情報処理学会研究報告 IPSJ SIG Technical Report Vol.2015-IS-131 No /3/6 ISMS 関連国際規格における用語定義に関する一考察永井好和多田村克己小河原加久治情報セキュリティマネジメントシステム (Information Securi

(1)

ISMS 関連国際規格における用語定義に関する一考察

永井好和

†

多田村克己

†

小河原加久治

†

情報セキュリティマネジメントシステム（Information Security Management System;ISMS）に関する国

際規格は，ISO/IEC 27001;2013 をはじめとする ISMS ファミリー規格を構成している．従来，個別の規格

それぞれが使用する用語についてはその規格内において説明や定義がなされていた．一昨年（2013 年）

の ISO/IEC 27001 改訂の際，ISMS ファミリー規格で使用する用語は ISO/IEC 27000 に纏められた．対応

する JIS 規格も順次改訂されている．しかしながら，規格改定時期の差異により，個別の規格内の用語

定義のための記述は残されたままになっている．そこで，ISMS ファミリー規格の定義を ISO/IEC 27000

（JIS 規格では JIS Q 27000)のそれと比較したところ，ISO 規格ではごく一部を除いて一致しているが，

JIS 規格では異なる定義が見受けられた．各規格を参照する際に役立てて頂くために，留意すべき点を中

心に調査結果を報告する．

A Study on the definition of terms

in the international standards about ISMS

YOSHIKAZU NAGAI

†

KATUMI TADAMURA

†

KAKUJI OGAWARA

†

The international standards on Information Security Management System (ISMS) on constitute a ISMS family standard from the

associated multiple standards including "ISO/IEC 27001 ; 2013". Conventionally, the terms used in each standard have been

explained and defined in the standard itself. When ISO/IEC 27001 was revised in 2013, the terms used in the ISMS family

standards were summarized in ISO/IEC 27000. Each corresponding JIS standard has also been sequentially revised. However,

because of the difference of the timing to revise each standard, the description for the terms defined in separate standards has

been left yet. Therefore, We compared the definition of the terms in each standard in the ISMS family standards with those in

ISO/IEC 27000(or JIS Q 27000). As the result the definition in each standard was almost as same as that in ISO/IEC 27000, and

that in the JIS standards had the same differences. In this paper, we report those differences because some terms should be noted

for referring to each standard.

1. はじめに

ISO/IEC 27000 [1]には ISMS 関連用語の定義が掲載されて

いる．同規格書「0.3 この国際規格の目的」で次の 3 点が明

示されているが，発行時期が異なる ISMS ファミリー規格[b]

それぞれで定義されている場合，どれが有効なのかについて

の判断基準の記載は見つからない．

(1) ISMS ファミリー規格で共通して用いている用語及び

定義を対象とする．

(2) ISMS ファミリー規格の中で適用している全ての用語

及び定義を対象としているわけではない．

(3) 新しい用語を定義することについて，ISMS ファミリ

ー規格を制限するものではない．

ISO/IEC 27000 で定義された用語は ISO/IEC 27001:2013[2]

も ISO/IEC 27002:2013[3]で使用される．ところが，ISO/IEC

27003:2010[4]，ISO/IEC 27004:2009[5]，ISO/IEC 27005:2011[6]

等の他の ISMS ファミリー規格では，その規格内にそれぞれ

用語定義を掲載しているものがある．日本語訳が相互に異な

*

† 山口大学 Yamaguchi University b この用語は ISO/IEC 27000；2014 対訳版の序文で使われており，付録 1（表 1）の項番 1～項番 15 迄が，総合タイトル「情報技術－セキュリティ技術」の下の ISMS ファミリ規格とされている．

る用語が散見され，矛盾がないのか（同じ用語に対して異な

る定義がなされていないのか）確認が必要と考えられる．対

応する JIS 規格についても同様のことが言える．以下，本稿

で ISMS ファミリー規格については「ISO/IEC」を省略し，単

に 27000 番台の数字のみで表記する．

27000 と他の規格の双方で定義されている用語について調

査すべきと考え，英和対訳版が発行されている 27001～27008

（27003 及び 27008 についての対訳版は未発行）における英

語及び日本語の用語定義について調査した

（27003 及び 27008

については英語のみ比較）

．その他の ISMS 関連規格を含めた

一覧表を付録 1 として添付する．

2. ISMS ファミリー規格書における用語の概況

(1) 27001:2013/27002:2013 … 従来各規格の第 3 章で記載

されていた定義は，2013 年の改定時に 27000 の定義におき

かえる様，改訂された．

(2) 27003:2010 … ISMS を実装するためのガイドラインで

あるが，英和対訳版及び JIS 規格は未発行である．第 3 章

「Terms and definition」では 27000:2014 で与えられる用語

（89 語）の内で「ISMS project」だけが掲載されている．

（27000:2009『改訂前規格』と 27001:2005=改訂前規格で与

えられる用語のほかには「ISMS project」だけが掲載されて

(2)

