終わりがないんだ」
「セキュリティに終わりはないから。で、そのISMSが『ちゃんとできてます』って国際的に証明するための基準が——」
里見はメモ用紙に「ISO/IEC 27001」と書いた。
「ISO/IEC 27001(アイエスオー・アイイーシー にーななまるまるいち)。これはISMSの要求事項規格。運転免許に例えるなら、合格基準みたいなもの。これをクリアした組織には『ISMS認証』が発行されて、外部の取引先や顧客に信頼の証として見せられる」
「じゃあ、さっきのプレスリリース、それを取ったってことか」
「そう。でも——」里見は少し表情を引き締めた。「認証はあくまでスタートラインだから」
「どういうこと?」
「認証を取っても、現場で運用が崩れていたら意味がない。審査をパスするための書類を作って、棚に積んで終わり——なんて組織も実際にある。だから、27001のセットになるのが」
「また番号が出てきた」
「ISO/IEC 27002(にーななまるまるに)。こっちは具体的な対策のレシピ本。27001が『免許の合格基準』なら、27002は『実際の運転テクニック集』。パスワードは何文字以上にすべきか、アクセスログをどのくらい保存すべきか——そういう具体的なガイドラインが100を超える管理策として載っている」
慎也はペンを走らせながら聞いていた。
「そして、これらすべての前提になるのが、情報セキュリティポリシーだよ」
「ポリシー?」
「組織のセキュリティ方針をまとめた文書。学校の校則みたいなもの。『うちの会社はこういう考え方でセキュリティに取り組みます』という宣言。これがなければ、ルールがバラバラになって誰も同じ方向を向けない」
「校則か。破ってる人もいるけど」
「そこが問題なんだよね」里見は苦笑いした。「ポリシーを作るだけじゃなく、現場に浸透させる運用が必要。そのためにもPDCAで継続して回すことが大事になってくる」
慎也がコーヒーを飲み干したタイミングで、里見は続けた。
「ISMSの話が出たついでに、もう二つ覚えておいてほしい組織と仕組みがある」
「まだある?」
「NIST(ニスト)。米国国立標準技術研究所——National Institute of Standards and Technologyの略。アメリカの政府機関で、世界中のセキュリティ担当者が使う標準的なフレームワークを出してる。特に有名なのがNISTサイバーセキュリティフレームワーク。『特定』『防御』『検知』『対応』『復旧』の5つのステップで、組織のセキュリティを体系的に考えるための枠組み」
「アメリカ基準なのに世界標準なんだ」
「IT分野ではアメリカの影響がとても大きいから。ISOのルールと組み合わせて使われることも多い」
「なるほど。それともう一つは?」
「日本独自の話。CRYPTREC(クリプトレック)——Cryptography Research and Evaluation Committeesの略。デジタル庁・総務省・経済産業省が中心になって、電子政府のシステムで使う暗号技術を評価・選定するプロジェクト。公式サイトは cryptrec.go.jp で公開されてるよ」
「暗号の評価?」
「どの暗号が安全で、どれが危なくなってきているかを専門家が定期的に評価する。その結果をリストにまとめて公開しているんだよ。
「そのリストって何種類あるの?」
「三種類あって——」里見はメモ用紙に縦に三行書いた。
① 電子政府推奨暗号リスト:安全性・実装性能が確認され、利用実績も十分と判断されたもの。積極的に使っていい「お墨付き暗号」
例:AES・Camellia(共通鍵暗号)、ECDSA・RSA-PSS(署名)、SHA-256・SHA-384・SHA-512(ハッシュ関数)など② 推奨候補暗号リスト:安全性は確認されているが、利用実績がまだ少ないもの。将来①に昇格する可能性がある
例:PSEC-KEM(公開鍵・鍵共有)、CLEFIA・CIPHERUNICORN-A(共通鍵暗号)、MUGI(ストリーム暗号)など③ 運用監視暗号リスト:解読リスクが高まるなど、推奨できる状態ではなくなったもの。互換性維持のためだけに継続を容認
例:SHA-1(ハッシュ関数)、3-key Triple DES(ブロック暗号)など
※2026年3月時点のものです。
「通知表みたいだ。推奨・候補・要注意の三段階」
「まさにそのイメージ。暗号技術は時間が経つにつれて弱くなる場合があるから、一度決めて終わりじゃなく、継続的に評価し続ける必要がある。ここにもPDCAの考え方が生きているよね」
慎也は三段階のリストを丁寧にノートに書き写した。隣で里見がそっと様子を確認し、小さく微笑んだ。
