資格取得

情報セキュリティマネジメント試験(SG)の重要ポイントまとめ

※当サイトはアフィリエイト広告を利用しています

資格取得

情報セキュリティマネジメント試験の合格に向けたチートシート、短時間で復習できる重要ポイント集です。
他のキーワードとの関係性が重要な事項についてまとめています。

単発で覚えるべき略語/カタカナ語などの用語集はこちらをご覧ください:

暗号と認証

共通鍵/公開鍵

共通鍵暗号方式公開鍵暗号方式
代表的な暗号技術AESRSA
処理速度速い遅い
鍵の数多い n(n-1)/2少ない 2n
鍵の配布電子メール/電話/手紙などで配布し、配布が手間になるPGP/PKIなどを利用して配布は容易になる
特徴手軽、少人数の利用に向く環境構築に手間がかかるが多数での利用に向く

公開鍵暗号方式の利用用途

送信者が[受信者の公開鍵]で暗号化し、受信者が[受信者の秘密鍵]で復号する。
情報の暗号化

暗号化が防ぐのは、第三者による復号
→正規の受信者しか復号できない[受信者の秘密鍵]で復号する

送信者が[送信者の秘密鍵]で暗号化し、受信者が[送信者の公開鍵]で復号する。
→ディジタル署名

ディジタル署名が防ぐのは第三者によるなりすまし
→正規の送信者しか暗号化できない[送信者の秘密鍵]で暗号化する

ハイブリッド暗号

平文を共通鍵で暗号化し、その共通鍵を公開鍵暗号方式で暗号化する。
平文すべてを公開鍵で暗号化するのではなく共通鍵だけを公開鍵暗号化することで、処理速度の遅い公開鍵の内容を減らし、処理速度の速い共通鍵で平文を復号する。

利用者認証

認証方式長所短所
知識認証安価に導入できる忘れる可能性がある。盗まれて内容を公開されたらそれを知った人は誰でもなりすましできる。パスワード
PIN
所有物認証盗まれても盗んだ人しか認証できない貸し借り/複製/紛失の危険性があるICカード、IDカード
ハードウェアトークン
生体認証
(バイオメトリクス認証)
盗難/貸し借り/複製/紛失の心配がない認証機器の費用がかかる
本人拒否率/他人受入率をゼロにはできない
身体的特徴:静脈パターン/虹彩/網膜顔/指紋
行動的特徴:声紋/署名

2要素認証:異なる認証方式を2つ組み合わせる方式
2段階認証:同一の認証方式を2つ組み合わせる方式

チャレンジレスポンス認証
ネットワーク上にパスワードを流さずに、利用者認証を行う方法。チャレンジ(1度しか利用しない乱数)とハッシュ関数で計算したメッセージダイジェスト(レスポンス)を使う。

情報セキュリティ管理

情報セキュリティポリシ

文書構成内容策定者/承認者外部への公開改定頻度
基本方針
(ポリシ)
なぜ情報セキュリティに取り組むのか
宣言文
情報セキュリティ
委員会
公開頻繁に改定しない
対策基準
(スタンダード)
何を実施するか
ルール/規定
非公開数年ごと
実施手順
(プロシージャ)
どのように実施するか?
マニュアル文書/利用手順書
情報システムごと
部門ごと
ほぼ毎年

リスクマネジメント

リスクマネジメント組織のリスクを分析/評価し、対策を打つ一連の取り組み
 ┗リスクアセスメントリスクの有無/被害の大きさ/発生可能性/許容範囲内かを分析する
   ┗リスク分析リスクを特定し、リスクの大きさを決める
     ┗リスク特定リスクを発見する
     ┗リスク算定リスクの結果の大きさと起こりやすさを決める
[リスクレベル=情報資産の価値 × 脅威 × 脆弱性]
   ┗リスク評価リスク分析の結果をリスク基準と照らし合わせる
機密性/完全性/可用性の観点からリスク基準を設定
 ┗リスク対応リスクに対して対策を打つ
   ┗リスク回避リスク自体をなくす
   ┗リスク低減リスクの発生率や被害を低下させる
   ┗リスク共有リスクを他者と分割する
リスク移転:外部委託/保険
リスク分散:データを県各地に分散して保管するなど
   ┗リスク保有リスクを対策しない
 ┗リスク受容リスク対策市内と組織で意思決定する
 ┗リスクコミュニケーション情報提供のために関係者と対話する

