🦔
情報処理安全確保支援士の資格取得のための勉強ログ【1.1 情報セキュリティ管理】
はじめに
ボク個人がただただ本から学んだことをアウトプットしていくだけの記事です。
間違ったことをアウトプットしていたら教えていただけると幸いです。
また、逆にこの記事では、正しいことを変えていないかもしれないのでたまたま見かけた方は鵜呑みにしないでください笑
勉強に使っている本
1 情報セキュリティとは
まずは、「情報セキュリティ管理」の管理対象である「情報セキュリティ」についての概要を理解する。
そもそも、情報セキュリティってなに?
→ 情報の機密性・完全性・可用性を維持する行為そのもの
では、情報セキュリティ管理は?
→ 情報の機密性・完全性・可用性を維持する行為そのものを管理するということ
3大要素
-
機密性
- 権限ある者のみが、情報にアクセスできること
-
完全性
- 欠如しておらず、改ざんもされていない正確な情報であること
-
可用性
- 権限ある者が、アクセスしたいときにいつでもアクセスできること
それぞの英語名の頭文字をとって、CIA(情報セキュリティの3大要素)と呼ぶらしい。
その他にも、JIS Q 27000では、いくつかの要素が定義に含まれることもあるというふうに言っている。
一応以下にまとめておく。
-
真正性
- 情報の利用者が主張するように、本物であること
- 完全性との違いが分かりづらいが、視点が違うっぽい。完全性は情報そのものが正確なものかどうかで、真正性は利用者や存在するすべてのエンティがなりすましではない本物であるかどうかの特性。
- 情報の利用者が主張するように、本物であること
-
責任追跡性
- 情報に対して、誰がいつどのように利用したのかが追跡できること
-
否認防止
- あとから情報に対して決定した事項を否認することができないこと
-
信頼性
- 情報に対する動作が意図したもので、正確に動作すること
- これも少し分かりづらいが、情報を取り巻くすべての操作において想定外の動作が発生して他の特性に影響しないような特性。と理解した。
- 情報に対する動作が意図したもので、正確に動作すること
2 情報セキュリティの基本用語
情報セキュリティを取り巻く一般的な用語について確認。大事そうなところだけ以下にまとめる。
- 情報セキュリティリスク: 情報資産を脅かす可能性のあるモノコト。まだ発生はしていない。
- 情報セキュリティインシデント: 情報セキュリティリスクが実際に発生したモノコト。もう発生はしている。
- 脅威: 情報セキュリティインシデントの原因となる事象。
- 脆弱性: 脅威が漬け込むことができる、弱点。
3 情報セキュリティに関する活動組織・機関
情報セキュリティに対して、規格を決めていたり、ルールを決めてくれたりしている、ありがたい組織のうち、特に重要と思われるものを以下にまとめる。
-
JPCERT/CC(JPCERTコーディネーションセンター)
- 国内で実際に発生したインシデントをまとめて発信したり、実際に発生したインシデントに対しての対応のアドバイスなどを行ってくれる組織。名前複雑だけど、めさめさありがたい。
-
J-CSIP(サイバー情報共有イニシアティブ)
- IPAが中心となって立ち上げたセキュリティに関する情報の連携体制。インフラ系のシステム会社などが参画して、お互いに情報を共有しあっているらしい。
-
NISC(National center of Incident readiness and Strategy for Cybersecurity = 内閣サイバーセキュリティセンター)
- サイバーセキュリティ基本法に基づいて、内閣官房に作られた組織。情報セキュリティに対する方針そのものをいい感じに調整したりすることを頑張ってくれているらしい。
-
CRYPTREC
- 電子政府推奨暗号の安全性評価や、運用のための調査・研究を行ってくれいている組織らしい。
- 電子政府推奨暗号があんまりよく理解できていないが、大方、政府等の公共電子サービスで使用されている推奨暗号が問題ないかを調べてくれている機関と認識した。
- 電子政府推奨暗号の安全性評価や、運用のための調査・研究を行ってくれいている組織らしい。
-
JVN(Japan Vulnerability Notes)
- JPCERT/CCとIPAが協力して運用している、国内のセキュリティインシデントに関するポータルサイト。
4 情報セキュリティに関する基準・規格
実際に定義されている、情報セキュリティに関するキカクのうち重要そうと思われるものについて以下でまとめる。
-
JIS Q 27001
- 情報セキュリティマネジメントシステムに関する要求事項についての規定。
- JIS Q 27000は、情報セキュリティマネジメントシステムに関する用語の定義についての規定。
- 情報セキュリティマネジメントシステムに関する要求事項についての規定。
-
ISO/IEC 15408
- 情報技術を利用する、ハードウェア・ソフトウェア・システム全体を評価するための規定。この規定を活用して、評価し承認する国内の制度として、ITセキュリティ評価及び認証制度(JISEC)が存在する
-
PCI DSS
- クレジットカードの情報セキュリティに関する国際統一基準。
- Payment Card Industry Data Security Standard の頭文字。
- クレジットカードの情報セキュリティに関する国際統一基準。
-
FIPS 140-2
- 暗号モジュールに求められるセキュリティ要件について、NISTが定めた基準。
5 情報セキュリティに関する法律
法律は大事そうだからちゃんとまとめる。
-
サイバーセキュリティ基本法
- サイバーセキュリティ戦略や基本的施策の策定、サイバーセキュリティ戦略本部の設置などを定めている法律。
-
不正アクセス禁止法
- ネットワークを利用して、アクセスに対して制御が行われているシステムに不正にアクセスしたり、それを助長する行為を禁止する法律
-
個人情報保護法
- 個人情報を収集する事業者が、収集と利用の際の義務などについて定めている法律。具体的には、個人情報を収集する際の目的の明示、用途には利用していけないこと、情報漏えいに対する安全管理措置をしなくてはいないことなどを定めている。
-
刑法
- 電子計算機損壊等業務妨害罪
- 企業が運営するウェブページの内容を改ざんする
- 電子計算機使用詐欺罪
- オンラインバンキングで虚偽の情報を与えて、不正送金を行う
- 電磁的記録毀棄罪
- ファイルを不正に消去する
- 不正指令電磁的記録に関する罪
- 正当な目的がなく、ウイルスを作成、配布する
- 電子計算機損壊等業務妨害罪
-
著作権法
- 開発業務における職務上の著作物は特段の定めがない限り、法人に権利が帰属する。
- 開発した人(または組織)に権利が帰属するということ。
- 請負契約による委託開発では、契約に定めのない限り開発物の著作権は受託側に帰属する。
- 契約書に記述が無いと、開発された成果物そのものは100%受託側に帰属する。発注者は利用権しか得られないらしい。
- 開発業務における職務上の著作物は特段の定めがない限り、法人に権利が帰属する。
-
不正競争防止法
- 営業秘密(秘密管理性・有用性・非公知性)を保護対象として、不正取得や不正開示などの不正競争行為を禁止する法律。
6 脆弱性評価指標
実際に発見された脆弱性について、採番したり、レベリングしたりする指標。有名なものをいかにまとめる。
-
CWE(Common Weakness Enumeration)
- ソフトウェアに関する脆弱性について、種類を分類するための番号
- 例)
- CWE-79:クロスサイトスクリプティング
- CWE-89:SQLインジェクション
- 例)
- ソフトウェアに関する脆弱性について、種類を分類するための番号
-
CVE(Common Vulnerabilities Exposures)
- 製品に含まれる脆弱性を識別するための識別子
-
CVSS(Common Vulnerability Scoring System)
- 情報システムの脆弱性の深刻度を評価する評価指標
Discussion