Tag Archive


セキュリティ応用知識:情報セキュリティスペシャリスト受験対策 Part.6

現在、『情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2009〉 』 の要点を、ここに書きながら暗記している次第です・・・第3部

やっと午後の対策に入れます、時間もないのではしょりながらサクサク・・・進めるといいなぁ。。

ツꀀ

セキュアプログラミング

興味深い情報が・・・

「過去のセキュアプログラミングに関する出題は、すべてこれらの資料から出題されています」

「IPA セキュア・プログラミング講座」(新版)
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

「IPA ISEC セキュア・プログラミング講座」(旧版)
http://www.ipa.go.jp/security/awareness/vendor/programming/

ぬわんと・・・知りませんでした・・orz

後で目を通すことにします。。

ツꀀ

Perlのopen関数の脆弱性への対策

  • バリデーションチェック
  • sysopen関数の使用

クロスサイトスクリプティングへの対策

サニタイジング処理対象文字

入力値

置換文字

&

&

<

&lt;

>

&gt;

"

&quot;

&#39;

HTMLの特殊文字に対するエスケープ処理ですね。
そういえば、シングルクオートだけ定義された置き換え文字がないのですよね。

SQLインジェクション対策

  • サニタイジング
    • SQL文の特殊文字に対してエスケープ処理を行う。
      (とはいえ、大半がシングルクォートなのですが。。Like演算子等が絡むと説明が面倒ですね。)
  • プリペアドステートメント
    • バインドメカニズムを利用。

バッファオーバーフロー対策

  • strcpy関数など、確保しているメモリエリア(バッファ)の大きさを無視した書き込みが可能な関数を使用せず、代替関数(strcpyの場合strncpyなどがある)を使用する。
  • プログラムの中で、データをメモリエリアに転記する際に、大きさをチェックするようコーディングする。

脆弱性のある関数

関数

セキュアな関数

strcpy

strncpy

strcat

strncat

gets

fgets

sprintf

snprintf

vsprintf

vsnprintf

ツꀀ

CSRF(Cross-Site Request Forgery)対策

  • Cookieとは別の"トークン"を使用
    • hiddenフィールドにトークンを埋め込む等
  • 確定時に入力を要求
    • 再認証(パスワードの再入力)
    • CAPTHA(Completely Automated Public Turing test to tell Computers and Humans Apart)を利用

ツꀀ

ディジタル署名(PKI・SSL)

SSL通信シーケンス

  • "Hello Request"の交換。
    • クライアント側で使用可能な暗号アルゴリズムや圧縮方式を通知する。
    • サーバー側で暗号アルゴリズムや圧縮方式を決定する。
  • サーバーからクライアントへのメッセージ送信。
    • サーバーからディジタル証明書をクライアントへ送る。(Server Certificate)
      • ディジタル証明書がない場合、Diffie-Hellmanの鍵交換方式を使用する事も可能。(Server Key Exchange)]
    • クライアント証明書を送るように要求する設定可能。(Certificate Request)
  • クライアントからサーバーへのメッセージ送信。
    • サーバーから送られてきたデジタル証明書の正当性を確認。
    • サーバーの公開鍵を利用して、クライアント側で作成したプレマスターシークレットをサーバーへ送信。(Client Key Exchange)
    • サーバー側から要求がある場合は、Client Certificateでクライアント証明書をサーバーに送信する。
  • 暗号化通信開始

ツꀀ

時刻認証

ディジタル証明書により作成者の正当性を証明するだけでなく、当該電子データが、確かにその日、その時刻に存在していたことも証明できるようになる。

時刻認証に関する基礎知識

証明内容

項目

証明内容

存在性証明

タイムスタンプ時に、確かに、その電子データが存在していたこと

完全性証明

タイムスタンプ以降に、その電子データが改ざんされていないこと

機関

項目

証明内容

時刻認証局

TSA(TimeStamp Authority)

タイムスタンプを発行したり、その有効性を証明する機関。

時刻配信局

TA(Time Authority)

TSAに正確な時刻を配信する機関。

ツꀀ

時刻認証方式

項目

証明内容

有効期間

電子署名方式

認証対象のドキュメントのハッシュ値と正確な受付時刻にTSAの秘密鍵を使ってディジタル署名を施したTSTタイムスタンプトークンを作成する。
検証には、TSAの公開鍵証明書を利用するだけで良いというメリットがある。

