どうもこんにちは。2023年4月から新卒でSIer上場企業で働いております、sirroと申します。
昨年10月にデータベーススペシャリスト試験に合格し、今年は10月に情報処理安全確保支援士試験の合格を目指しています。
というわけで本記事では、情報処理安全確保支援士試験対策として出題範囲に必要な知識についてまとめていきます。
今回は「情報セキュリティ」に絞って執筆いたしました。
本記事の内容については、こちらの参考書を基に記載しておりますので、当参考書も是非ご購入して学習の効率を高めてください。
1.情報セキュリティ
情報セキュリティとは
・・・コンピュータ内のデータや顧客情報や技術情報など、情報に関する安全対策。人的、技術的、物理的な対策が必要。
情報セキュリティの定義
・・・情報の機密性、完全性、可用性を維持すること。
1 . 機密性・・ 認可されていない個人、エンティティまたはプロセスに対し、情報を使用させず、開示しない特性。
2 . 完全性・・ 正確さ、完全さの特性。
3 . 可用性・・ 認可されたエンティティが要求した時に、アクセスおよび使用が可能である特性。
下記4つの特性も情報セキュリティの要素。
4 . 真正性・・ エンティティは、それが主張通りであることを確実にする特性。
5 . 責任追跡性・・ あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性。
6 . 否認防止・・ 主張された事象又は処置の発生、およびそれを引き起こしたエンティティを証明する能力。
7 . 信頼性・・ 意図する行動と結果とが一貫しているという特性。
情報セキュリティ対策の考え方
1 . 技術的対策・・暗号化、認証、アクセス制御など、技術による対策。
2 . 人的対策・・教育、訓練、契約などによって人に対して行う対策。
3 . 物理的対策・・建物や設備などを対象とした物理的な対策。
情報セキュリティ対策の方法
1.予防・・セキュリティ事故が起こらないようあらかじめ対策すること。
2.防止・防御・・脅威が発生してもセキュリティ事故に繋がらないようにすること。
3.検知・追跡・・セキュリティ事故が起こったらすぐに気づけるようにすること。
4.回復・・セキュリティ事故が発生したら迅速に対応できるようにしておくこと。
情報セキュリティで守るもの
・・情報資産。守る優先度を考えるために、脅威、脆弱性、リスクを洗い出す。
脅威・・システムや組織に損害を与える可能性がある潜在的なインシデント。人為的なもの(盗聴、改竄、プログラムのバグ)と環境的なもの(地震、落雷)に分類される。
脆弱性・・脅威がつけ込むことができる資産がもつ弱点。
リスク・・ある脅威が脆弱性を利用して損害を与える可能性。情報資産の価値✖脅威の大きさ✖脆弱性の度合い で大きさを算出できる。
不正のメカニズム
・・不正のトライアングル理論では、人が不正行為を実行するに至るまでには、次の3つが揃う必要があると考えられている。
- 機会・・不正行為の実行が可能、容易となる環境のこと。
- 動機・・不正行為を行うための事情のこと。
- 正当化・・不正行為を行うための良心の呵責を乗り越える理由のこと。
攻撃者の種類
1.スクリプトキディ・・インターネット上で公開されている簡単なクラッキングツールを利用して不正アクセスを試みる攻撃者。
2.ボットハーダー・・ボットを統制してボットネットとして利用することでサイバー攻撃などを実行する攻撃者。
3.内部関係者・・組織の内部情報にアクセスできる権限を不正に利用して情報を持ち出したり改竄したりする攻撃者。
攻撃の動機
1.金銭奪取・・金銭的にに不当な利益を得ることを目的に行われる。
2.ハクティビズム・・政治的・社会的な思想に基づきハッキングを行う。
3.サイバーテロリズム・・ネットワークを対象に行われるテロリズム。
攻撃の分析モデル
・・サイバー攻撃の段階を説明したモデルであるサイバーキルチェーンがある。
1.偵察・・組織や人物を調査し、対象組織に関する情報を取得。
2.武器化・・エクスプロイトやマルウェアを作成。
3.デリバリ・・なりすましメールを送付する。等
4.エクスプロイト・・ユーザにマルウェア添付ファイルを実行させる。等
5.インストール・・エクスプロイトの成功により、標的がマルウェアに感染する。
