情報セキュリティマネジメント試験の合格に向けたチートシート、短時間で復習できる重要ポイント集です。
他のキーワードとの関係性が重要な事項についてまとめています。
単発で覚えるべき略語/カタカナ語などの用語集はこちらをご覧ください:
暗号と認証
共通鍵/公開鍵
共通鍵暗号方式 | 公開鍵暗号方式 | |
---|---|---|
代表的な暗号技術 | AES | RSA |
処理速度 | 速い | 遅い |
鍵の数 | 多い n(n-1)/2 | 少ない 2n |
鍵の配布 | 電子メール/電話/手紙などで配布し、配布が手間になる | PGP/PKIなどを利用して配布は容易になる |
特徴 | 手軽、少人数の利用に向く | 環境構築に手間がかかるが多数での利用に向く |
公開鍵暗号方式の利用用途
送信者が[受信者の公開鍵]で暗号化し、受信者が[受信者の秘密鍵]で復号する。
→情報の暗号化
暗号化が防ぐのは、第三者による復号。
→正規の受信者しか復号できない[受信者の秘密鍵]で復号する
送信者が[送信者の秘密鍵]で暗号化し、受信者が[送信者の公開鍵]で復号する。
→ディジタル署名
ディジタル署名が防ぐのは第三者によるなりすまし
→正規の送信者しか暗号化できない[送信者の秘密鍵]で暗号化する
ハイブリッド暗号
平文を共通鍵で暗号化し、その共通鍵を公開鍵暗号方式で暗号化する。
平文すべてを公開鍵で暗号化するのではなく共通鍵だけを公開鍵暗号化することで、処理速度の遅い公開鍵の内容を減らし、処理速度の速い共通鍵で平文を復号する。
利用者認証
認証方式 | 長所 | 短所 | 例 |
---|---|---|---|
知識認証 | 安価に導入できる | 忘れる可能性がある。盗まれて内容を公開されたらそれを知った人は誰でもなりすましできる。 | パスワード PIN |
所有物認証 | 盗まれても盗んだ人しか認証できない | 貸し借り/複製/紛失の危険性がある | ICカード、IDカード ハードウェアトークン |
生体認証 (バイオメトリクス認証) | 盗難/貸し借り/複製/紛失の心配がない | 認証機器の費用がかかる 本人拒否率/他人受入率をゼロにはできない | 身体的特徴:静脈パターン/虹彩/網膜顔/指紋 行動的特徴:声紋/署名 |
2要素認証:異なる認証方式を2つ組み合わせる方式
2段階認証:同一の認証方式を2つ組み合わせる方式
チャレンジレスポンス認証:
ネットワーク上にパスワードを流さずに、利用者認証を行う方法。チャレンジ(1度しか利用しない乱数)とハッシュ関数で計算したメッセージダイジェスト(レスポンス)を使う。
情報セキュリティ管理
情報セキュリティポリシ
文書構成 | 内容 | 策定者/承認者 | 外部への公開 | 改定頻度 |
---|---|---|---|---|
基本方針 (ポリシ) | なぜ情報セキュリティに取り組むのか →宣言文 | 情報セキュリティ 委員会 | 公開 | 頻繁に改定しない |
対策基準 (スタンダード) | 何を実施するか →ルール/規定 | 非公開 | 数年ごと | |
実施手順 (プロシージャ) | どのように実施するか? →マニュアル文書/利用手順書 | 情報システムごと 部門ごと | ほぼ毎年 |
リスクマネジメント
リスクマネジメント | 組織のリスクを分析/評価し、対策を打つ一連の取り組み |
┗リスクアセスメント | リスクの有無/被害の大きさ/発生可能性/許容範囲内かを分析する |
┗リスク分析 | リスクを特定し、リスクの大きさを決める |
┗リスク特定 | リスクを発見する |
┗リスク算定 | リスクの結果の大きさと起こりやすさを決める [リスクレベル=情報資産の価値 × 脅威 × 脆弱性] |
┗リスク評価 | リスク分析の結果をリスク基準と照らし合わせる 機密性/完全性/可用性の観点からリスク基準を設定 |
┗リスク対応 | リスクに対して対策を打つ |
┗リスク回避 | リスク自体をなくす |
┗リスク低減 | リスクの発生率や被害を低下させる |
┗リスク共有 | リスクを他者と分割する リスク移転:外部委託/保険 リスク分散:データを県各地に分散して保管するなど |
┗リスク保有 | リスクを対策しない |
┗リスク受容 | リスク対策市内と組織で意思決定する |
┗リスクコミュニケーション | 情報提供のために関係者と対話する |
情報セキュリティ対策
脅威
人的脅威 | 人によって起きる脅威 |
技術的脅威 | 技術を使って起きる脅威 |
物理的脅威 | 直接的に情報資産を破壊することによって起きる脅威 |
メンテナンスなどによりシステムが利用できなくなるのは脅威ではない。
人的セキュリティ対策
不正のトライアングル:機会/動機/正当化の3つの要因がそろった時に内部不正が発生する
技術的セキュリティ対策
電子メールのセキュリティ
送信側の対策:送信者認証
なりすましや悪用により第三者通計や迷惑メール送信の踏み台の被害にあう恐れ
