セキュマネ合格講座 informationsecuritymanagement.jp Information Security Management 05 情報セキュリティ組織・機関 1. 日本工業標準調査会(JISC) 工業標準化法に基づいて経済産業省に設置されている審議会。工業標準化全 般に関する調査・審議を行っている。 2. CRYPTREC 電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法 を調査・検討するプロジェクト。総務省及び経済産業省が共同で運営する暗号技 術検討会などで構成される。 3. JPCERT/CC (Japan Computer Emergency Response Team Coordination Center) インターネットを介して発生する情報セキュリティに関連する事象の情報を収集し、 インシデント対応の支援、情報セキュリティ関連情報の発信などを行なう一般社団 法人。特定の政府機関や企業から独立した組織であり、国内の情報セキュリティ ンシデントに関する報告の受付、対応の支援、発生状況の把握、手口の分析、再 発防止策の検討や助言を行っている。 4. NISC(内閣サイバーセキュリティセンター) National center of Incident readiness and Strategy for Cybersecurity) 内閣官房に設置され、我が国をサイバー攻撃から防衛するための司令塔機能を 担う組織。 5. CSMS(Cyber Security Management System)認証 制御システムにおけるセキュリティマネジメントシステムの認証制度。 6. CVSS(Common Vulnerability Scoring System) 共通脆弱性評価システム。情報セキュリティの非営利団体「FIRST」(Forum of Incident Response and Security Teams)が推進する情報システムに内在する脆弱 性に対する汎用的な評価手法。脆弱性の深刻度を同一の基準で定量的に比較 できる。 Copyright © Kanya Ishikawa All Rights Reserved. 1/4 セキュマネ合格講座 informationsecuritymanagement.jp 7. IT セキュリティ評価及び認証制度(JISEC) ISO/IEC 15408 に基づき、IT 関連製品のセキュリティ機能の適切性・確実性を評 価する。 8. ISMS(Information Security Management System) ISO/IEC 27001(JIS Q 27001)の基となった規格。情報セキュリティを保つために、 組織の情報資産の機密性、可用性、完全性を維持管理するためのシステム又は 管理方法のこと。マネジメントシステム全体の中で、事業リスクに対する取り組み方 に基づいて、情報セキュリティの確立、導入、運用、監視、見直し、維持および改 善(PDCA)を担う部分マネジメントシステムには、組織の構造、方針、計画作成活 動、責任、実践、手順、プロセス及び経営資源が含まれる。 9. ISMS 適合性評価制度 JIS Q 27001 に基づき、組織が構築した情報セキュリティマネジメントシステムの適 合性を JIPDEC(日本情報経済社会推進協会)が評価・認定する。 10. CC (Common Criteria) 情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切 に設計され、その設計が正しく実装されていることを評価するための国際標準規 格。1999 年に ISO 標準 (ISO/IEC 15408) 、2000 年に JIS 標準 (JIS X 5070) と して制定されている。 11. ISO 31000 (Risk management-Principles and guidelines、リスクマネジメント - 原則及び指針) 組織体のどのレベル・規模であっても適用可能な「リスクマネジメントの考え方」を 示すリスクマネジメント手法のガイドライン。日本版は JIS Q 31000。 【参考】 リスクの定義が 2002 年版より、「事象の発生確率と事象の結果の組み合わせ」 か ら「目的に対して不確さが与える影響」に変更されている。 12. ISO/IEC 15408 情報技術の製品及びシステムのセキュリティ特性を評価するための標準を定めた 国際規格。 Copyright © Kanya Ishikawa All Rights Reserved. 2/4 セキュマネ合格講座 informationsecuritymanagement.jp 13. プライバシーマーク制度 JIS Q 15001 に基づき、個人情報について適切な保護措置を講じる体制を整備し ている事業者などを認定する。 14. 暗号モジュール試験及び認証制度 (JCMVP、Japan Cryptographic Module Validation Program) 独立行政法人情報処理推進機構(IPA)の認証制度のひとつ。電子政府推奨暗 号リストなどに記載されている暗号化機能、署名機能など承認されたセキュリティ 機能を実装したハードウェアやソフトウェア等から構成される暗号モジュールが、 格納するセキュリティ機能並びに暗号鍵及びパスワード等の重要情報を適切に保 護していることを認証する制度。 15. PCI DSS(Payment Card Industry Data Security Standard) クレジットカード情報保護のためのセキュリティ対策フレームワーク。クレジットカー ド会員データを安全に取り扱う事を目的として策定された、クレジットカード業界の セキュリティ基準。 16. 情報セキュリティガバナンス コーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、 情報セキュリティの観点から企業内に構築・運用すること。実現を促すツールとし て、情報セキュリティ対策ベンチマーク、情報セキュリティ報告書モデル、事業継 続計画策定ガイドラインが提言されている。 17. コンティンジェンシープラン(Contingency Plan) 緊急時対応計画。危機管理計画。計画の策定対象が潜在的に抱える脅威が発 生した場合に、その緊急事態を克服するための理想的な手続きが記述された文 書。リスク発生時の損害の大きさ、リスクが顕在化しる確率などを考慮して策定され る。緊急時対応計画や危機管理計画などとも呼ばれる。 18. BCP(Business Continuity Plan) 事業継続計画。自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合に おいて、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは 早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継 続のための方法、手段などを取り決めておく計画。 Copyright © Kanya Ishikawa All Rights Reserved. 3/4 セキュマネ合格講座 informationsecuritymanagement.jp 19. 耐タンパ性(タンパーレジスタント) IC カードの情報の解読や偽造に対して、物理的に情報を保護するための機能を 示すもの。システムの内部構造の「解析のしにくさ」や「見破られにくさ」という意 味。 20. ペネトレーションテスト 侵入検査。ネットワークに接続されているシステムに実際に侵入を試みることで、 不正侵入に対する脆弱性を検査するテスト。 21. 否認防止(Non-Repudiation) 情報セキュリティマネジメントの付加的な要素のひとつで、行った操作や発生した 事象を後で証明することができる能力のこと。ログの保存、ディジタル署名、タイム スタンプなどの技術がある。 22. タイムスタンプ 日時、日付、時刻などを示す文字列。「信頼できるタイムスタンプ」とは、時刻認証 局(TSA、Time Stamp Authority)が発行する時刻情報を含んだ電子文書を指す。 23. 多要素認証 利用者が知っていたり、持っていたりする情報を、複数の要素を使用して認証を 行う方式。例えば「トークンを持っていて、パスワードを知っている」など。 24. ACL(Access Control List、アクセス制御リスト) アクセス制御を実現するために、リソースに対して、誰からのどの操作を許可する かなど、特権またはパーミッションを列挙したリスト。 下記の練習問題で得点力を鍛えましょう! 翔泳社「情報セキュリティマネジメント要点整理&予想問題集」 情報セキュリティマネジメント試験合格講座 【練習問題】 http:// informationsecuritymanagement.jp/exercise/ Copyright © Kanya Ishikawa All Rights Reserved. 4/4
© Copyright 2024 ExpyDoc