TSAのディジタル署名の有効期間がタイムスタンプの有効期間になる
長期保存には不向き。
ディジタル署名とタイムスタンプの有効期限が切れる前に、新たにタイムスタンプを付与する事で長期保存可能。

アーカイビング方式

ハッシュ値と正確な時刻から作成したトークンをTSAで保存しておき、検証の時にはTSAに都度問い合わせる形で確認する。

TSAが存続する限り有効。
長期保存に向いている。

ツꀀ

ICカード

ICカード内にOSがあり、APを組み込める。

ICカード内で、鍵ペアの生成、秘密鍵の利用を行える。

PIN(Personal Identificateion Number)

ツꀀ

その他の認証技術

  • パスワード認証
  • バイオメトリクス認証
    • 正常認識
      • 本人受入率・・・本人を本人と正しく認識する割合
      • 他人拒否率・・・他人を他人と正しく認識する割合
    • 異常認識
      • 他人受入率・・・他人を本人と認識してしまうエラー割合
      • 本人拒否率・・・本人を他人と認識してしまうエラー割合
  • IEEE802.1x認証

ツꀀ

Webサーバーのセキュリティ

セッション管理

  • クエリストリング
  • hidden
  • Cookieを使ったセッションメカニズム

ツꀀ

電子メールのセキュリティ

SPAMメール対策

  • SMTPの第三者リレーの禁止
  • 送信者認証
    • AUTHコマンド(SMTP-AUTH)を使う
    • POP before SMTP
  • OP25B
  • 送信ドメイン認証

ツꀀ

ファイアウォール・IDS・UTM

IDS(Intrusion Detection System)

  • ホスト型IDS(HIDS)・・・ホストにくる不正アクセスを検知。(ログ情報を解析)
  • ネットワーク型IDS(NIDS)・・・ネットワーク上を流れるパケットより不正アクセスを検知。

IDS検知の仕組み

  • Misuse検知(不正利用検知)
  • Anomaly検知(異常検知)

シグネチャ

  • false positive ・・・ 正常なアクセスを異常と判断しアラームを出す。
  • false negative ・・・ 不正なアクセスを正常と判断しアラームを出す。

ツꀀ

UTM(Unified Threat Management)

統合脅威管理の事。

特にUTMの明確な定義はないが多くのUTM製品が持っている機能をピックアップすると次のような機能がある。

  • ファイアウォール機能
  • VPN機能
  • コンテンツセキュリティ
    • IPS機能
    • アンチウィルス機能
    • メールフィルタリング機能
    • コンテンツフィルタリング機能

ツꀀ

検疫ネットワーク

クライアントパソコンの安全性を検査するために社内LANから隔離されたネットワーク。

認証VLANなどを使って実現する。

ツꀀ

VPN

VPNを実現する技術

技術

レイヤ

備考

PPTP

レイヤ2

主にインターネットVPNで利用。

IPsec

レイヤ3

IPレベルでVPNを実現するためのプロトコル

SSL

レイヤ4以上

SSL-VPNは、各種サーバー群のある本社側にSSL-VPNゲートウェイ装置を設置する方式。

アクセスする側は、Webブラウザさえあれば利用可能。

Javaアプレットなどを利用して実現可能になてきた。

SSH

レイヤ4以上

本社側にSSHサーバーを設置し、クライアント側にSSHクライアントをインストールする。

ポートフォワーディング機能。

VPN方式の比較

方式概要

VPN通信区間

PCユーザー認証方式

プロトコル

IPsec-VPN機能を利用

ルーター間

不要

IP

SSL-VPNソフトを利用

PCとSSLサーバー間

公開鍵証明書を利用

TCP

SSHソフトを利用

PCとSSHサーバー間

公開鍵暗号又はパスワードを利用

SMTP,POP等

ツꀀ

ログ

用途

  • インシデントが発生した後の調査
  • インシデントの検知に利用
  • 内部犯行の抑止効果。

コンピュータフォレンジクス(コンピュータ犯罪の法的な証拠)

ツꀀ

JIS Q 27002:2006で次のポイントを示している

  • 監査ログの取得
  • システム使用状況の監視
  • ログ情報の保護
  • 実務管理者及び運用担当者の作業ログ
  • 障害のログ取得
  • クロックの同期

ログ監査の実施手順

  • 監査目的・監査方針を決める
  • 目的・方針に合ったログ取得対象を決める
  • 監査ログの保存(DB監査を設定し、DB監査を開始する)
  • 監査ログの監視(監査結果をチェックする)

