Top/情報セキュリティ

情報セキュリティ の変更点

#author("2023-09-11T14:41:00+09:00","default:k1rou","k1rou")
#author("2023-11-03T14:50:54+09:00","default:k1rou","k1rou")
*情報セキュリティとは [#ufe5387d]

*情報セキュリティの特性 [#u48d0a43]
**[[CIA]] [#j6dc407e]
-[[機密性]]
--Confidentiality
-[[完全性]]
--Integrity
-[[可用性]]
--Availability

**CIA以外の付加的な特性 [#j57b1fd6]
-[[真正性]]
--Authenticity
-[[責任追跡性]]
--Accountability
-[[否認防止]]
--Non-Repudiation
-[[信頼性]]
--Reliability

*情報セキュリティの分類 [#me1a816e]
-[[物理的セキュリティ]]
-論理的セキュリティ
--システム的セキュリティ
--管理的セキュリティ
--人的セキュリティ

*情報セキュリティの管理 [#jff57205]
-[[ISMS]]
-[[ISO/IEC 27000]]

*情報セキュリティのガバナンス(統治) [#yc3f4c03]
-[[ISO/IEC 27014]]

*情報セキュリティポリシ [#v79e29b4]
-方針や基準の明確化
--情報セキュリティ基本方針
--情報セキュリティ対策基準
--情報セキュリティ対策実施手順

-[[リスクアセスメント]]の結果を元に策定する
--リスクに応じたセキュリティ対策を設ける

-目標とするセキュリティレベルの明確化

*情報セキュリティ管理体制 [#h390da23]
-[[CISO]] (最高情報セキュリティ責任者)
-情報セキュリティ委員会
--委員長:[[CISO]]
--委員:各部門の責任者
-情報セキュリティ委員会事務局
-情報セキュリティ推進担当者
-情報管理者
-情報システム管理者
-監査担当
-[[CSIRT]]

*情報セキュリティ対策 [#ob3f3d7b]
**対策の機能 [#ea97ec42]
-抑止・抑制
-予防・防止
-検知・追跡
-回復

*対策の分類 [#lc153382]
**根本的対策 [#oc7c1449]
-[[脆弱性]]を作り込まない

**保険的対策 [#u4ec8f05]
-攻撃による影響を軽減する
--攻撃される可能性を低減する(ヒントを与えない)
--脆弱性がつかれる可能性を低減する([[サニタイズ]])
--被害範囲を最小化する(アクセス制御)
--被害を早期に知る(検知・通知)

*攻撃 ([[サイバー攻撃]]) [#nfd24f78]
**攻撃の分類 [#g3f3aa47]
-能動的攻撃
--攻撃者が自ら攻撃すること。
-受動的攻撃
--攻撃相手に対して罠を仕掛け、ウェブサイトの閲覧などにより攻撃が行われること。

**能動的攻撃 [#d033b4d4]
-[[インジェクション]]系の攻撃

**受動的攻撃 [#kd0af944]
-クロスサイトスクリプティング([[XSS]])
-クロスサイトリクエストフォージェリ([[XSRF]])
-[[XSIO]]
-[[セッション・ハイジャック]]

**その他 [#q1d00994]
-[[なりすまし]]
-[[不正アクセス]]
-サービス停止を狙った攻撃
--[[DoS攻撃]]

*脆弱性 [#m04ac08b]
-対策:シェルを利用できる言語を使わない([[Perl]]など)

*被害 [#pb46a841]
**情報漏えい [#u6cd88e7]
-「[[情報漏洩]]」参照

*関連サイト [#p0cd85dd]
-情報セキュリティ白書 ([[IPA]])~
https://www.ipa.go.jp/security/publications/hakusyo/2019.html ~
https://www.ipa.go.jp/security/publications/hakusyo/2020.html

-中小企業の情報セキュリティ対策ガイドライン([[IPA]])~
https://www.ipa.go.jp/security/keihatsu/sme/guideline/

-情報セキュリティ10大脅威([[IPA]])~
https://www.ipa.go.jp/security/vuln/10threats2018.html~
https://www.ipa.go.jp/security/vuln/10threats2019.html~
https://www.ipa.go.jp/security/vuln/10threats2020.html~
https://www.ipa.go.jp/security/vuln/10threats2021.html~
https://www.ipa.go.jp/security/vuln/10threats2022.html

-情報セキュリティサービス基準適合サービスリスト([[IPA]])~
https://www.ipa.go.jp/security/it-service/service_list.html

-2018年 情報セキュリティインシデントに関する調査報告書【速報版】([[JNSA]])~
https://www.jnsa.org/result/incident/2018.html

-教育情報セキュリティポリシーに関するガイドライン -文科省

-小さな中小企業とNPO向け情報セキュリティハンドブック - [[NISC]]~
https://www.nisc.go.jp/security-site/blue_handbook/index.html

-情報セキュリティサービス基準 -経済産業省~
https://www.meti.go.jp/policy/netsecurity/shinsatouroku/touroku.html

*関連用語 [#lb20b114]
-[[ISMAP]]
-[[RASIS]]
-[[セキュリティ]]
-[[サイバーセキュリティ]]
-[[情報資産]]
-[[情報システム]]
-[[非機能要件]]
-[[ドベネックの桶]]