⚡ 攻撃の影
その夜、佐藤はセキュリティダッシュボードを眺めていた。
「…ポートスキャン。昨日も同じ帯域から来ている」
ログに記録された痕跡はわずかなものだった。直接的な攻撃ではない。だが定期的に、同じ方向から探りを入れてくる動きが続いていた。
「偵察か」
佐藤は静かにコーヒーカップを置き、インシデント管理ツールにメモを残した。IPアドレスの変動パターン、アクセスの時刻、使われているツールの特徴——一つ一つは小さな断片だが、積み上げれば形が見えてくる。
それと同時に、別の懸念が頭に浮かんでいた。
ISMSの年次内部監査が来月に迫っていた。書類は揃っている。だが現場の運用が規程通りに行われているか——最後に確認したのはいつだったか。
「規格があっても、人間は慣れる。慣れると緩む」
佐藤は自分に言い聞かせるようにつぶやき、内部監査のチェックリストを開いた。翌朝、里見に現場確認の依頼を入れることにした。
🛡️ チームの対応
翌日の午前中、里見は佐藤からのメッセージを受け取った。
「ここ数日、低頻度のポートスキャンが続いてます。今すぐ被害はないですが、念のためISMSの運用確認をお願いできますか。特にポリシーの現場浸透度と、ログ監視の運用が規程通りか確かめてほしいです」
里見は即座に返信した。「わかりました。今日中に動きます」
ちょうどそのとき、メタCのラウンジでワールド作成作業していた慎也に里見から声がかかった。
「ちょっと手伝ってほしいことがあるんだけど——時間ある?」
「何する?」
「ISMSの現場確認。チェックリストを持って各部署を回る作業。直接システムを触るわけじゃないけど、人の運用の部分を見て回る感じ」
慎也はノートをカバンに入れながら立ち上がった。「それなら手伝えると思う」
(でも、なんでメタCの社員じゃない僕達が確かめるんだろう?そんな細かいことは気にしないでおこう)
二人で社内を一通り回り終えた夕方、里見は佐藤にまとめを送った。その内容を見た佐藤は、短く返した。
「ありがとうございます。やっぱり出ましたか」
受け取った里見がつぶやく。「ISMSは仕組みを作ることより、動かし続けることが難しいって、佐藤さんはいつも言うんだよね」
「確かに」慎也は隣でうなずいた。「書類の上では完璧でも、現場で一か所でも穴があればそこが狙われる——か」
💬 慎也と里見の会話②
確認作業を終えた夕方。慎也と里見はエントランスのベンチに並んで座っていた。
「全部屋を回って思ったんだけど——意外とルールって守られてないんだな」
「そうでしょ」里見は少しおかしそうに笑った。「クリアデスクのルールがあるのに書類が積みっぱなしだったり、パスワードの定期変更が6か月以上されていないアカウントがあったり」
「制度はあるのに」
「人間は慣れると楽な方向に流れるから。それが悪いわけじゃないけど——だからこそ定期的にCheckして、またActに繋げる必要がある。ISMSがPDCAサイクルを回し続けるものだって、今日少し実感できた?」
「うん。なんか、教科書で読むより全然リアルだった」
慎也はしばらく空を見上げた。
「里見って、こういうの楽しい?」
「楽しいよ」恋人は即答した。「仕組みを作って、動かして、改善して——それが組織として機能していくのを見るのが好き。あと、こうして慎也が少しずつわかっていくのを見るのも」
「それは……照れるな」
「本当のことだよ」
里見がくすりと笑い、慎也の肩に少し体重をかけた。夕暮れのオフィスビルの前で、ほんの少しだけ時間がゆっくり流れた。
😤 結城の悔しがり
深夜、結城はアパートに戻り、ノートパソコンを開いた。
昼間から仕掛けていたポートスキャンのログを確認する。変化があった。
「……ログ監視を強化した」
帰りのタイミング、アクセスの検知時刻、その後の通信パターンの変化——そのすべてが、今日の昼頃に誰かが「気づいた」ことを示していた。
しかも、ただ気づいただけじゃない。内部の確認作業をした形跡がある。現場を回り、運用を引き締めた。
「PDCAを動かされた」
結城は天井を見上げた。
認証を取るだけで満足しているような組織なら、今頃もっと深く探れていた。だが、この動き方は——単に規格に適合しているだけじゃない。仕組みを本当に理解して、使っている人間がいる。
「あなたたちは、想定より強い」
苦々しい気持ちとは裏腹に、結城の目には光があった。それは悔しさでも、敗北感でもなく——ほんの少しだけ、技術者としての昂ぶりに似た何かだった。
すぐには無理だ。でも、必ず隙は生まれる。
「まだ終わってない」
キーボードを閉じた指先に、静かな力がこもった。
コメント