情報処理安全確保支援士の勉強 情報処理セキュリティの概要

一昨日の記録

教科書 28ページ

でフィニッシュ。平日という事もあり、少しだらけてしまったようだ。あと、前日のやった内容をブログ様にまとめる作業が地味に効いていた。苦手な法律関係の分野をまとめたんだから、結構頑張った事にしておこう。

教科書では、情報セキュリティの概念、情報セキュリティの特性、情報セキュリティマネジメントを基礎を学んだ。

■情報セキュリティの概念
情報セキュリティとは、情報の機密性、完全性、可用性を維持する事。
さらに、真正性、責任追跡性、否認防止性、信頼性などの特性を維持する事を含めることもある。

また、情報セキュリティには物理セキュリティと論理セキュリティが存在する。

●物理セキュリティ
耐震性、耐火性、電源設備、回線設備、入退室管理設備など

●論理セキュリティ
論理セキュリティはさらに、システム的セキュリティ、管理的セキュリティ、人的セキュリティに分けられる。

・システムセキュリティ
 アクセス制御、認証、暗号化、マルウェア対策など

・管理的セキュリティ
 情報セキュリティポリシーの策定、ソフトウェアライセンスの管理など

・人的セキュリティ
雇用契約/委託契約におけるセキュリティ対策、教育訓練など



■情報セキュリティの特性
●機密性
情報にアクセスできるものを制限できる特性

●完全性
データの正当性・正確性・網羅性・一貫性を維持する特性

●可用性
必要な時にアクセスできるという特性

●真正性
利用者、プロセス、システム、情報などが主張通りである事を確実にする特性

●責任追跡性
利用者、プロセス、システムなどの動作において、その主体と動作内容を一意に追跡できることを確実にする特性

●否認防止性
ある活動を後になって、否認されないに証明できること

●信頼性
情報システムにおいて、実行した操作や処理の結果に矛盾が無く、期待される結果と整合性がとれている事を確実にする特性


情報セキュリティ対策における基本的な考え方

・対策を行う前にリスクアセスメントを行う
・守るべきものを認識する
・脅威を知る
脆弱性を知り、対処する
・情報セキュリティの方針・基準を明確にし、手順を整備する
・セキュリティと利便性のバランスをとる
・インシデントの未然防止に努めつつ、発生時に備えた対処を確実に行う
・実施した対策の有効性について、第3者のレビューを実施する
・最小限の原則を徹底する
・責務分離の原則を徹底する
・重要な情報を取り扱うシステムとインターネット接続環境を分離する
・フェールセーフを考慮して、システム設計・構築を行う
・システム構成や機能を単純にする
・システムや設備の重要な機能を分散する
・二重・三重の対策を施す
・利用者を一意に識別し、事象の追跡・検証を可能とする


■情報セキュリティマネジメントを基礎
 情報セキュリティマネジメントとは、
明確な方針や規定に基づいて、組織の情報資産の機密性・完全性・可用性などの特性を適切に維持管理する事。


情報セキュリティマネジメントにおけるPDCAサイクル

①Plan
・情報セキュリティマネジメント推進計画の立案
リスクアセスメントの実施
・セキュリティポリシの策定

②Do
・情報セキュリティポリシに基づく対策の実施・運用
・情報セキュリティに関する教育の実施
・システムの正常稼働・不正アクセスの監視

③Check
・情報セキュリティポリシ遵守状況の評価
・情報セキュリティポリシの適切性の監査

④Act
・情報セキュリティポリシの見直し
・問題箇所の是正・改善

ISMSに関する国際規格はISO/IEC27000~27007、TR27008、27010、27011などからなる。

●ISO/IEC27001
ISO/IEC27001(情報セキュリティマネジメントシステム-要求事項)は、
組織がISMSを確立し、実施し、継続的に改善するための要求事項について規定されている。
また、情報セキュリティにおけるリスクアセスメント及びリスク対応を行うための要求事項についても規定される。

●ISO/IEC27002
ISO/IEC27002(情報セキュリティ管理策の実践のための規範)は、組織がISMSを実践するための規範となる文書であり、
14のカテゴリについて、必要な規範が示されている。