いる．

）

(3) I27004:2009 には， 18 語が掲載されているが，全て

27000:2014 に掲載されている．

しかしながら，

「measurement」

1 語だけ英文原本同士で説明内容が異なる．

日本語訳では，

互いに異なる用語に訳されているのが 5 語，定義文が相互

に異なるのが 15 語ある．

(4) 27005:2011 には， 18 語が掲載されているが，全て

27000:2014 に掲載されていて 1 語を除いて日本語訳は全て

一致している．しかしながら，

「リスクレベル（level of risk）」

1 語だけは，従来あった「組合さったリスク（の大きさ）

」

という表現が削除されており，原文の英語により忠実に訳

されている．

(5) 27006:2011[7]は，ISMS 認証審査機関（JIPDEC 等）に対

する要求規格である．本稿では，ISMS 構築する上で留意す

べき用語を検討対象としており，調査対象外とする．

(6) 27007:2011[8]では，第 3 章において ISO 19011:2011[9]及び

27000 で定義される用語を適用する旨記載されているため，

ISO 19011:2011 と 27000:2014 とを比較する．ISO 19011 に

は 20 語掲載されていて，その内 13 語は 27000 に掲載され

ていない．残り 7 語の内，英語原本での説明文不一致が 1

語，日本語の説明文不一致が 2 語あるが，用語の日本語表

記は 7 語全て一致している．英語原本で不一致となってい

るのは「management system」の説明文であり，ISO 19011

で「system」を使って定義しているのに比べて，27000 では

「system」を使わず説明している．

(7) 27008:2011[10]には日本語訳が公表されていない（もちろ

ん対応する JIS 規格も発行されていない）が，第 3 章の

「Terms and definitions」に掲載されている 3 語（review object,

review objective, security implementation standard ）は全て

27000 に掲載されており，英語の説明文も一致している．

(8) ISO/IEC の原本（英語）では，規格間での相違点は 1 語だ

けであるが，日本語訳では多くが異なる．これを基にした

JIS 規格では規格間で用語の定義に差異があることになる．

また，複数ある定義の中でどの定義を優先するかに関する

説明を見つけることは出来ていない．

第 3 章記載の比較結果概要の中で，日本語訳に差異の多

い 2 つの規格（27004，27007 の 2 規格）における用語の状況

について，筆者の考察を加えて詳細を説明する．

3. 規格間の用語定義の差異の詳細

3.1 27004 における用語

27004 の第 3 章に掲載されている 18 語についての 27000

のそれとの比較表を付録 2 として添付しておく．両規格間の

差異には 3 種類あり，英語原本における定義の違い，日本語

用語名の違い，

そして定義文日本語訳の違いの 3 種類である．

順に説明する．

まず，

「measurement」について国際規格原本における英語

の定義が異なっている．27004:2009 では，process of obtaining

information about the effectiveness of ISMS and controls using a

measurement method, a measurement function, an analytical model,

and decision criteria と説明されているが，27000:2014 では，

単に process to determine a value と定義され，ISMS における意

味について注記として記載されている．従来の定義が ISMS

の効果を評価するための情報獲得プロセスと定義しているの

に対し，ISMS における測定方法や判断基準を用いて値を決

めるプロセスとしており，ISMS の有効性評価についてより

定量化を目指すものと解釈できる．山口大学においては 1 年

間を 1 つの PDCA サイクルと位置付け ISMS を運用している

が，C フェーズに位置付けられる内部監査やマネジメントレ

ビューで常に話題になるのが，

ISMS の有効性評価であった．

管理策ごとの評価に加えて， ISMS そのもの（あるいは ISMS

全体の）ISMS 適用範囲における業務への有効性評価が話題

になった．管理策それぞれの有効性を定量的に測定するため

の指標を定めることが困難な場合が多く，ISMS 全体の有効

性評価についてもその評価指標の設定は難しい．利益追求の

みが大学の目的ではないところにも要因の一部があると考え

られるが，できる限り定量的評価を可能とする管理指標と管

理策を設定することが重要である．このことも用語定義変更

の背景にあるものと考えている．

次に日本語訳に差異がみられる用語がある．用語そのも

のの日本語訳が異なる 5 語の内 3 語が measure の訳語を「測

度」から「測定量」に変更したことによるものである．他に

は「測定単位」を「測定の単位」と一般名詞の組み合わせに

しただけの unit of measurement があるが，measurement 定義の

変更に伴うものと考えている．他に「対象」から「対象物」

と変更した object がある．Item を「項目」という日本語訳か

ら「もの」と変更するものであるが，どちらも「ものごと」

と理解することで良いと考える．

3.2 27007(ISO 19011)における用語

ISO 19011 の第 3 章に掲載されている 20 語についての

27000 のそれとの比較表を付録 3 として添付しておく．20 語

の内 13 語は 27000 には記載されていないが，そのうち 10 語

には audit（監査）の文字が含まれる用語である．日本語訳で

