情報セキュリティ
2023-11-03 (金) 14:50:54
情報セキュリティとは †
情報セキュリティの特性 †
CIA †
CIA以外の付加的な特性 †
情報セキュリティの分類 †
- 物理的セキュリティ
- 論理的セキュリティ
- システム的セキュリティ
- 管理的セキュリティ
- 人的セキュリティ
情報セキュリティの管理 †
情報セキュリティポリシ †
- 方針や基準の明確化
- 情報セキュリティ基本方針
- 情報セキュリティ対策基準
- 情報セキュリティ対策実施手順
- リスクアセスメントの結果を元に策定する
- リスクに応じたセキュリティ対策を設ける
- 目標とするセキュリティレベルの明確化
情報セキュリティ管理体制 †
- CISO (最高情報セキュリティ責任者)
- 情報セキュリティ委員会
- 委員長:CISO
- 委員:各部門の責任者
- 情報セキュリティ委員会事務局
- 情報セキュリティ推進担当者
- 情報管理者
- 情報システム管理者
- 監査担当
- CSIRT
情報セキュリティ対策 †
対策の機能 †
- 抑止・抑制
- 予防・防止
- 検知・追跡
- 回復
対策の分類 †
根本的対策 †
- 脆弱性を作り込まない
保険的対策 †
- 攻撃による影響を軽減する
- 攻撃される可能性を低減する(ヒントを与えない)
- 脆弱性がつかれる可能性を低減する(サニタイズ)
- 被害範囲を最小化する(アクセス制御)
- 被害を早期に知る(検知・通知)
攻撃 (サイバー攻撃) †
攻撃の分類 †
- 能動的攻撃
- 攻撃者が自ら攻撃すること。
- 受動的攻撃
- 攻撃相手に対して罠を仕掛け、ウェブサイトの閲覧などにより攻撃が行われること。
能動的攻撃 †
- インジェクション系の攻撃
受動的攻撃 †
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリ(XSRF)
- XSIO
- セッション・ハイジャック
その他 †
脆弱性 †
- 対策:シェルを利用できる言語を使わない(Perlなど)
被害 †
情報漏えい †
- 「情報漏洩」参照
関連サイト †
- 情報セキュリティ白書 (IPA)
https://www.ipa.go.jp/security/publications/hakusyo/2019.html
https://www.ipa.go.jp/security/publications/hakusyo/2020.html
- 中小企業の情報セキュリティ対策ガイドライン(IPA)
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
- 情報セキュリティ10大脅威(IPA)
https://www.ipa.go.jp/security/vuln/10threats2018.html
https://www.ipa.go.jp/security/vuln/10threats2019.html
https://www.ipa.go.jp/security/vuln/10threats2020.html
https://www.ipa.go.jp/security/vuln/10threats2021.html
https://www.ipa.go.jp/security/vuln/10threats2022.html
- 情報セキュリティサービス基準適合サービスリスト(IPA)
https://www.ipa.go.jp/security/it-service/service_list.html
- 2018年 情報セキュリティインシデントに関する調査報告書【速報版】(JNSA)
https://www.jnsa.org/result/incident/2018.html
- 教育情報セキュリティポリシーに関するガイドライン -文科省
- 小さな中小企業とNPO向け情報セキュリティハンドブック - NISC
https://www.nisc.go.jp/security-site/blue_handbook/index.html
- 情報セキュリティサービス基準 -経済産業省
https://www.meti.go.jp/policy/netsecurity/shinsatouroku/touroku.html