6.C&C・・マルウェアとC&Cサーバと通信させて感染PCを遠隔操作し、追加のマルウェアやツールなどをダウンロードさせることで、感染を拡大、内部情報を探索する。
7.目的の実行・・探し出した内部情報を加工した後、情報資産を持ち出す。
2.情報セキュリティ対策の制度・仕組み
ISAC
・・同じ業界の民間事業者同士でセキュリティに関する情報を共有し、サイバー攻撃への防御力を高めるための組織。
CSIRT
・・セキュリティ対策のためにコンピュータやネットワークを監視し、問題が発生した際にはその原因の解析や調査を行う組織。
インシデントハンドリング
・・・インシデント発生時から解決までの処理を行う活動。以下の手順で行う。
1.検知/連絡受付・・システムの異常検知や、外部組織、組織内からの通知によってインシデントを発見。
2.トリアージ・・インシデント対応の優先順位づけを行う。
3.インシデントレスポンス・・CSIRTが対応すべきと判断したインシデントに適切に対応。
OWASP
・・Webアプリケーションのセキュリティに対しての研究やガイドラインの作成、脆弱性診断ツールの開発などを行う非営利機関。
JVN
・・日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供する脆弱性対策情報ポータルサイト。
内閣サイバーセキュリティセンター(NISC)
・・サイバーセキュリティ戦略の立案と実施の推進を行う。
CRYPTREC
・・電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法や運用法を調査・検討するプロジェクト。CRYPTREC暗号リストを公開しており、以下の3つがある。
1.電子政府推奨暗号リスト・・利用を推奨するもののリスト。
2.推奨暗号候補リスト・・今後電子政府推奨暗号リストに掲載される可能性のある暗号技術のリスト。
3.運用監視暗号リスト・・推奨すべきでなくなった暗号技術のうち、互換性維持のために継続利用を容認するもののリスト。
J-CSIP(サイバー情報共有イニシアティブ)
・・IPAが経済産業省の協力を得て、重要インフラで利用される機器の製造業者を中心に情報共有と早急対応の場として発足させた取り組み。
サイバー・フィジカル・セキュリティ対策フレームワーク
・・産業に求められるセキュリティ対策の全体像を整理したフレームワーク。
NOTICE
・・サイバー攻撃に悪用される恐れのある機器の調査および当該機器の利用者への注意喚起を行う取り組み。
NICTER
・・無差別型サイバー攻撃の大局的な動向を把握することを目的とした観測、分析システム。
ISMS適合性評価制度
・・企業のISMSがJIS Q27001に準拠していることを認定する評価制度。
CSMS適合性評価制度
・・重要なインフラを制御するシステムを守るために策定された、セキュリティマネジメントの認証基準。制御システムのみが監視対象。
ISO/IEC 15408
・・IT関連製品や情報システムのセキュリティレベルを評価するための国際規格。CC(コモンクライテリア)とも呼ばれる。
JISEC
・・IT関連製品のセキュリティ機能の適切性・確実性をISO/IEC 15408に基づいて評価し、認証する制度。
JCMVP
・・暗号モジュールが、セキュリティ機能や内部の重要情報を適切に保護しているか評価、認証する。
PCI DSS
・・クレジットカード業界におけるセキュリティ標準。
SCAP
・・NISTが開発した、情報セキュリティ対策の自動化と標準化を目指した技術仕様。
CWE
・・ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための共通基準。
脆弱性検査
・・以下のようなものがある。
1.ぺネトレーションテスト・・システムに実際に攻撃して侵入を試みることで、脆弱性検査を行う。
2.ポートスキャナ・・Webサーバで稼働しているサービスを列挙して、不要なサービスが稼働していないことを確認するツール。
3.ファジング・・ファズと呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する。
SECURITY ACTION
・・中小企業が、"中小企業の情報セキュリティ対策ガイドライン"に沿って情報セキュリティ対策に取り組むことを自己宣言する制度。
以上となります。
次の記事もお楽しみに!