セキュマネ合格講座 informationsecuritymanagement.jp Information Security Management 02  情報セキュリティ管理 1. 情報セキュリティマネジメント企業・組織（企業、部、課など）における情報セキュリティを運用・管理するための仕組みのこと。 ISMS と呼ばれ、ISO/IEC27001 として標準化されている。 2. 情報セキュリティポリシ経営層が情報セキュリティに取り組む姿勢を示し、情報セキュリティの目標と、とるべき行動の基本方針を宣言し、なにを実施しなければならないかという対策基準を明らかにしたもの。計画（Plan）、導入・運用（Do）、評価（Check）、見直し（Act）をひとつの実施サイクルとし、このサイクルを止めることなく実施していく。 3. 情報セキュリティポリシを作成する目的企業の情報資産を情報セキュリティの脅威から守ることであるが、その導入や運用を通して社員や職員の情報セキュリティに対する意識の向上や、取引先や顧客からの信頼性の向上といった二次的なメリットを得ることもできる。 4. 情報セキュリティポリシの策定担当者、体制、手順をあらかじめ検討しておくということが重要であり、企業や組織の代表者が施行するものであるため、可能な限り、代表者や幹部が策定の作業自体にも関わるような体制を作ることが重要である。 5. JIS Q 27002 情報セキュリティ管理策を実施するための手引であり、業界及び組織に固有の情報セキュリティマネジメントの指針を作成する場合に用いられる日本工業規格。 6. リスクアセスメント損害を与える可能性があるものを探し出したり、危険の大きさの見積りをしたりすること。リスクの大きさは、資産価値、脅威、脆弱性の大きさによって決まる。 7. ベースラインアプローチ目標とすべき水準と現状を比較・分析して評価することで、対策を検討しようとする手法。 Copyright © Kanya Ishikawa All Rights Reserved. 1/4 セキュマネ合格講座 informationsecuritymanagement.jp 8. 不正のトライアングル機会、動機、正当化の三要素のこと。この 3 つが揃ったときに不正が行われやすい。 9. PKI（Public Key Infrastructure、公開鍵基盤）公開鍵暗号技術を用いた認証基盤のことで、公開鍵の信頼性を確保する仕組み。Web 経由でやり取りする情報の暗号化、電子署名、印象など、さまざまなセキュリティを実現できるネットワーク社会の基盤となる技術のこと。 10. CRL（Certificate Revocation List）有効期間内に効力を無くしたディジタル証明書を集めたリスト。 11. OCSP(Online Certificate Status Protocol) 鍵の漏えい、破棄申請の状況をリアルタイムに反映するプロトコル。 12. バイオメトリクス認証生体認証。指の指紋、瞳の虹彩、皮膚の隆線、血管など、身体の特徴によって個人を識別する方法と、サインをするときなど決まった動作・行動をするときの特徴によって個人を識別する方法がある。 13. パスワードリスト攻撃同じ ID とパスワードの組合せを複数のサイトに設定している利用者に対する不正行為。 14. レインボーテーブル（Rainbow Table）想定され得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する攻撃手法。 15. サンドボックス(Sandbox) 子どもが遊ぶ安全な「砂場」という意味で、隔離された作業領域を指す用語。プログラムの外部を呼び出す機能を制限・遮断することで、システム全体に影響を与えないようにした仕組み。 16. ハニーポット（Honey Pot）侵入者をおびき寄せるために本物そっくりのシステムを設置し、侵入者の挙動などを監視する。 17. WAF(Web Application Firewall) Web アプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し、攻撃であると判定した場合には、その通信を遮断する仕組み。 Copyright © Kanya Ishikawa All Rights Reserved. 2/4 セキュマネ合格講座 informationsecuritymanagement.jp 18. ペネトレーションテスト侵入テストとも呼ばれている検査で、ネットワークにおけるセキュリティ上の弱点を探す目的で、実際にシステムを攻撃して侵入できるかどうかを試すテスト方法。  情報セキュリティ組織・機関 19. CSIRT（Computer Security Incident Response Team、シーサート）コンピュータネットワークにおいて、セキュリティに関する問題（インシデント）を監視し、対応にあたる組織の総称。 20. SOC（Security Operation Center）セキュリティに関する異変などを常時管理するための部署やチーム。 21. NISC（National Information Security Center、内閣サイバーセキュリティセンター）内閣官房に設置され、サイバー攻撃から防衛するための司令塔機能を担う組織。 22. CRYPTREC（Cryptography Research and Evaluation Committees、クリプトレック）電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト。総務省と経済産業省が共同で運営する暗号技術検討会などで構成される。 23. JISC（日本工業標準調査会）工業標準化法に基づいて経済産業省に設置されている審議会。工業標準化全般に関する調査・審議を行っている。 24. IT セキュリティ評価及び認証制度 (JISEC、Japan Information Technology Security Evaluation and Certification Scheme) セキュリティ評価基準の国際標準である ISO/IEC 15408 に基づいて、IT 関連製品のセキュリティ機能の適切性･確実性を第三者（評価機関）が評価し、その評価結果を認証機関である IPA が認証する日本の制度。 25. ISMS 適合性評価制度組織の情報セキュリティマネジメントシステムについて評価し認証する JIPDEC（日本情報経済社会推進協会）の制度。 Copyright © Kanya Ishikawa All Rights Reserved. 3/4 セキュマネ合格講座 informationsecuritymanagement.jp 26. JPCERT コーディネーションセンター（JPCERT／CC）特定の政府機関や企業から独立した組織であり、国内のコンピュータセキュリティインシデントに関する報告の受付、対応の支援、発生状況の把握、手口の分析、再発防止の検討や助言を行っている。 27. CVE(Common Vulnerabilities and Exposures、共通脆弱性識別子) JVC(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されている製品に含まれる脆弱性を識別するための識別子。 28. CWE（Common Weakness Enumeration、共通脆弱性タイプ一覧）共通脆弱性タイプ一覧と呼ばれるソフトウェアにおけるセキュリティ上の脆弱性の種類を識別するための共通の基準。 29. CVSS（Common Vulnerability Scoring System、共通脆弱性評価システム）基本評価基準、現状評価基準、環境評価基準の三つの基準で IT 製品のセキュリティ脆弱性の深刻さを評価する共通脆弱性評価システム。 30. PCI DSS（Payment Card Industry Data Security Standard）加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準。 31. クラウドサービス利用のための情報セキュリティマネジメントガイドラインクラウド利用者の視点から JIS Q 27002（実践のための規範）の各管理策を再考し、クラウドコンピューティングを利用する組織において、この規格に基づいた情報セキュリティ対策が円滑に行われることを目的として作成されている。下記の練習問題で得点力を鍛えましょう！  翔泳社「情報セキュリティマネジメント要点整理＆予想問題集」  情報セキュリティマネジメント試験合格講座【練習問題】 http:// informationsecuritymanagement.jp/exercise/ Copyright © Kanya Ishikawa All Rights Reserved. 4/4