は，監査基準・監査証拠・監査所見・監査結論・監査依頼者・

被監査者・監査員・監査計画・監査プログラム・監査チーム

等，監査活動に関する用語が並ぶ．監査のための指針である

という特殊性もあるが, 27001 や 27002 の改正に合わせてこれ

ら両規格内の用語定義を 27000 に纏めたという経緯から，

27000 における用語定義に取り上げられなかったものと推測

できる．本稿第 1 章の冒頭に記載した様に，27000 の「0.3 こ

の国際規格の目的」に明示されている断り書きが必要となる

理由の１つであると考えられる．残りの 3 語（guide；案内役，

nonconformity；不適合，technical expart；技術専門家）もいず

れもが監査活動で必要となる用語であり，ISO 19011 で定義

された用語を ISMS 運用における監査活動全般において使用

することを想定しており，ISMS ファミリー規格 27007 を通

(3)

して，ISMS 規格における監査に関する用語として定義され

ているものと考えられる．

4. おわりに

ISMS ファミリー規格における用語定義について 27000 と

その他の規格とを比較し，ISMS ファミリー規格全体では，1

つの用語に対して複数個所にその定義がなされていて注意が

必要であることを指摘した．特に，各用語の日本語訳が個別

の規格によって異なるため，個別規格に対応する JIS 規格を

考える際には，ISO/IEC 規格の原文を参照して正しい意味の

把握に努める必要があることも指摘しておきたい．

筆者としては，規格改訂やその公表の仕方に関して次の点

を期待したい．各規格（英和対訳版や JIS 規格等）における

日本語訳が複数個ある場合にどれを優先するか（あるいはど

れを有効とするか）について明示する改訂は急ぐべきであろ

うと考えている．

(1) ISMS ファミリー規格を中心とする ISMS 関連規格全体

で使用される用語定義を 27000 に纏め，同一用語に対

する定義が１か所のみでなされること．これは ISO 規

格にも JIS 規格にも言える．

(2) 個別規格の日本語訳を統一し，ISO 規格に対応する JIS

規格間の用語定義上の差異を解消すること．前項にい

う定義の集約がなされれば，27000 に対応する JIS Q

27000 の改訂と共に，JIS Q 27000：2014[11]以外の ISMS

一方で「政府機関の情報セキュリティ対策のための統一基

準群（平成 26 年度版）」[12]やこれに沿って国立情報学研究

所(NII)から提示されている「高等教育機関の情報セキュリテ

ィ対策のためのサンプル規程集」[13]でも情報セキュリティ

マネジメントや情報セキュリティリスクマネジメントに関す

る用語の定義がなされており，これらとの整合性確保や統一

も望まれる．

本稿が ISMS ファミリー規格を参照なさる方々にとって役

立つもことを期待したい．

謝辞（本稿執筆にあたり，規格書をご提供頂き業務上の

配慮を頂いた山口大学大学情報機構の皆様に，この場を借り

て感謝申し上げたい．

参考文献

1) ISO/IEC：情報技術－セキュリティ技術－情報セキュリティマネジ

メントシステム－概要及び用語（英和対訳版）

，日本規格協会,国際規

格, ISO/IEC27000:2014

2) ISO/IEC：情報技術－セキュリティ技術－情報セキュリティマネジ

メントシステム－要求事項（英和対訳版）

，日本規格協会

INTERNATIONAL STANDARD, ISO/IEC27001:2013

3) ISO/IEC：情報技術－セキュリティ技術－情報セキュリティ管理策

の実践のための規範（英和対訳版）

，日本規格協会 INTERNATIONAL

STANDARD, ISO/IEC27002:2013

4) ISO/IEC：Information technology－Security techniques-Information

security management system implementation guidance，日本規格協会

INTERNATIONAL STANDARD, ISO/IEC27003:2010

5) ISO/IEC：情報技術－セキュリティ技術－情報セキュリティマネジ

メント－測定（英和対訳版）

，日本規格協会国際規格,ISO/IEC

27004:2009

6) ISO/IEC：情報技術－セキュリティ技術－情報セキュリティリスク

マネジメント（英和対訳版）

，日本規格協会国際規格,ISO/IEC

27005:2011

7) ISO/IEC：情報技術－セキュリティ技術－情報セキュリティリスク

マネジメントシステムの審査及び認証を行う機関に対する要求事項

（英和対訳版）

，日本規格協会国際規格,ISO/IEC 27006:2011

8) ISO/IEC：情報技術－セキュリティ技術－情報セキュリティマネジ

メントシステム監査のための指針（英和対訳版）

，日本規格協会国際

規格,ISO/IEC 27007:2011

9) ISO：マネジメントシステム監査のための指針（英和対訳版）

，日

本規格協会国際規格,ISO 19011:2011

10) ISO/IEC：Information technology－Security techniques-Guidelines

for auditors on information security controls，日本規格協会 TECHNICAL

REPORT, ISO/IEC TR 27008:2011

11) 日本規格協会：情報技術－セキュリティ技術－情報セキュリテ

ィマネジメントシステム－用語，JIS Q 27000:2014

12) 情報セキュリティ政策会議（議長；内閣官房長官）

：政府機関の

情報セキュリティ対策のための統一基準群（平成 26 年度版），

http://www.nisc.go.jp/active/general/kijun26.html (2015.1.27 アクセス)