ツꀀ

インシデント対応

インシデント対応の基本的な手順

  1. ネットワークから切断(被害拡大を防止)
  2. スナップショットを保存(後の原因分析および要因特定)

※現場利用者が自分の判断で再インストールしたり、ウィルスを削除することは誤った対応。

現場利用者から連絡を受けた責任者または管理者は、現場利用者に事実確認を指示し、影響範囲を特定する。

そのあと必要に応じて、外部専門家と連携を取りながら原因を追及し普及する。

ツꀀ

物理的セキュリティ対策

一般的な入退室管理の手順

  1. 来訪者の受付:受付で会社名、指名、訪問先部署・担当者、要件等を記入する。
  2. その記入用紙の控えを名札とともに渡される。以降その名札を目につくところに着用する。
  3. 要件が済むと、訪問先の担当者から、受付の控えに印鑑をもらう。
  4. 受付で名札とともに印鑑のある控えを返却。
  5. 何も問題がなければ退出する。

ツꀀ

と、、はしょりながらですが、一通り読み込みは完了しました。

・・・既に0時を回って、試験当日になってしまっていますね・・・演習問題に全く手がついていません・・・orz

後は、考えてもしょうがないので、3年分の積み重ねと今回掘り起こした記憶で、あたって砕ける事にします。

ツꀀ

新試験というお祭りですし、最後まであきらめずにがんばりましょ~

関連する投稿

セキュリティ基礎知識:情報セキュリティスペシャリスト受験対策 Part.5

現在、『情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2009〉 』 の要点を、ここに書きながら暗記している次第です・・・第2部後半

ツꀀ

暗号化

3種類の暗号化方式
ツꀀ

共通鍵暗号方式

公開鍵暗号方式

ハイブリッド方式

特徴

・高速処理が可能
・鍵の管理が複雑
・鍵の配送が難しい

・処理に時間がかかる
・1組の鍵で複数の相手との送受信が可能

・高速処理が可能
・鍵の配送に問題なし
・電子メールの暗号化で利用

代表

DES,Tripe DES,AES,RC4

RSA,楕円曲線暗号

PGP,S/MIME

鍵の数

n(n-1)/2

2nツꀀ

ツꀀ

ツꀀ

ハッシュ関数

一方向性を持った関数。元の値を求める事が事実上不可能。

特徴

  • 一方向性

  • 衝突回避性。異なる値からは同じハッシュ値にならない。
  • 元データの長さに関係なく固定長のデータになる。
  • 暗号化が速い(DESの数百倍)

利用シーン

  • ディジタル署名
  • PPPのCHAP
  • POP3のAPOP
  • SMTPのSMTP-AUTH
  • ワンタイムパスワード(S/KEY)
  • UNIXのOSパスワードファイル
  • ファイル整合性ツール

代表的な関数

  • SHA-1(Secure Hash Algorithm 1)
  • MD5(Message Digest 5)

ツꀀ

ディジタル署名(Digital Signatures)

ディジタル署名により、「なりすまし防止」、「否認の防止」、「改ざんの検知」が可能になる。

送信側

  • 送信したい文書からハッシュ値を求める。> メッセージダイジェスト
  • メッセージダイジェストを、自分の秘密鍵を使って暗号化する > ディジタル署名
  • ディジタル署名を送信したい文書に添付する。

受信側

  • 受信した文書からハッシュ値を求める。 > 受信側で作成したメッセージダイジェスト
  • ディジタル署名を送信側の公開鍵を使って複合化する。 > 送信側で作成したメッセージダイジェスト
  • 受信側で作成したメッセージダイジェストと、送信側で作成したメッセージダイジェストが同じ事を確認。

ツꀀ

PKI(Public Key Infrastructure)

公開鍵暗号化技術を使って、ディジタル署名の正当性を証明するための基盤。

ディジタル署名の技術だけでは、送信側の秘密鍵と公開鍵のペアが、間違いなく本人のものである事を証明できない。
(お~この辺り言葉の定義の違いについて、実はあやふやに理解していました。)

  • CA(Certification Authority:認証局)
    • 信頼のおける第三者機関。
    • ディジタル証明書の登録から発行まで一連の業務を行う。
    • RAとIAの機能を併せ持つ。
  • RA(Registration Authority:登録局)
    • ディジタル証明書の登録申請を受け付けて承認や認可を行う機関。
    • 証明書の有効期限が切れたときの失効についても登録審査の窓口になる。
  • IA(Issuing Authority:発行局)
    • ディジタル証明書の正当性を確認するアプリケーション等が直接やりとりを行う。
    • アプリケーションからの要求に応じてディジタル証明書やCRLの発行を行う。

