Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@git2024(株式会社グローバル・インフォメーション・テクノロジー (通称:GIT))

基本情報技術者試験対策~情報セキュリティ用語② リスクマネジメント編~

Posted at

基本情報技術者試験対策~情報セキュリティ用語② リスクマネジメント編~

リスクマネジメント

企業活動というものは常に様々なリスクを伴うものです。
活動に伴って発生するリスクを管理し、損失を最小の費用で抑えようとすることを(そのままの意味ですが)リスクマネジメントと呼びます。

リスクマネジメントのプロセス

リスクマネジメントは以下の過程に沿って行います。
リスク特定…そもそもどのようなリスクがあるのかを洗い出す事。
リスク分析…洗い出したリスクの発生確率や損害の大きさを調べる事。
リスク評価…リスク分析を行った結果をもって、リスクに優先順位をつける事。
リスク対応…それぞれのリスクに対応する事。

①~③をリスクアセスメントと呼びます。
そして④のリスク対応にはそれぞれ以下のような種類があります。

  1. リスク回避⇒リスクを含む、その業務自体をやめる事。リスクがあるならそもそもやらない、という判断。
  2. リスク低減⇒リスクの発生確率を下げる努力をしたり、発生した場合の損害を抑えようとする事。
  3. リスク移転⇒リスクを自社から他社へ移す事。保険をかけたり、外部委託したりする事。
  4. リスク保有⇒リスク低減やリスク移転を行うのが困難な場合や、コスト面の判断から、そもそもリスクへの対策をしない事。リスクを受け入れる事。

☆リスクマネジメントに関連する以下の用語も覚えておくと良いです。
BCM(事業継続管理)…何かあったときでも企業活動を継続するための経営手法。
BCP(事業継続計画)…BCMを達成するための計画。例えばシステムの二重化、分散配置、自家発電装置の調達など…

情報セキュリティマネジメント

情報セキュリティのリスクに対して管理すること。
機密性、完全性、可用性のバランスを維持、改善していく取り組みのことを情報セキュリティマネジメントシステムとよぶ。
・機密性⇒認められた人だけが情報にアクセスできること。
・完全性⇒情報が正確で改ざんや破壊が行われていないこと。
・可用性⇒必要な時に情報にアクセスできる(利用できる)こと。

脅威への対策

情報セキュリティのリスクへの対策をそれぞれリスクの種類で分類してみます。

人的セキュリティ対策

アクセス権…ユーザごとに与えられるファイルへの読み書きの権限。「読み取り権限」「書き込み権限」「実行権限」を組み合わせて付与する。

技術的セキュリティ対策

ファイアウォール…外部ネットワークと内部ネットワークの間に設置して不正アクセスから内部ネットワークを守るためのもの。ルータに組み込まれていることが多い。
パケットフィルタリングファイアウォール…パケットのヘッダ情報を見て不正アクセスかどうか判断するファイアウォール。
IDS…侵入検知システム。不正アクセスがあった場合、管理者に通知するシステム。
IPS…侵入防止システム。不正アクセスに対して管理者に通知した上で、そのアクセスを遮断できるシステム。
WAF…Webアプリケーションの脆弱性を狙った攻撃からWebアプリケーションを守る仕組み。検知と遮断ができる。
DMZ…非武装地帯。外部、内部のどちらのネットワークとも隔離されたネットワーク領域のこと。
SSL/TLS…PCとサーバのやり取りを暗号化する通信プロトコルのこと。
HTTPS…SSL/TLSを使って、HTTP通信を暗号化する仕組み。HTTPSが暗号化するのはWebブラウザとWebサーバの間の部分。
WPA3…無線LANの通信を暗号化する規格のこと。端末とアクセスポイントの間を暗号化する。

・マルウェアの検知
  コンペア法…とあるファイルに対して原本のファイルを保持しておき、原本のファイルと対象のファイルを比較することでマルウェアを検知する方法。
  パターンマッチング法…シグネチャと一致するかを検査してマルウェアを検知する方法。シグネチャとはマルウェアの攻撃パターンを蓄積したファイルのこと。
  ビヘイビア法…実際のマルウェアを実行してみてその振る舞いを監視する。そこから対策などを研究したりする。

・携帯端末関連の対策法
  BYOD…私物の端末を業務に使うこと。一見リスクを増加させるものに見えますが、シャドーIT(勝手に私物端末を業務に使うこと)を抑制する効果があります。
  MDM…業務に使う端末を一元管理すること。MDMシステム。

ペネトレーションテスト…攻撃を試しにやってみて対策の弱点を見つけるテスト。
セキュアブート…PC起動時にOSのデジタル署名を検証して、マルウェアに感染しているOSの実行を防ぐもの。
CAPTCHA…コンピュータと人間を区別するテスト。「私はロボットではありません」を証明するもの。画像を指定したり、崩れた書体の文字を入力したりするアレです。

物理的セキュリティ対策

バイオメトリクス認証…身体的な特徴や行動的な特徴による認証のシステム。指紋、網膜、制脈パターンや筆跡、歩き方など…
二要素認証…記憶、所有物、生体情報の3つの要素のうち2つを使って本人確認をする手法。
※あくまで3つのうち別々の2つを使って認証することをいう。

まとめ

読みづらい記事になってしまいましたが…
情報セキュリティリスクに対して、どのようなアプローチを行って対策するか、
どのような種類の対策を行うか、適切に管理していく必要があります。
この記事でイメージしづらかった部分は調べてイメージを付けながら覚えておくと試験できっと役に立ちます!

1
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?