初めに
この度、自分のスキルアップのために情報処理安全確保支援士の資格を取ることになりました。セキュリティに関する知識が乏しいため、勉強をしていくなかで普段の業務のセキュリティに関する知識を吸収することも目的としています。
本ブログの目的
このブログは、僕が情報処理安全確保支援士の勉強に使っている参考書「うかる!情報処理安全確保支援士2018年版」の内容を自分で振り返るためのアウトプットの場にしようと思います。
1.2情報セキュリティの特性と基本的な考え方
情報セキュリティの主な特性として、「機密性(Confidentality)」「完全性(Integrity)」「可用性(Availability)」の三つがある。これらは英語の頭文字をとって「CIA」と呼ばれる。また、付加的な特性としたは「真正性」「責任追及性」「否認防止」「信頼性」などがある。
情報セキュリティ対策には、「抑止・抑制」「予防・防止」「検知・追跡」「回復」などの機能がある。
情報セキュリティ対策における基本的な考え方は、下記のものになる。
- 対策を行う前にリスクアセスメントを行う
- 守るべきものを認識する
- 脅威を知る
- 脆弱性を知り、対処する
- 情報セキュリティの方針、基準を明確にし、手順等を整備する
- セキュリティと利便性のバランスをとる
- インシデントの未然防止に努めつつ、発生時に備えた対処を確実に行う
- 実施した対策の有効性について、第三者によるレビューを実施する
- 最小権限の原則を徹底する
- 責務の分離の原則を徹底する
- 重要な情報を取り扱うシステムとインターネット接続環境を分離する
- フェールセーフを考慮してシステムを設計・構築する
- システムの構成や機能を単純にする
- システムや設備の重要な機能を分散化する
- 二重・三重の対策を施す(多重防御)
- 利用者等を一意に識別し、事象の追跡・検証を可能とする
用語解説
「用語解説」で出てきた用語を自分で調べなおしてまとめます。
ハッシュ関数
あるデータからそのデータを要約する数列を生成する1方向の関数。
ディジタル証明
電子身分証明のこと。認証局が発行してくれる。
ログ
コンピュータの作業状況やサーバのアクセス状況についての記録のこと。
タイムスタンプ
電子的な時刻証明書。いつ、どのようなことがあったかを証明してくれるもの。
パッチ
ソフトの不具合を直すためのプログラム。
ワンタイムパスワード方式
一定の時間ごとに変更される、使い捨てのパスワードのこと。
ファイアウォール
内部ネットワークを、インターネットからの不正なアクセスから守るための防火壁のこと。
IPS
サーバやネットワークの外部との通信を監視し、侵入の試みなど不正なアクセスを検知して攻撃を未然に防ぐシステム。
Webアプリケーションファイアウォール
不正な攻撃からWebアプリケーションを防御するファイアウォールのこと。
ファイアウォールやIPSでは防げない攻撃を防ぐためのもの。
理解度チェックテスト
Q1.情報セキュリティの三つの特性とは何か。
Q2.最小権限の原則とは何か。
Q3.責務の分離の原則とは何か。
前記事の理解度チェックテストの答え
前記事はこちら
A1.機密性・完全性・可溶性
A2.物理的セキュリティと論理的セキュリティ
A3.システム的セキュリティ・管理的セキュリティ・人的セキュリティ