ツꀀ

X.509

ディジタル証明書の標準として作られたフォーマット。

CRL(Certificate Revocation List)

有効期限切れ以外の理由で執行された証明書の一覧表。(発行済み証明書の撤回)

正確には、「有効期限内にも関わらず、失効しているディジタル証明書の一覧表」との事。

ツꀀ

ディジタル証明書のチェックの流れ

  1. ディジタル証明書を検証
  2. ディジタル証明書内に記載されている、"有効期限"をチェック
  3. その時点でのCRLを入手して、そこに含まれていない事を確認
  4. OCSPレスポンダに失効情報が含まれていないかを確認
  5. ディジタル証明書の正当性を確認

ツꀀ

電子メール

SMTP,POP,IMAP,MIME,BASE64,S/MIMEプロトコルを理解しておく必要あり。

S/MIME

  • 暗号化方式は、ハイブリッド方式
  • メール本文は共通鍵で暗号化
  • 共通鍵をやりとりするのに、公開鍵暗号化方式を利用
  • 暗号化されるのは本文のみで、ヘッダ部分(FROM,TO,SUBJECT等)は暗号化されない

メールヘッダの偽装

ヘッダ

偽装の可能性

Return-path

詐称可能(送信者が自由に任意のアドレス設定可能)

Received

詐称困難

From

詐称可能

To

-

Subject

-

ツꀀ

ファイアウォール

種類

  • パケットフィルタリング型(ルーターと同じ仕組み)
    • ポリシに基づいてIPパケットを通過させるか、させないかを判断
  • ゲートウェイ型(プロキシサーバーと同じ仕組み)
    • サーキットレベルゲートウェイ型
      • トランスポート層で通過パケットを判断
      • パケットフィルタリング型とあまり判断基準が変わらない
    • アプリケーションゲートウェイ型
      • アプリケーションレベルでの制御が可能
        (ftpやhttpの"GET"や"PUT"等のコマンドレベルでのコントロール可能)

ACL(Access Control List)

ファイアウォールの通過ルールの設定を記述したリスト。

ペネトレーションテスト、ペネトレーションアタック

拒否すべきサービスが期待通りに遮断されていることの確認テストや、管理者用ポートへのアクセス制限テストの事。

ファイアウォールで防げない攻撃

  • 高い不可をかけるDoS(Denial Of Service:サービス妨害攻撃)
  • サーバーのセキュリティホールを突いてくる正常なパケット
  • 電子メールに添付されてくるワームなどのウィルス
  • Webで公開されている悪意のあるサイト
  • なりすまし

VPN(Virtual Private Network)

VPNの3機能

機能

備考

暗号化

通信回線上を流れるパケットを暗号化する。

完全性検査

通信途中で改ざんがあたかどうかを検知する。

トンネル化

本来のパケットに新しいヘッダをつけて通信するなどしてカプセル化し、エンドツーエンドで透過的な通信を可能にする。

VPNの種類

種類

備考

LAN間接続VPN

LAN間をVPNで接続する

リモートアクセスVPN

リモートアクセス端末とLANを接続する

インターネットVPN

物理回線にインターネットを利用する

IP-VPN

通信事業者の所有する専用のIP網を利用する

エントリーVPN

FTTHやADSLを利用するベストエフォード型IP-VPN

IPsec(IP security protocol)

IPレベルでVPNを実現するためのプロトコル。

IPv4ではオプションだが、IPv6では標準仕様。

IPsecの設定

設定

備考

通信モード

・トンネルモード
・トランスポートモード

プロトコル

・ESP(Encapsulation Security Payload)
・AH(Authentication Header)

モード

・メインモード
・アグレッシブモード

ツꀀ

無線LAN

自宅で無線LANを使い設定を弄っているとすんなり入ってきますね。

IEEE 802.11シリーズ

規格

周波数帯域

通信速度(最大)

IEEE802.11

2.4GHz帯

2Mビット/秒

IEEE802.11b

2.4GHz帯

11Mビット/秒

IEEE802.11a

5GHz帯

54Mビット/秒

IEEE802.11g

2.4GHz帯

54Mビット/秒

IEEE802.11n

2.4GHz帯/5GHz帯

600Mビット/秒

IEEE802.11nは知りませんでした・・・600Mb/sも速度がでるのですねぇ。

ツꀀ

Wi-Fi Alliance

無線LAN製品の相互接続性試験などを行っている業界団体。

ツꀀ

無線LANのセキュリティ

  • ESSID(またはSSID)の隠ぺい
  • MACアドレスフィルタリング
  • IEEE802.1x認証
  • WEP(Wired Equivalent Privacy)による暗号化
  • WPA,WPA2,IEEE802.11iによる暗号化

