![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2023-09-11T14:41:00+09:00","default:k1rou","k1rou") #author("2023-11-03T14:50:54+09:00","default:k1rou","k1rou") *情報セキュリティとは [#ufe5387d] *情報セキュリティの特性 [#u48d0a43] **[[CIA]] [#j6dc407e] -[[機密性]] --Confidentiality -[[完全性]] --Integrity -[[可用性]] --Availability **CIA以外の付加的な特性 [#j57b1fd6] -[[真正性]] --Authenticity -[[責任追跡性]] --Accountability -[[否認防止]] --Non-Repudiation -[[信頼性]] --Reliability *情報セキュリティの分類 [#me1a816e] -[[物理的セキュリティ]] -論理的セキュリティ --システム的セキュリティ --管理的セキュリティ --人的セキュリティ *情報セキュリティの管理 [#jff57205] -[[ISMS]] -[[ISO/IEC 27000]] *情報セキュリティのガバナンス(統治) [#yc3f4c03] -[[ISO/IEC 27014]] *情報セキュリティポリシ [#v79e29b4] -方針や基準の明確化 --情報セキュリティ基本方針 --情報セキュリティ対策基準 --情報セキュリティ対策実施手順 -[[リスクアセスメント]]の結果を元に策定する --リスクに応じたセキュリティ対策を設ける -目標とするセキュリティレベルの明確化 *情報セキュリティ管理体制 [#h390da23] -[[CISO]] (最高情報セキュリティ責任者) -情報セキュリティ委員会 --委員長:[[CISO]] --委員:各部門の責任者 -情報セキュリティ委員会事務局 -情報セキュリティ推進担当者 -情報管理者 -情報システム管理者 -監査担当 -[[CSIRT]] *情報セキュリティ対策 [#ob3f3d7b] **対策の機能 [#ea97ec42] -抑止・抑制 -予防・防止 -検知・追跡 -回復 *対策の分類 [#lc153382] **根本的対策 [#oc7c1449] -[[脆弱性]]を作り込まない **保険的対策 [#u4ec8f05] -攻撃による影響を軽減する --攻撃される可能性を低減する(ヒントを与えない) --脆弱性がつかれる可能性を低減する([[サニタイズ]]) --被害範囲を最小化する(アクセス制御) --被害を早期に知る(検知・通知) *攻撃 ([[サイバー攻撃]]) [#nfd24f78] **攻撃の分類 [#g3f3aa47] -能動的攻撃 --攻撃者が自ら攻撃すること。 -受動的攻撃 --攻撃相手に対して罠を仕掛け、ウェブサイトの閲覧などにより攻撃が行われること。 **能動的攻撃 [#d033b4d4] -[[インジェクション]]系の攻撃 **受動的攻撃 [#kd0af944] -クロスサイトスクリプティング([[XSS]]) -クロスサイトリクエストフォージェリ([[XSRF]]) -[[XSIO]] -[[セッション・ハイジャック]] **その他 [#q1d00994] -[[なりすまし]] -[[不正アクセス]] -サービス停止を狙った攻撃 --[[DoS攻撃]] *脆弱性 [#m04ac08b] -対策:シェルを利用できる言語を使わない([[Perl]]など) *被害 [#pb46a841] **情報漏えい [#u6cd88e7] -「[[情報漏洩]]」参照 *関連サイト [#p0cd85dd] -情報セキュリティ白書 ([[IPA]])~ https://www.ipa.go.jp/security/publications/hakusyo/2019.html ~ https://www.ipa.go.jp/security/publications/hakusyo/2020.html -中小企業の情報セキュリティ対策ガイドライン([[IPA]])~ https://www.ipa.go.jp/security/keihatsu/sme/guideline/ -情報セキュリティ10大脅威([[IPA]])~ https://www.ipa.go.jp/security/vuln/10threats2018.html~ https://www.ipa.go.jp/security/vuln/10threats2019.html~ https://www.ipa.go.jp/security/vuln/10threats2020.html~ https://www.ipa.go.jp/security/vuln/10threats2021.html~ https://www.ipa.go.jp/security/vuln/10threats2022.html -情報セキュリティサービス基準適合サービスリスト([[IPA]])~ https://www.ipa.go.jp/security/it-service/service_list.html -2018年 情報セキュリティインシデントに関する調査報告書【速報版】([[JNSA]])~ https://www.jnsa.org/result/incident/2018.html -教育情報セキュリティポリシーに関するガイドライン -文科省 -小さな中小企業とNPO向け情報セキュリティハンドブック - [[NISC]]~ https://www.nisc.go.jp/security-site/blue_handbook/index.html -情報セキュリティサービス基準 -経済産業省~ https://www.meti.go.jp/policy/netsecurity/shinsatouroku/touroku.html *関連用語 [#lb20b114] -[[ISMAP]] -[[RASIS]] -[[セキュリティ]] -[[サイバーセキュリティ]] -[[情報資産]] -[[情報システム]] -[[非機能要件]] -[[ドベネックの桶]]