13) 国立情報学研究所，電子情報通信学会：高等教育機関の情報セ

キュリティ対策のためのサンプル規程集，

http://www.nii.ac.jp/csi/sp/doc/sp-sample (2015.1.27.アクセス)

付録

付録 1 表１．ISMS 関連規格一覧表

項番 ISO 規格番号：発行年 (*2) 規格内容(*1) ISO 規格名称（対訳版タイトル）(*2) JIS 規格名称（英語タイトル）(*3) JIS 規格番号 :発行年(*5) 1 ISO/IEC 27000 :2014 ISMS 規格についての概要と基本用語集情報技術―セキュリティ技術― 情報セキュリティマネジメントシステム―概要及び用語

Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary(*4)

JIS Q 27000 :2014 2 ISO/IEC 27001 :2013 組織の ISMS を認証するための要求事項情報技術―セキュリティ技術― 情報セキュリティマネジメントシステム―要求事項

Information technology -- Security techniques -- Information security management systems -- Requirements JIS Q 27001 :2014 3 ISO/IEC 27001:2013/Cor1 :2014

（掲載無し） ISO/IEC 27001:2013 正誤票 1:2014 ISO/IEC 27001:2013/Cor 1:2014

4 ISO/IEC 27002 :2005 ISM 実践のための規範情報技術―セキュリティ技術― 情報セキュリティ管理策の実践のための規範

nformation technology -- Security techniques -- Code of practice for information security controls

JIS Q 27002 :2014 5 ISO/IEC 27003 :2010 ISMS 実装ガイド情報技術－セキュリティ技術－情報セキュリティマネジメントシステムの実施の手引 (邦訳版なし )

Information technology -- Security techniques -- Information security management system implementation guidance

(4)

表１．ISMS 関連規格一覧表（続き）

項番 ISO 規格番号：発行年 (*2) 規格内容(*1) ISO 規格名称（対訳版タイトル）(*2) JIS 規格名称（英語タイトル）(*3) JIS 規格番号 :発行年(*5) 6 ISO/IEC 27004 :2009 情報セキュリティの測定情報技術－セキュリティ技術－情報セキュリティマネジメント－測定

Information technology -- Security techniques --

Information security management -- Measurement （未発行）

7 ISO/IEC 27005 :2011 情報セキュリティのリスクマネジメント情報技術―セキュリティ技術―情報セキュリティリスクマネジメント

Information security risk management （未発行）

8 ISO/IEC 27006 :2011 認証/登録プロセスの要求仕様情報技術―セキュリティ技術― 情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項

Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems JIS Q 27006 :2012 9 ISO/IEC 27007 :2011 ISMS 監査の指針（主にマネジメントシステム）情報技術－セキュリティ技術－情報セキュリティマネジメントシステム監査のための指針

nformation technology -- Security techniques -- Guidelines for information security management systems auditing （未発行） 10 ISO/IEC TR 27008 :2011 ISMS 監査の指針（主にセキュリティ制御）情報技術－セキュリティ技術－情報セキュリティ管理策の監査員のための指針 (邦訳版なし )

Information technology -- Security techniques -- Guidelines for auditors on information security controls （未発行） 11 ISO/IEC 27010 :2012 部門間と組織間の通信の ISM 情報技術－セキュリティ技術－部門間及び組織間コミュニケーションのための情報セキュリティマネジメント (邦訳版なし )

Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communications

（未発行） 12 ISO/IEC 27011 :2008 ISMS の通信業界への適用に関する手引き (X.1052) 情報技術 -セキュリティ技術－ ISO/IEC 27002 に基づく電気通信組織のための情報セキュリティマネジメント指針

Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 （未発行） 13 ISO/IEC 27013 :2012 ISO/IEC 20000-1 と ISO/IEC 27002 の統合情報技術－セキュリティ技術－ISO/IEC 27001 及び ISO/IEC 20000-1 の統合的実施の手引 (邦訳版なし )

Information technology -- Security techniques -- Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

（未発行）

14 ISO/IEC 27014 _:2013 情報セキュリティガバ_{ナンスの枠組み} 情報技術－セキュリティ技術－情報技術のガバナンス _{(邦訳版なし )} Information technology -- Security techniques -- _{Governance of information security} （未発行）