ツꀀ

第2部後半は、前半よりも技術よりの話が多くとっつきやすい内容でした。

次は、第3部のセキュリティの応用知識の確認となりますが、現在18:30・・・

まだ記憶を掘り起こしてる段階で、練習問題に一問も手が付いていません・・・orz

ツꀀ

関連する投稿

セキュリティ基礎知識:情報セキュリティスペシャリスト受験対策 Part.4

現在、『情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2009〉 』 の要点を、ここに書きながら暗記している次第です・・・第2部

ツꀀ

第2部は、セキュリティ基礎知識の確認との事。

ツꀀ

情報システムへの脅威

過去3年間のテクセとセキュアドの午前で出題された"脅威"に関する問題の種類がまとまって掲載されており参考になります。

SQLインジェクションが3年連続で出ていますね。。。

クロスサイトスクリプティングが次に多いようです。

ツꀀ

情報システムへの脅威の種類

  • ソーシャルエンジニアリング(Social Engineering)
    • 人間の心理的な錯覚や間違いを悪用して情報を引き出す手口(振込詐欺等)
    • スキャベジング(ゴミあさり)
    • 対策としては、重要な情報の管理規定や運用ルールの策定と、セキュリティ教育による普及・啓蒙
  • パスワードクラッキング
    • ブルートフォースアタック(総当たり攻撃)
    • 辞書攻撃
  • IPスプーフィング(IP Spoofing)
    • IPアドレスの偽造
  • Man-in-the-middle攻撃
    • 公開鍵暗号方式で暗号化通信を行っている双方の間に入って情報を搾取する。
      (名前があったのですねぇ。初めて知りました。)
  • フィッシング(phishing)
    • 有名企業のWebサイト等になりすまし、パスワード等の情報を搾取する。
  • サービス妨害攻撃(DoS : Denial of Service)
    • 一度に大量データを送りつけサービスをダウンさせる。
    • セキュリティホールを突きサービスをダウンさせる。
    • ボットを使うなどして、大量の攻撃を行う。
    • DDoS(Distributed Denial of Service : 分散サービス妨害)
  • ボット、ボットネット
    • コンピュータウィルスまたはワームの一種。
    • ボットを操作するコンピュータを指令サーバと言う。
  • ウォードライビング(war driving)
    • 無防備な無線LANをアクセスポイントを探すために、無線をキャッチできるパソコンを車に積み街中を走り回る攻撃。
  • Webビーコン
    • 利用者のアクセス動向などの情報を収集するためにHTMLメールやWebページなどに埋め込まれた画像の事。
  • クロスサイトスクリプティング
  • SQLインジェクション
  • バッファオーバーフロー
  • クロスサイト・リクエスト・フォージェリ
  • セッションハイジャック

各攻撃の大雑把な概念は分かりますが文章で解答するとなると、あたって砕けるかもしれませんねぇ。。

ツꀀ

法律と制度

どうやら、次の6つの法律をおさえておく必要があるようです。

この辺りの記憶はかなりあやふやなのですよね・・

  • 著作権法
    • 著作物を作成するために用いるプログラム言語、規約及び解法に及ばない(第10条3項)
  • 不正競争防止法
    • 営業秘密(秘密性、有用性、非公知性)
  • 不正アクセス禁止法(2000年施行)
    • 対象となるのはアクセス制御機能を持つシステムかつネットワークを通じて行われる不正アクセス。
    • スタンドアロンシステムの端末を直接操作する事や、DDoS攻撃、Spamメールなどは対象外。
    • 不正アクセスを助長する行為の禁止や、不正アクセスを受けた管理者への援助措置は規定されている。
  • 電子署名法(2001年4月1日施行)
    • 実社会における印鑑の役割。
    • 電子署名法の対象となるのは、私文書のみで、公文書は対象外。
    • 技術面での規定は無い。(PKIでもバイオメトリクスでも可能)
  • e-文書法(2005年4月1日施行)
    • 民間事業者等に紙媒体での保存が義務付けられていた財務や税務関連の書類・帳票を、電子データで保存する事を認めた法律。
    • 電子的に作成されたデータに加えて、スキャナで読み取ったデータも対象となった。
  • 個人情報保護関連法(2003年5月30日公布)
    • 基本法
      • 利用目的の特定・公表、利用目的範囲内での取扱い
      • 適正取得、利用目的の通知等
      • 正確性の確保
      • 安全性確保
      • 第三者提供の制限等
      • 公表等、開示、訂正等、利用停止等
      • 苦情の処理
    • 個人情報の定義
      • 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの。
      • 個人情報取扱事業者(5000件以下は対象外)
    • オプトアウト
      • 本人の求めがあれば、第三者への提供を停止する
      • あらかじめ通知しておく内容
        • 第三者への提供を利用目的とすること
        • 第三者に提供される個人データの項目
        • 第三者への提供の手段又は方法
        • 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