情報セキュリティ対策

脅威

人的脅威人によって起きる脅威
技術的脅威技術を使って起きる脅威
物理的脅威直接的に情報資産を破壊することによって起きる脅威

メンテナンスなどによりシステムが利用できなくなるのは脅威ではない。

人的セキュリティ対策

不正のトライアングル:機会/動機/正当化の3つの要因がそろった時に内部不正が発生する

技術的セキュリティ対策

電子メールのセキュリティ

送信側の対策:送信者認証
なりすましや悪用により第三者通計や迷惑メール送信の踏み台の被害にあう恐れ

SMTP-AUTHSMTP(Simple Mail Transfer Protocol)に送信者認証機能を追加した方式
POP before SMTPSMTPによる送信の前にPOP3(Post Office Protocol ver3)による利用者認証を行い、成功した場合だけSMTPによるメール送信を許可する
OP25B
(Outbound Port 25 Blocking)
ISPの利用者に外部のメールサーバー経由でのメール送信を挿せないようにする方式

受信者側の対策:送信ドメイン認証

IPアドレスやディジタル署名を使って偽の送信元のメールサーバーからのメールを受信しないようにする。

SPF
(Sender Policy Framework)
送信元のドメイン情報と、メールサーバーのIPアドレスから、そのドメインが信頼できるかを確認する
DKIM
(DomainKeys Identified Mail)
メールに添付されたディジタル署名により送信元のメールサーバを信頼できるかを確認する

情報セキュリティ製品

ファイアウォール・IDS/IPS・WAFの違い

ファイアウォール通信データの内容ではなく、ヘッダ部の情報をもとに不正アクセスを制限する。
正規の通信を使ったDoS攻撃、スクリプト攻撃を防げない
IDS/IPSヘッダ部の情報だけでなく、通信データの内容も監視して攻撃を防ぐ
IDS: Intrusion Detection System(侵入検知システム)
IPS: Intrusion Prevention System(侵入防止システム)
WAF通信データの内容からWebアプリケーションへの攻撃に特化して防御する。
SQLインジェクションなどのスクリプト攻撃を防ぐ。

フォールスポジティブ:Positive(陽性/異常)をFalse(間違える)
→正常なのに異常と検知すること。誤検知

フォールスネガティブ:Negative(陰性/正常)をFalse(間違える)
→異常なのに正常とすること。検知漏れ

セキュリティ関連法規

知的財産権

権利名称保護対象備考法律
知的財産権人間の知的活動から生じる創作物に対する財産権
┗著作権創作された表現物

保護期間:著作者の死後70年
対象 :プログラム・データベース
対象外:プログラム言語・アルゴリズム・規約・統計情報

出願がなくても創作された段階で権利が発生
著作権法
 ┗著作者人格権著作者の利益/名誉を侵害する著作物利用の禁止
 ┗著作財産権著作物を公開することで得られる財産
┗産業財産権特許権/実用新案権/意匠権/商標権の総称出願しなければ権利が発生しない
 ┗特許権自然法則を利用した捜索で高度な発明

保護期間:20年
特許法
 ┗実用新案権発明自体ではなく、革新的なアイデア実用新案法
  ┗意匠権製品の価値を高める形状やデザイン意匠法
  ┗商標権商品の名称やロゴマーク商標法
┗営業秘密技術上営業上のノウハウやアイデア

保護期間:半永久的
出願がなくても創作された段階で権利が発生

営業秘密の要件
秘密管理性
 客観的に秘密として管理されている
有用性
 事業活動に有用である
非公知性
 一般に知られていない容易に知ることができない
不正競争防止法

労働関連法規

派遣先/出向先による指揮命令完成責任/契約不適合責任利用目的その他
派遣契約なし労働力の補完原則3年を超える契約はNG
請負契約不可あり仕事を完成させる
準委任契約不可なし知恵やノウハウを借りる契約不適合責任は負わないが善管注意義務を負う
出向契約なし人材育成/雇用調整

テクノロジ系

フォールトアボイダンス

fault + avoidance(回避): 故障しないようにすること

フォールトトレラント

fault + tolerant(抵抗力のある):「故障しないように」ではなく「故障しても大丈夫」にすること

フェールセーフ: 故障時に安全な形で故障すること

フェールソフト: 故障時にあえて一部を切り捨て残りで稼働を継続し、システムの全停止を避けること

フールプルーフ誤操作しても致命的な結果にしないこと

マネジメント系

内部統制:ミスや不正を行わないように、組織内部のルールや仕事のやり方を整備/実施/証明すること

関連記事

情報セキュリティマネジメント試験の勉強法

語源から覚えるキーワード

参考図書

以下の書籍は、非常にわかりやすく要点絞って書かれていて参考になりました。

この記事を読んだ人がよく見ています

タイトルとURLをコピーしました