SMTP-AUTH | SMTP(Simple Mail Transfer Protocol)に送信者認証機能を追加した方式 |
---|---|
POP before SMTP | SMTPによる送信の前にPOP3(Post Office Protocol ver3)による利用者認証を行い、成功した場合だけSMTPによるメール送信を許可する |
OP25B (Outbound Port 25 Blocking) | ISPの利用者に外部のメールサーバー経由でのメール送信を挿せないようにする方式 |
受信者側の対策:送信ドメイン認証
IPアドレスやディジタル署名を使って偽の送信元のメールサーバーからのメールを受信しないようにする。
SPF (Sender Policy Framework) | 送信元のドメイン情報と、メールサーバーのIPアドレスから、そのドメインが信頼できるかを確認する |
---|---|
DKIM (DomainKeys Identified Mail) | メールに添付されたディジタル署名により送信元のメールサーバを信頼できるかを確認する |
情報セキュリティ製品
ファイアウォール・IDS/IPS・WAFの違い
ファイアウォール | 通信データの内容ではなく、ヘッダ部の情報をもとに不正アクセスを制限する。 正規の通信を使ったDoS攻撃、スクリプト攻撃を防げない |
IDS/IPS | ヘッダ部の情報だけでなく、通信データの内容も監視して攻撃を防ぐ。 IDS: Intrusion Detection System(侵入検知システム) IPS: Intrusion Prevention System(侵入防止システム) |
WAF | 通信データの内容からWebアプリケーションへの攻撃に特化して防御する。 SQLインジェクションなどのスクリプト攻撃を防ぐ。 |
フォールスポジティブ:Positive(陽性/異常)をFalse(間違える)
→正常なのに異常と検知すること。誤検知
フォールスネガティブ:Negative(陰性/正常)をFalse(間違える)
→異常なのに正常とすること。検知漏れ
セキュリティ関連法規
知的財産権
権利名称 | 保護対象 | 備考 | 法律 |
---|---|---|---|
知的財産権 | 人間の知的活動から生じる創作物に対する財産権 | ー | |
┗著作権 | 創作された表現物 保護期間:著作者の死後70年 | 対象 :プログラム・データベース 対象外:プログラム言語・アルゴリズム・規約・統計情報 出願がなくても創作された段階で権利が発生 | 著作権法 |
┗著作者人格権 | 著作者の利益/名誉を侵害する著作物利用の禁止 | ||
┗著作財産権 | 著作物を公開することで得られる財産 | ||
┗産業財産権 | 特許権/実用新案権/意匠権/商標権の総称 | 出願しなければ権利が発生しない | ー |
┗特許権 | 自然法則を利用した捜索で高度な発明 保護期間:20年 | 特許法 | |
┗実用新案権 | 発明自体ではなく、革新的なアイデア | 実用新案法 | |
┗意匠権 | 製品の価値を高める形状やデザイン | 意匠法 | |
┗商標権 | 商品の名称やロゴマーク | 商標法 | |
┗営業秘密 | 技術上営業上のノウハウやアイデア 保護期間:半永久的 | 出願がなくても創作された段階で権利が発生 営業秘密の要件: ・秘密管理性: 客観的に秘密として管理されている ・有用性: 事業活動に有用である ・非公知性: 一般に知られていない容易に知ることができない | 不正競争防止法 |
労働関連法規
派遣先/出向先による指揮命令 | 完成責任/契約不適合責任 | 利用目的 | その他 | |
---|---|---|---|---|
派遣契約 | 可 | なし | 労働力の補完 | 原則3年を超える契約はNG |
請負契約 | 不可 | あり | 仕事を完成させる | |
準委任契約 | 不可 | なし | 知恵やノウハウを借りる | 契約不適合責任は負わないが善管注意義務を負う |
出向契約 | 可 | なし | 人材育成/雇用調整 |
テクノロジ系
フォールトアボイダンス
fault + avoidance(回避): 故障しないようにすること
フォールトトレラント
fault + tolerant(抵抗力のある):「故障しないように」ではなく「故障しても大丈夫」にすること
フェールセーフ: 故障時に安全な形で故障すること
フェールソフト: 故障時にあえて一部を切り捨て残りで稼働を継続し、システムの全停止を避けること
フールプルーフ:誤操作しても致命的な結果にしないこと
マネジメント系
内部統制:ミスや不正を行わないように、組織内部のルールや仕事のやり方を整備/実施/証明すること
関連記事
情報セキュリティマネジメント試験の勉強法
語源から覚えるキーワード
参考図書
以下の書籍は、非常にわかりやすく要点絞って書かれていて参考になりました。