26
8

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

【基本情報】独学マラソン 情報セキュリティ Day 1

Posted at

PdM、PM、POなどの管理者側の業務をしていると、どうしても

「基本的なITの知識不足が足枷になっている‥」

という実感があったので、基本情報処理技術者の勉強をしていこうと思います。

ただの暗記ではなくきちんと使える知識として。

この記事は自分用の備忘録です。

情報セキュリティの3要素


機密性(confidentiality)

  • 許可された利用者のみが必要な情報にアクセス可
    • 誰にでもアクセス権付与しちゃうのは機密性が低い

完全性(integrity)

  • 改竄されず、過不足のない正確なデータが保持されている状態
    • 変更履歴を残さないシステムは完全性が低い
      • 便利だけど編集権限与えすぎるのもよくないということ

可用性(availability)

  • データが必要な時にいつでもアクセス可能で、かつ使用できる状態
    • オンプレだと停電でアウトだから、クラウド化は可用性が高い

情報セキュリティの新しく追加された4要素


信頼性(Reliability)

  • データやシステムが期待通りの結果を出すこと
    • バリデーションが何もないシステムは信頼性が低い
      • エラーハンドリングもきちんとしないといけないな

真正性(Authenticity)

  • データにアクセスする人がアクセス許可された者であること
    • 日本語からは連想しづらいけれど、Authって書いてるからそういうこと
      • 二段階認証、デジタル署名大事

否認防止(non-repudiation)

  • システムで取り扱うデータが後から否定されないように証明をしておくこと
    • 悪い人がハッキングした時に「俺はやってないぜ!」と否認されないようにログを取っておく必要がある
      • とはいえアクセスログって多重VPNでノーログポリシー使われたらもう特定できないとか聞いた気が‥謎

責任追跡性(Accountability)

  • 情報やデータを使った人の動きを追跡すること
    • 否認防止と責任追跡性はつなげて理解した方がよさそう

否認防止と責任追跡性の違い
否認防止 責任追跡性
目的 後から行動を否認されないようにする。「俺じゃないっす!」を封じる。 誰が何を行ったかを記録し、責任を明確にする。「これ、誰がやらかしたん?」を特定できるようにする。

感想

機密性や完全性を重視しつつ、権限与えたりするときは認証をつけたりログを取れる状態にする(否認防止・責任追跡性、真正性)ことが大事なんだなぁ。

参考

26
8
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
26
8

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?