LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@ponkomarujp(ponkomaru)

基本情報 情報セキュリティ編 その1

Posted at

情報セキュリティは非常に覚える用語も多くて大変です

ですが、計算などはないのでほぼ覚えゲーになっているので脳筋で頑張りましょう

2.覚えておくべき

まずは情報セキュリティはISOの国際規格で定められています。
ISO/IEC270000シリーズがそれになります。

機密性・安全性・可用性

機密性とは、定めた人のみが該当のサービスにアクセスできるというような意味
安全性は、Webサービスなどが改ざんされないように正確で・安全である特性
可用性とは、サービスが継続して利用できるようなことを指す

リスクマネジメント編

社内の価値あるデータを情報資産といいます。
これらを漏洩しないための管理をリスクマネジメントといいます。

リスクマネジメントでは
リスク探索
リスク分析
リスク評価
この順番でまずはリスクアセスメントを行い、どのくらいのレベルでリスクがあり、どれくらい担保するかを決める
段取りとなっています。

リスク評価をしたのち、
どのリスクがどれくらいのレベルで優先順位はどれくらいかをリスク評価で決めたのち、
対応を取ります。

リスクには最小限抑えるための リスクコントロール
コストをかけてリスクをなくすのが リスクファイナンシング

といいます。

情報セキュリティポリシー

情報セキュリティポリシーとは、組織内の情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書になります。

この会社は情報せきゅてぃポリシーを公に公開しているな 安心できる
というような感じですかね。

基本方針:情報セキュリティに関する基本的な方針を定めたもの
対策基準:項目ごとにそんじゅすべき行為や判断を記述したもの
実施手順:どのように対処するかを記述したもの

この3つで成り立っております。

CSIRT
CSIRTとは、企業や観光庁などに設けるセキュリティ機関のことを指します。
情報セキュリティ部 みたいなところがこれに当たりますね。

企業でしっかりやってます!と公言しても評価しない人がいないと信憑性がないですよね。

勉強3時間やってます!私は頭がいいです!
といっても言ってるだけで数値には出てないので、信憑性がないのと一緒です

そのためには第三者が介入して評価する必要があるって訳です

それがISMS適合認定制度というものです。

セキュリティバイデザイン

これは開発でもとても大事な要件であり、
開発の設計段階からセキュリティをしっかり担保しようねというのがセキュリティバイデザインとなるわけです。

プライバシーバイデザインという似たような言葉もありますが、文字通りそのプライバシー保護Verです。

脅威とマルウェア

情報システム部からこんなことは言われたことはないでしょうか。
社内標準のソフトウェアしか入れちゃだめよ!
ソフトウェアをインストールするならインストール先のURLとか貼り付けて申請してね!

これはクライアントパソコンへのマルウェアを防ぐためのものであることは容易に想像がつくかと思います。

また、脅威というのは基本情報の中では、社内の情報資産を脅かすものと定義されいます。

脅威には
物理的脅威
人為的脅威
技術的脅威
の3つが存在します。

物理的脅威は、社内のサーバーが発火したりなどの物理的な要因によるものです
人為的脅威は、誤ってDBを消してしまったや、パソコンをロックにしないままトイレに行ったりとかを指します。
技術的脅威は、HTTP通信を傍受したり、改ざん、なりすましなどITを使った脅威のことを指します。

マルウェアとは

マルウェアとは、悪意をもって作成された不正なプログラムの総称を指します

マルウェアには様々な種類があるので、よかったら調べてみてください

BYOD(Bring your own Device)

これは英語の通りに、自分の端末を持ち込む
つまり業務のデータを自分の端末で使うことです。

日々わたくしたちが使っているパソコンはログが管理されているなど、情報システム部に目がいくようになっています

ただし、個別のパソコンにおいてはそのような目が届かないため、セキュリティの対策がほぼ不可能なのです。

ウイルス対策ソフトはなんのためにあるのか

ソフトウェアのマルウェアを検知そて、コンピューターを脅威から守って、安全を高めるソフトのことを指します。

更新がないソフトウェアがある場合、そこにマルウェアがあったとしても、パッチ適用外になったりするので
OSSなどを使う場合は、Gitなどのソースコードをみて、更新されているか確認してみたりしてください。

マルウェアの検知には2種類ほどあり、
・パターンマッチング:すでに検知したウイルスのシグネスチャーコードと比較して、ウイルスを検知するもの
・ビヘイビア方式:実際に検査対象を実行して、その挙動を監視することにより、ウイルスを検知するものです。
未知のウイルスには対応できるが、誤った結果を返すことがあるらしい。

PCのハイキョ方法

記憶装置には様々なデータがあったとして、初期化を行っただけではデータが復元される可能性があります。

ディスクにビット単位でデータが保管されているため、ディスク自体になにかしらアクションをとる必要があります。

全領域にビット列を上書きしたり、外的要因で物理的に破壊するなど、元のデータにアクセスしないようにする必要があります。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?