15 ISO/IEC TR 27015 :2012 金融及び保険サービスセクターに対する ISMS 情報技術－セキュリティ技術－金融サービスのための情報セキュリティマネジメントの指針 (邦訳版なし )

Information security management guidelines for financial services （未発行） 16 ISO/IEC TR 27016 :2014 （掲載無し）情報技術－セキュリティ技術－情報セキュリティマネジメント－組織の経済性 (邦訳版なし )

Information technology -- Security techniques -- Information security management -- Organizational economics （未発行） 17 ISO/IEC 27018 :2014 （掲載無し）情報技術－セキュリティ技術－PII プロセッサとして作動するパブリッククラウドにおける個人識別情報(PII)の保護のための実施基準 (邦訳版なし )

Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors （未発行） 18 ISO/IEC TR 27019 :2013 （掲載無し）報技術－セキュリティ技術－エネルギーユーティリティ工業固有のプロセスコントロールシステムのための ISO/IEC 27002 に基づく情報セキュリティマネジメメントの指針 (邦訳版なし )

Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry

（未発行） 19 ISO/IEC 27031 :2011 事業連続性のための情報通信技術準備情報技術－セキュリティ技術－事業継続のための情報通信技術の準備態勢に関する指針

Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity

（未発行） 20 ISO/IEC 27032:2012 サイバーセキュリティの手引き情報技術－セキュリティ技術－サイバーセキュリティの指針 (邦訳版なし )

Guidelines for cybersecurity （未発行）

21 ISO/IEC 27033-1 :2009 情報技術ネットワークのセキュリティ．複数の部分から成る規格であり，現在は ISO/IEC 18028:2007 と呼ばれる．情報技術－セキュリティ技術－ネットワークセキュリティ－第 1 部：概要及び概念 (邦訳版なし )

Network security -- Part 1: Overview and concepts （未発行）

22 ISO/IEC 27033-2 :2012 情報技術－セキュリティ技術－ネットワークセキュリティ－第 2 部：ネットワークセキュリティの設計及び導入の指針 (邦訳版なし )

Information technology -- Security techniques -- Network security -- Part 2: Guidelines for the design and implementation of network security

（未発行） 23 ISO/IEC 27033-3 :2010 情報技術－セキュリティ技術－ネットワークセキュリティ－第 3 部：参照ネットワークシナリオ－脅威，設計技法及び制御問題 (邦訳版なし )

Information technology -- Security techniques -- Network security -- Part 3: Reference networking scenarios -- Threats, design techniques and control issues （未発行） 24 ISO/IEC 27033-4 :2014 情報技術－セキュリティ技術－ネットワークセキュリティ－第 4 部：セキュリティゲートウェイによるネットワーク間通信の安全確保 (邦訳版なし )

Information technology -- Security techniques -- Network security -- Part 4: Securing communications between networks using security gateways （未発行） 25 ISO/IEC 27033-5 :2013 情報技術－セキュリティ技術－ネットワークセキュリティ－第 5 部：バーチャルプライベートネットワーク(VPN)を使用するネットワークを介する通信の安全性 (邦訳版なし )

Information technology -- Security techniques -- Network security -- Part 5: Securing communications across networks using Virtual Private Networks (VPNs) （未発行） 26 ISO/IEC 27034-1 :2011 アプリケーションセキュリティの手引き．第 1 部は 2012 年に発行．情報技術－セキュリティ技術－アプリケーションセキュリティ－第 1 部：概要及び概念 (邦訳版なし )

Information technology -- Security techniques -- Application security -- Part 1: Overview and concepts （未発行） 27 ISO/IEC 27034-1:2011/Cor1 :2014 ISO/IEC 27034-1:2011 正誤票 1:2014 (邦訳版なし ) ISO/IEC 27034-1:2011/Cor 1:2014 （未発行）

(5)

表１．ISMS 関連規格一覧表（続き）

項番 ISO 規格番号：発行年 (*2) 規格内容(*1) ISO 規格名称（対訳版タイトル）(*2) JIS 規格名称（英語タイトル）(*3) JIS 規格番号 :発行年(*5) 28 ISO/IEC 27035 :2011 （掲載無し）情報技術－セキュリティ技術－情報セキュリティインシデントマネジメント (邦訳版なし )

Information security incident management （未発行）

29 ISO/IEC 27036-1

:2014 （掲載無し）

情報技術－セキュリティ技術－サプライヤリレーションシップの情報セキュリティ－第 1 部：概要及び概念 (邦訳版なし )

Information technology -- Security techniques -- Information security for supplier relationships -- Part 1: Overview and concepts

（未発行） 30 ISO/IEC 27036-2 :2014 （掲載無し）情報技術－セキュリティ技術－サプライヤリレーションシップの情報セキュリティ－第 2 部：要求事項 (邦訳版なし )

Information technology -- Security techniques -- Information security for supplier relationships -- Part 2: Requirements （未発行） 31 ISO/IEC 27036-3 :2013 （掲載無し）情報技術－セキュリティ技術－サプライヤリレーションシップの情報セキュリティ－第 3 部：情報及び通信技術サプライチェーンセキュリティの指針 (邦訳版なし )

