セキュマネ合格講座 informationsecuritymanagement.jp Information Security Management 01 情報セキュリティの概念と構成要素 1. ISMS(Information Security Management System) 組織が適切に情報セキュリティを管理するための仕組みのことで、ISO/IEC 27001(JIS Q 27001)として規定されている。 2. 情報資産の CIA (1) 機密性(Confidentiality) 認められていないプロセスに対して、情報を非公開にできる特性。 (2) 完全性(Integrity) 情報が正確であり、改ざんされたり破壊されたりせず、正当性、正確性、網羅性、一貫性を 維持できる特性。 (3) 可用性(Availability) 認められた利用者が、必要なときに情報にアクセスできる特性。 3. 付加的な特性 (1) 真正性(Authenticity) 利用者、プロセス、システム、情報などが、主張どおりであることを確実する特性。 (2) 責任追跡性(Accountability) 情報資産へ行われたある操作についてユーザと動作が一意に特定でき、過去に遡っても 追跡できる特性。 (3) 否認防止(Non-Repudiation) 行った操作や発生した事象を後になって否認されないように証明することができる特性。 (4) 信頼性(Reliability) 情報システムにおいて実行した処理に欠陥や矛盾がなく、期待した処理が確実に行われ 整合性が取れていることを確実にする特性。 4. 脅威(Threat) 情報資産の機密性、完全性、可用性を脅かす存在。情報システムに悪影響を与えて損失を発 生させる直接の原因。人為的脅威、環境的脅威に分類される。 Copyright © Kanya Ishikawa All Rights Reserved. 1/4 セキュマネ合格講座 informationsecuritymanagement.jp 5. 脆弱性(Vulnerability) 組織体制や情報システム、物理環境、業務プロセスなどに内在し、損失を発生しやすくしたり、 拡大させたりする欠陥や弱点。 情報セキュリティ対策の機能 6. 抑止・抑制 人の意識やモラル・倫理観に対して働きかけて、犯罪や不正行為を思いとどまらせること。 7. 予防・防止 システムの脆弱性を改善したり、セキュリティ対策を施したりすることで、被害を受けにくい堅牢 な状態にすること。 8. 検知・追跡 攻撃や不正を速やかに発見するとともに、原因や影響範囲の特定に必要な情報を取得するこ と。 9. 回復 セキュリティインシデントが発生した場合に修理と復旧後、業務やサービスなどを正常な状態に 戻すための処置とること。 サイバー攻撃 10. マルウェア コンピュータウイルスやスパイウェアなど、不正な動作をするプログラムの総称。 11. ワーム コンピュータウイルスが自分の複製を作って別の場所へ送り込むタイプのマルウェア。 12. フォールト解析攻撃(Fault Analysis Attack) 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する攻撃手法。 13. バージョンロールバック攻撃 通信経路に介在する攻撃者が弱い暗号化通信方式を強制することによって、暗号化通信の内 容を解析する攻撃手法。 Copyright © Kanya Ishikawa All Rights Reserved. 2/4 セキュマネ合格講座 informationsecuritymanagement.jp 14. SQL インジェクション データベースを利用する Web サイトに入力パラメタとして SQL 文の断片を与えることによって、 データベースを改ざんする。防ぐには、入力値から、データベースへの問合せや操作におい て特別な意味をもつ文字を解釈されないよう保護する対策が必要。 15. クロスサイトスクリプティング 複数の Web サイトを利用して攻撃を行う手法で、Web アプリケーションの脆弱性に対する対策 が必要。 16. ゼロデイ攻撃(0 Day Attack) セキュリティの脆弱性に対する対策がとられる日より前に攻撃しようとする攻撃手法。 17. DoS 攻撃 大量のアクセスを集中させるなどの手法でサービスを不能にしようとする攻撃。このうち、EDoS 攻撃(Economic Denial of Service attack)は、クラウド利用企業の経済的な損失を目的に、リソ ースを大量消費させる攻撃のこと。 18. Smurf 攻撃 ネットワークが通じているか否かを確認する ping コマンドを使って送信元を偽装した大量のパ ケットを送ってサービスを不能にしようとする DoS 攻撃のひとつ。 19. APT(Advanced Persistent Threats) 複数の攻撃方法を組合せてソフトウェアの脆弱性を突いて、ソーシャルエンジニアリングにより 特定企業や個人を標的に行われる執拗なサイバー攻撃を指す総称で、「新しいタイプの攻撃」 と呼ばれている。 20. サイドチャネル攻撃(Side Channel Attack) データの通る正規ルート以外(サイドチャネル)から、データを盗みとろうとする攻撃手法。暗号 アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流な ど)やエラーメッセージから、攻撃対象の機密情報を得る。 21. スキャベンジング(Scavenging) 企業などの機密情報を詐取するソーシャルエンジニアリングの手法のひとつ。不用意に捨てら れた機密情報の印刷物をオフィスの紙ゴミから探し出す。 Copyright © Kanya Ishikawa All Rights Reserved. 3/4 セキュマネ合格講座 informationsecuritymanagement.jp 22. MITM(Man in the middle、中間者)攻撃 通信を行う 2 者間に割り込んで、両者が交換する情報を自分のものとすり替えることによって、 気付かれることなく盗聴する。 23. フィッシング 偽の Web サイトに誘導しようとする行為。 24. ブルートフォース攻撃 総当たり攻撃とも呼ばれる攻撃手法。可能性のある組合せをすべて試すタイプの攻撃手法。 25. セッションハイジャック Web ブラウザと Web サーバの間の通信で、認証が成功してセッションが開始されているときに、 Cookie などのセッション情報を盗む不正行為。 26. キーロガー(Key Logger) コンピュータへのキ一入力を全て記録して外部に送信する不正行為。 27. リプレイアタック 盗聴者が、正当な利用者のログインシーケンスをそのまま記録して、サーバに送信する不正行 為。 28. RSA 非常に大きな数の素因数分解が困難なことを利用した公開鍵暗号方式。 29. AES(Advanced Encryption Standard) 共通鍵暗号方式のひとつで、DES(Data Encryption Standard)に代わる新世代標準暗号化方 式。暗号化処理に使うデータの長さである鍵長(Key Length)によって処理が行われる回数が 変化する。 下記の練習問題で得点力を鍛えましょう! 翔泳社「情報セキュリティマネジメント要点整理&予想問題集」 情報セキュリティマネジメント試験合格講座 【練習問題】 http:// informationsecuritymanagement.jp/exercise/ Copyright © Kanya Ishikawa All Rights Reserved. 4/4
© Copyright 2024 ExpyDoc