2年目エンジニアの情報処理安全確保支援士対策 〜情報セキュリティマネジメント〜

どうもこんにちは。2023年4月から新卒でSIer上場企業で働いております、sirroと申します。
昨年10月にデータベーススペシャリスト試験に合格し、今年は10月に情報処理安全確保支援士試験の合格を目指しています。

というわけで本記事では、情報処理安全確保支援士試験対策として出題範囲に必要な知識についてまとめていきます。
今回は「情報セキュリティ」に絞って執筆いたしました。

本記事の内容については、こちらの参考書を基に記載しておりますので、当参考書も是非ご購入して学習の効率を高めてください。

1.情報セキュリティマネジメント

情報セキュリティポリシに基づく情報の管理

・・情報セキュリティ対策として、何をどのように守るのか明確にするために、情報の機密性や完全性、可用性を維持していくための組織の方針や行動指針をまとめた情報セキュリティポリシを策定する。

情報セキュリティインシデント

・・情報セキュリティを脅かす事件や事故。

情報セキュリティ事象

・・情報セキュリティインシデントの他に、情報セキュリティに影響を与えるかもしれない状況のこと。

情報セキュリティポリシの基本構成

①情報セキュリティ方針・・情報セキュリティに対する組織の基本的な考え方や方針を示すもので、経営陣によって承認される。目的や対象範囲、管理体制や罰則などが記述。
②情報セキュリティ対策基準・・適切な情報セキュリティレベルを維持・確保するための具体的な遵守事項や基準を定める。

ISO/IEC 27000ファミリー規格

・ISO/IEC 27001:2022 (JIS Q 27001:2014) ・・・組織がISMSを確立、導入、運用、監視、レビュー、維持し、継続的に改善するための要求事項を規定している。
・ISO/IEC 27002:2022 (JIS Q 27002:2014) ・・・情報セキュリティ対策のベストプラクティスとしてさまざまな管理策が記載されている。
・ISO/IEC 27014:2020 ・・・情報セキュリティのガバナンスに関する規格。
・ISO/IEC 27017:2015 (JIS Q 27017:2016) ・・・クラウドサービスの情報セキュリティ管理策の実施に関する規格。

###事業継続計画(BCP)
・・災害や事故などの発生時、目標復旧時点(RPO)以前のデータを復旧し、目標復旧時間(RTO)以内に再開できるようにするために事前に計画を策定する。

2.リスクマネジメント

情報資産台帳

・・情報資産とその機密性や重要性、分類されたグループなどをまとめたもの。情報資産をもれなく記載するだけだなく、変化に応じて更新していく。

リスク

・・まだ起こっていないが、もしそれが発生すれば、情報資産に影響を与える事象や状態。すでに起こった事は問題として処理。

リスクアセスメントのプロセス

①リスク特定・・リスクを発見して認識し、記述する。
②リスク分析・・特定したそれぞれのリスクについて、情報資産に対する脅威と脆弱性を考える。リスクの発生確率を求め、実際にリスクが起こった時の影響の大きさを考える。
③リスク評価・・分析したリスクに対し、どのように対策を行うか判断する。

リスク対応の方法

1.リスクを取るまたは増加させる・・起こりやすさや結果をかえ、リスクを取るまたは増加させる。
2.リスクの回避・・リスクを生じさせる活動を開始または継続しないと決定することによってリスクを回避する。
3.リスクの共有・・一つ以上の他者とリスクを共有する。
4.リスクの保有・・情報に基づいた意思決定によって、リスクを保有することを受け入れる。

3.個人情報保護マネジメント

OECD8原則

・・個人情報保護に関する8原則。
1.収集制限の原則
2.データ内容の原則・・個人情報は、必要な範囲内で、正確で完全で最新でなければならない。
3.目的明確化の原則・・収集目的は、収集時に特定されていなければならない。
4.利用制限の目的
5.安全保護の原則
6.公開の原則・・個人情報の取り扱いについて基本方針を公開する。
7.個人参加の原則・・本人の求めに応じて、回答を行わなければならない。
8.責任の原則

個人情報保護法

オプトアウト・・個人情報などの第三者への提供は原則可能で、提供してほしくない場合は本人が拒否を通知する仕組み。
オプトイン・・個人情報などの第三者への提供は原則不可能で、提供するためには本人の同意を得る必要がある仕組み。

4.法律、標準

コンピュータ犯罪に関する刑法

1.電子計算機損壊等業務妨害罪・・人の業務に使用する電子計算機を破壊するなどして業務を妨害することを処罰する法律。
2.電子計算機使用詐欺罪・・電磁的記録を用いて財産上不法の利益を得る犯罪を処罰する法律。
3.不正指令電磁的記録に関する罪(ウイルス作成罪)・・マルウェアなどの不正な指示を与える電磁的記録の作成及び提供を正当な理由なく故意に行うことを処罰する法律。

FIDO

・・標準規格化されたパスワードに変わる新しい認証技術。
⚫︎FIDO UAF・・生体認証などのシンプルで強固な本人確認手段によりパスワードを使わずに認証を行う。
⚫︎FIDO U2F・・サービスに強力な２番目の認証機を追加することで、既存のパスワードに追加してセキュリティを強化できる。
⚫︎FIDO2・・UAFとU2Fを統合した仕様。ブラウザから直接生体認証機器に認証要求を送ることを可能にしている。

5.監査、内部統制

システム監査の手順

1.システム監査計画の立案・・実施するシステム監査の目的を有効かつ効率的に達成するために、監査手続の内容、時期及び範囲などについて適切な監査計画を立案。
2.システム監査の実施・・予備調査及び本調査を監査手続に従って行う。
3.システム監査結果の報告・・実施した監査についての監査報告書を作成し、監査依頼者に提出。

システム監査技法

・ITF法・・稼働中のシステムにテスト用の架空口座を設置し、システムの動作を検証する。
・コンピュータ支援監査技法・・監査のツールとしてコンピュータを使用する監査技法の総称。

以上。今後も情報処理安全確保支援士について記事執筆予定なので、 Twitter、Qittaフォローお願いします。