Information technology -- Security techniques -- Information security for supplier relationships -- Part 3: Guidelines for information and communication technology supply chain security

（未発行） 32 ISO/IEC 27037 :2012 （掲載無し）情報技術－セキュリティ技術－デジタル証拠の識別，収集，取得及び保全の指針 (邦訳版なし )

Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence

（未発行）

33 ISO/IEC 27038

:2014 （掲載無し）

情報技術－セキュリティ技術－デジタル編集の仕様 (邦訳版なし )

Specification for digital redaction （未発行）

34 ISO/IEC 18028-4 _：2005

情報技術－セキュリティ技法－IT ネットワークセキュリティ－第 4 部：遠隔アクセスの安全性

(邦訳版なし )

Information technology -- Security techniques -- IT network security -- Part 4: Securing remote access

(対応規格不明）

35 ISO 19011

:2011 マネジメントシステム監査のための指針 Guidelines for auditing management systems

JIS Q 19011 :2012 36 ISO 27799 :2008 健康情報の情報セキュリティ管理 37 ISO 27789 :2013 電子健康記録の監査証跡 38 リスクマネジメント―リスクアセスメント技法 Risk management --

Risk assessment techniques

JIS Q 31010 :2012

(*1) Wikipedia から

･･･

http://ja.wikipedia.org/wiki/ISO/IEC_27000_%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA

(*2)JSA の Web Store から

(*3)ISO の Web Store から

(*4)ISO/IEC 27000 の「0 序文｣掲載の ISMS ファミリ規格（the ISMS family of standards」から

(*5)JSA の Web Store から

付録 2 表 2．用語比較表（27000：27004）

同一性英語表記 ISO/IEC 27000 ISO/IEC 27004 英語意味 (*1) 日本語表記 (*2) 日本語意味 (*3) No. 日本語読み仮名日本語表記意味 No. 日本語読み仮名日本語表記意味 ○ ○ × analytical model 2.2 ﾌﾞﾝｾｷﾓﾃﾞﾙ分析モデル一つ以上の基本測定量（2.10）及び／又は導出測定量（2.22）をそれに関連する判断基準と結合するアルゴリズム又は計算。 3.1 ﾌﾞﾝｾｷﾓﾃﾞﾙ分析モデル一つ又は複数の基本及び/ または導出測度を、関連する判断基準と組み合せるアルゴリズム又は計算 ○ ○ × attribute 2.4 ｿﾞｸｾｲ属性人手又は自動的な手段によって，定量的又は定性的に識別できる対象物（2.55）の特性又は特徴。 3.2 ｿﾞｸｾｲ属性人手又は自動化された手段によって，定量的又は定性的に識別できる対象の特性又は性質 ○ × × base measure 2.10 ｷﾎﾝｿｸﾃｲﾘｮｳ基本測定量単一の属性（2.4）とそれを定量化するための方法とで定義した測定量（2.47）。 3.3 ｷﾎﾝｿｸﾄﾞ基本測度一つの属性とそれを定量化するための方法とで定義した測度 ○ ○ × data 2.20 ﾃﾞｰﾀデータ基本測定量（2.10），導出測定量（2.22）及び／又は指標（2.30）に割り当てられた値の集合。 3.4 ﾃﾞｰﾀデータ基本測度，導出測度及び／又は指標に割り当てられた値の集合。 ○ ○ × decision criteria 2.21 ﾊﾝﾀﾞﾝｷｼﾞｭﾝ判断基準アクション若しくは追加調査の必要性を決めるため又は与えられた結果の信頼度のレベルを記述するために使う，しきい（閾）値，目標又はパターン。 3.5 ﾊﾝﾀﾞﾝｷｼﾞｭﾝ判断基準処置又は追加調査の必要性を決めるため，若しくは与えられた結果の信頼のレベルを記述するために使う，しきい（閾）値，目標又はパターン ○ × × derived measure 2.22 ﾄﾞｳｼｭﾂｿｸﾃｲﾘｮｳ導出測定量複数の基本測定量（2.10）の値の関数として定義した測定量（2.47）。 3.6 ﾄﾞｳｼｭﾂｿｸﾄﾞ導出測度基本測度の二つ又はそれ以上の値の関数として定義される測度

(6)

