情報セキュリティ の履歴(No.5)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 情報セキュリティ へ行く。
  • 1 (2021-11-14 (日) 21:03:32)
  • 2 (2021-11-15 (月) 10:01:30)
  • 3 (2022-07-24 (日) 10:32:13)
  • 4 (2022-09-20 (火) 07:46:12)
  • 5 (2022-12-05 (月) 14:19:29)
  • 6 (2023-09-11 (月) 14:41:00)

---

情報セキュリティとは†

情報セキュリティの特性†

CIA†

• 機密性
  • Confidentiality
• 完全性
  • Integrity
• 可用性
  • Availability

CIA以外の付加的な特性†

• 真正性
  • Authenticity
• 責任追跡性
  • Accountability
• 否認防止
  • Non-Repudiation
• 信頼性
  • Reliability

情報セキュリティの分類†

• 物理的セキュリティ
• 論理的セキュリティ
  • システム的セキュリティ
  • 管理的セキュリティ
  • 人的セキュリティ

情報セキュリティの管理†

• ISMS
• ISO/IEC 27000

情報セキュリティのガバナンス(統治)†

• ISO/IEC 27014

情報セキュリティポリシ†

• 方針や基準の明確化
  • 情報セキュリティ基本方針
  • 情報セキュリティ対策基準
  • 情報セキュリティ対策実施手順

• リスクアセスメントの結果を元に策定する
  • リスクに応じたセキュリティ対策を設ける

• 目標とするセキュリティレベルの明確化

情報セキュリティ管理体制†

• CISO　(最高情報セキュリティ責任者)
• 情報セキュリティ委員会
  • 委員長：CISO
  • 委員：各部門の責任者
• 情報セキュリティ委員会事務局
• 情報セキュリティ推進担当者
• 情報管理者
• 情報システム管理者
• 監査担当
• CSIRT

情報セキュリティ対策†

対策の機能†

• 抑止・抑制
• 予防・防止
• 検知・追跡
• 回復

対策の分類†

根本的対策†

• 脆弱性を作り込まない

保険的対策†

• 攻撃による影響を軽減する
  • 攻撃される可能性を低減する（ヒントを与えない）
  • 脆弱性がつかれる可能性を低減する（サニタイズ）
  • 被害範囲を最小化する（アクセス制御）
  • 被害を早期に知る（検知・通知）

攻撃 (サイバー攻撃)†

攻撃の分類†

• 能動的攻撃
  • 攻撃者が自ら攻撃すること。
• 受動的攻撃
  • 攻撃相手に対して罠を仕掛け、ウェブサイトの閲覧などにより攻撃が行われること。

能動的攻撃†

• インジェクション系の攻撃

受動的攻撃†

• クロスサイトスクリプティング（XSS）
• クロスサイトリクエストフォージェリ（XSRF）
• XSIO
• セッション・ハイジャック

その他†

• なりすまし
• 不正アクセス
• サービス停止を狙った攻撃
  • DoS攻撃

脆弱性†

• 対策：シェルを利用できる言語を使わない（Perlなど）

被害†

情報漏えい†

• 「情報漏洩」参照

関連サイト†

• 情報セキュリティ白書 (IPA)
  https://www.ipa.go.jp/security/publications/hakusyo/2019.html
  https://www.ipa.go.jp/security/publications/hakusyo/2020.html

• 中小企業の情報セキュリティ対策ガイドライン(IPA)
  https://www.ipa.go.jp/security/keihatsu/sme/guideline/

• 情報セキュリティ10大脅威(IPA)
  https://www.ipa.go.jp/security/vuln/10threats2018.html
  https://www.ipa.go.jp/security/vuln/10threats2019.html
  https://www.ipa.go.jp/security/vuln/10threats2020.html
  https://www.ipa.go.jp/security/vuln/10threats2021.html
  https://www.ipa.go.jp/security/vuln/10threats2022.html

• 情報セキュリティサービス基準適合サービスリスト(IPA)
  https://www.ipa.go.jp/security/it-service/service_list.html

• 2018年 情報セキュリティインシデントに関する調査報告書【速報版】(JNSA)
  https://www.jnsa.org/result/incident/2018.html

• 教育情報セキュリティポリシーに関するガイドライン -文科省

• 小さな中小企業とNPO向け情報セキュリティハンドブック - NISC
  https://www.nisc.go.jp/security-site/blue_handbook/index.html

• 情報セキュリティサービス基準 -経済産業省
  https://www.meti.go.jp/policy/netsecurity/shinsatouroku/touroku.html

関連用語†

• ISMAP
• RASIS
• セキュリティ
• サイバーセキュリティ
• 情報資産
• 情報システム
• 非機能要件