Open2
この一冊で全部わかるセキュリティの基本
mrn【1章】
-
セキュリティを考える際、組織や業務に最も大切なのは何かをまず考える→それから、「機密性・完全性・可用性」の観点で考えることが大切
-
機密性:許可した人がだけが情報にアクセスできる
- 機密性侵害例:個人情報流出事故
- 対策:暗号技術や認証技術
-
完全性:情報が本来想定した状態から改ざんされておらず、信頼に足る状態であること
- 完全性侵害例:Webサイトの改ざん事件
- 原因:Webサイトのコンテンツ管理システムのIDとパスワードが推測される、使用しているソフトウェアの脆弱性を突かれる
-
可用性:情報にアクセスできる人はいつでもアクセスできる
- 可用性侵害例:「DoS/DDoS」をはじめとするサービス妨害攻撃
- 原因;脆弱性を突かれる、設計性能以上の要求を外部から要求される
-
上記の3つに加え、新たに4つの要素が追加された(p.16)
-
セキュリティをの確保を考えすぎて、利便性が著しく低下しないことを考慮しなければいけない
-
個人情報;個人を識別できる情報
-
特定個人情報;個人情報+マイナンバー
mrn【2章】
- 認証と認可の違い
- 認証:あなたが誰なのかをシステムが識別すること
- 認可:あなたが「何をやってよいか」チェックするすること
- 暗号化→復号
- ハッシュ:あるデータに対応する値を求めるための手法の1つで、データが改ざんされていないか確認できる
- ハードニング
- セキュリティの観点で、サーバにパスワードを保存する時に、「パスワードをハッシュ値に変換して保存」しておけば、万が一流出しても悪用されない
- バイオメトリック認証
- p46~