表 2．用語比較表（27000：27004）（続き）

同一性英語表記 ISO/IEC 27000 ISO/IEC 27004 英語意味 (*1) 日本語表記 (*2) 日本語意味 (*3) No. 日本語読み仮名日本語表記意味 No. 日本語読み仮名日本語表記意味 ○ ○ × indicator 2.30 ｼﾋｮｳ指標定義された情報ニーズ（2.31）に関して分析モデル（2.2）から導出した，特定の属性（2.4）の見積り又は評価を示す測定量（2.47）。 3.7 ｼﾋｮｳ指標定義された情報ニーズに関する分析モデルから導出された，特定の属性の推定又は評価を示す測度 ○ ○ × information need 2.31 ｼﾞｮｳﾎｳﾆｰｽﾞ情報ニーズ目的，目標，リスク及び問題点を管理するために必要となる見解。 3.8 ｼﾞｮｳﾎｳﾆｰｽﾞ情報ニーズ目的，最終目標，リスク及び問題を管理するために必要となる洞察 ○ × ○ measure 2.47 ｿｸﾃｲﾘｮｳ測定量測定（2.48）の結果として値が割り当てられる変数。 3.9 ｿｸﾄﾞ測度測定の結果として値が割り当てられる変数 × ○ × measurement 2.48 ｿｸﾃｲ測定値を決定するプロセス（2.61）。 3.10 ｿｸﾃｲ測定測定方法，測定関数，分析モデル及び判断基準を用いて，ISMS 及び管理策の有効性に関する情報を得るプロセス ○ ○ × measurement function 2.49 ｿｸﾃｲﾉｶﾝｽｳ測定の関数複数の基本測定量（2.10）を結合するために遂行するアルゴリズム又は計算。 3.11 ｿｸﾃｲﾉｶﾝｽｳ測定関数二つまたはそれ以上の基本測度合を組み合わせるために遂行するアルゴリズム又は計算 ○ ○ × measurement method 2.50 ｿｸﾃｲﾎｳﾎｳ測定方法特定の尺度（2.80）に関して属性（2.4）を定量化するために使う一連の操作の論理的な順序を一般的に記述したもの。 3.12 ｿｸﾃｲﾎｳﾎｳ測定方法総称的に記述された一連の論理的操作で，特定された尺度に関して属性を定量化するために使うもの ○ ○ × measurement results 2.51 ｿｸﾃｲｹｯｶ測定結果情報ニーズ（2.31）を取り扱う，一つ以上の指標（2.30）及びそれに関連する解釈。 3.13 ｿｸﾃｲｹｯｶ測定結果情報ニーズを取り扱う一つ又は複数の指標及びそれに関連する解釈 ○ × × object 2.55 ﾀｲｼｮｳﾌﾞﾂ対象物属性（2.4）の測定（2.48）を通して特徴付けられるもの。 3.14 ﾀｲｼｮｳ対象その属性の測定を通して特_{性付けられた項目} ○ ○ × scale 2.8 ｼｬｸﾄﾞ尺度連続的若しくは離散的な値の順序集合又は分類の集合で，それに属性（2.4）を対応付けるもの。 3.15 ｼｬｸﾄﾞ尺度該当属性を写像する，連続的若しくは離散的な値の順序集合又はカテゴリー（分類）の集合 ○ × × unit of measurement 2.86 ｿｸﾃｲﾉﾀﾝｲ測定の単位取決め又は慣習に従って定義し採用した特別の量で，同じ種類の他の量をそれと比較することによって，その量の相対的な大きさを表現するためのもの。 3.16 ｿｸﾃｲﾀﾝｲ測定単位規約により定義し採用した特別の量で，同じ種類の他の量をこれと比較することによって，その大きさをこの量に対して相対的に表現するためのもの ○ ○ ○ validation 2.87 ﾀﾞﾄｳｾｲｶｸﾆﾝ妥当性確認客観的証拠を提示することによって，特定の意図された用途又は適用に関する要求事項が満たされていることを確認すること。 3.17 ﾀﾞﾄｳｾｲｶｸﾆﾝ妥当性確認客観的証拠を提示することによって，特定の意図された用途又は適用に関する要求事項が満たされていることを確認すること ○ ○ ○ verification 2.88 ｹﾝｼｮｳ検証客観的証拠を提示することによって，規程要求事項が満たされていることを確認すること。 3.18 ｹﾝｼｮｳ検証客観的証拠を提示することによって，規程要求事項が満たされていることを確認すること

(*1) ISO/IEC 27000 においては、説明文中で使用する用語についてその定義を記載している項番が（）を付けて付記されている。

ISO/IEC 27004 の説明文にそれがなくても、英文自体が同じであれば「同一」としている。

また、あってもその項番は同一性の判断では無視した。

note の内容については比較していない。（note は異なっていても、説明文がおなじであれば、同一用語と判定している。

(*2) 全く同じ文字列の場合のみ「○；同一」とした。

(*3) ISO/IEC 27000 においては、説明文は「。」が付されているが、ISO/IEC 27004 の説明文にそれがなくても、和文自体が同じ

であれば「同一」としている。

注記の内容については比較していない。

（注記の内容が異なっていても、説明文がおなじであれば、同一用語と判定していることになる。）

(7)

付録 3 表 3．用語比較表（27000：ISO 19011）

同一性(*4) 英語表記 ISO/IEC 27000 ISO 19011 英語意味 (*1) 日本語表記 (*2) 日本語意味 (*3) No. 日本語読み仮名日本語表記意味 No. 日本語読み仮名日本語表記意味 ○ ○ × audit 2.5 ｶﾝｻ監査監査基準が満たされている程度を判定するために，監査証拠を収集し，それを客観的に評価するための，体系的で，独立し，文書化したプロセス（2.61）。 3.1 ｶﾝｻ監査監査基準(3.2)が満たされている程度を判定するために，監査証拠(3.3)を収集し，それを客観的に評価するための，体系的で，独立し，文書化されたプロセス。 △ △ △ audit criteria 記載無し 3.2 ｶﾝｻｷｼﾞｭﾝ監査基準監査証拠(3.3)と比較する基準として用いる一種の方針，手順又は要求事項． △ △ △ audit evidence 記載無し 3.3 ｶﾝｻｼｮｳｺ監査証拠監査基準(3.2)に関連し，かつ，検証できる，記録，事実の記述又はその他の情報． △ △ △ audit findings 記載無し 3.4 ｶﾝｻｼｮｹﾝ監査所見収集された監査証拠(3.3)を，監査基準(3.2)に対して評価した結果． △ △ △ audit _conclusion 記載無し 3.5 ｶﾝｻｹﾂﾛﾝ監査結論監査目的及び監査所見(3.4)を考慮したうえでの，監査(3.1)の結論 △ △ △ audit client 記載無し 3.6 ｶﾝｻｲﾗｲｼｬ監査依頼者監査(3.1)を要請する組織又は人． △ △ △ audittee 記載無し 3.7 ﾋｶﾝｻｼｬ被監査者監査される組織 △ △ △ auditor 記載無し 3.8 ｶﾝｻｲﾝ監査員監査(3.1)を行う人． △ △ △ audit plan 記載無し 3.15 ｶﾝｻｹｲｶｸ監査計画監査(3.1)のための活動及び手配事項を示すもの． △ △ △ audit programme 記載無し 3.13 ｶﾝｻﾌﾟﾛｸﾞﾗﾑ監査プログラム特定の目的に向けた，決められた期間内で実行するように計画された一連の監査(3.1)の取り決め． ○ ○ ○ audit scope 2.6 ｶﾝｻﾊﾝｲ監査範囲監査（2.5）の及ぶ領域及び境界。 3.14 ｶﾝｻﾊﾝｲ監査範囲監査（2.5）の及ぶ領域及び境界。 △ △ △ audit team 記載無し 3.9 ｶﾝｻﾁｰﾑ監査チーム監査(3.1)を行う一人又は複数の監査員(3.8)．必要な場合は，技術専門家(3.10)による支援を受ける． ○ ○ ○ competence 2.11 ﾘｷﾘｮｳ力量意図した結果を達成するために，知識及び技能を適用する能力。 3.17 ﾘｷﾘｮｳ力量意図した結果を達成するために，知識及び技能を適用する能力。 ○ ○ ○ conformity 2.13 ﾃｷｺﾞｳ適合要求事項（2.63）を満たしていること。 3.18 ﾃｷｺﾞｳ適合要求事項を満たしていること。 △ △ △ guide 記載無し 3.12 ｱﾝﾅｲﾔｸ案内役監査チーム(3.9)を手助けするために，被監査者(3.7)によって指名された人． × ○ × management system 2.46 ﾏﾈｼﾞﾒﾝﾄｼｽﾃﾑマネジメントシステム (*5) 方針（2.60），目的（2.56）及びその目的を達成するためのプロセス（2.61）を確立するための，相互に関連する又は相互に作用する，組織（2.57）の一連の要素。 3.20 ﾏﾈｼﾞﾒﾝﾄｼｽﾃﾑマネジメントシステム方針（2.60），目的（2.56）及びその目的を達成するためのプロセス（2.61）を確立するための，相互に関連する又は相互に作用する，組織（2.57）の一連の要素。 ○ ○ ○ nonconformity 2.53 ﾌﾃｷｺﾞｳ不適合要求事項（2.63）を満たしていないこと。 3.19 ﾌﾃｷｺﾞｳ不適合要求事項を満たしていないこと。 △ △ △ observer 記載無し 3.11 ｵﾌﾞｻﾞｰﾊﾞオブザーバ監査チーム(3.9)に同行するが，監査は行わない人 ○ ○ ○ risk 2.68 ﾘｽｸリスク目的に対する不確かさの影響。 3.16 ﾘｽｸリスク目的に対する不確かさの影響。 △ △ △ technical expart 記載無し 3.10 ｷﾞｼﾞｭﾂｾﾝﾓﾝｶ技術専門家監査チーム(3.9)に特定の知識又は専門的技術を提供する人．

情報処理学会研究報告 IPSJ SIG Technical Report Vol.2015-IS-131 No /3/6 ISMS 関連国際規格における用語定義に関する一考察 永井好和 多田村克己 小河原加久治 情報セキュリティマネジメントシステム (Information Securi