ツꀀ

国際標準と国内標準

国内法よりも、苦手とする部分です。。

  • ISO/IEC 15408(JIS X 5070)
    • 情報システムや情報システムを構成する製品に対して、信頼できるITセキュリティ機能を装備するための国際標準規格。
    • 日本では、JIS X 5070として制定された。
    • PART1:Introduction and general mode(概説と一般モデル)
    • PART2:Security functional requirements(セキュリティ機能要件)
    • PART3:Security assurance requirements(セキュリティ保証要件)
  • ISO/IEC 27001:2005(JIS Q 27001:2006)
    • ISMSの審査用企画であるBS7799-2が国際規格化されたもの。
    • 日本では、JIS Q 27001:2006として発行された。
  • ISO/IEC 27002:2007(JIS Q 27002:2006)
    • 旧ISO/IEC 17799(JIS X 5080)
    • 対象となる情報資産が、ITに限らずドキュメントなどの紙媒体や要員を含む点が、ITセキュリティのみを対象とした ISO/IEC 13335(GMITS)とは異なる。
  • ISO/IEC 13335
    • 通称 GMITS(Guidelines for the Management for IT Security)
    • ITセキュリティのマネジメント手法を示すガイドライン。
    • 情報システムの運用に関わる人や情報処理機器類の管理に必要な要件を規定。
  • JIS Q 15001:2006
    • 個人情報を保護するためのマネジメントシステムの規格。
    • JIS Q 15001:1999 コンプライアンスプログラム (CP:Compliance Program)
    • CP→PMS
    • 個人情報保護マネジメントシステム :PMS(Personal information protection Management System)
    • JIPDEC
  • JIS X 0160
    • ソフトウェア開発プロセスモデルに関する規格。
    • ISO/IEC 12207 をJIS 規格化したもの。
    • 役割や意義はSLPC-JFCと同じく、購入者と供給者の取引を明確にするため、「共通のものさし」や「共通語」を定義している。
    • SLPC-JFC:2007は、JIS X 0160に日本でのソフトウェア取引に必要とされているプロセスを追加したもの。
  • RFC(Request For Comment)
    • IETF(Internet Engineering Task Force)が正式に発行する文書。
  • 情報システム安全対策基準
    • 情報システムの機密性、保全性及び可用性を確保することを目的として、自然災害、機器の障害、故意・過失等のリスクを未然に防止し、また発生したときの影響の最小化及び回復の迅速化を図るため、情報システムの利用者が実施する対策項目を列挙したもの。
    • 適用区分と重要度により、どこまでのセキュリティを確保するべきかを示す内容。
      • 適用区分:設置基準、技術基準、運用基準
      • 重要度:社会への影響、企業への影響大、企業への影響小
    • コンピュータウィルスへの記載なし。→ コンピュータウィルス対策基準に準じる
    • 実効性を確保するために → システム監査基準を参照
  • コンピュータウィルス対策基準
    • コンピュータウィルスに対する予防、発見、駆除、復旧についての実効性の高い対策をまとめたもの。
  • コンピュータ不正アクセス対策基準
    • コンピュータ不正アクセスによる被害の予防、発見及び復旧並びに拡大及び再発防止について、企業等の組織及び個人が実行すべき対策をとりまとめたもの。
  • ソフトウェア管理ガイドライン
    • ソフトウェアの違法複製等を防止する目的のガイドライン。
    • 法人、団体等を対象として、ソフトウェアを使用するにあたって実行されるべき事項をとりまとめている。
  • OECDプライバシー原則
    • 個人情報保護に関する国際的なガイドライン。
    • 個人情報保護に関する8原則
      • 収集制限の原則
      • データ内容の原則
      • 目的明確化の原則
      • 利用制限の原則
      • 安全保護の原則
      • 公開の原則
      • 個人参加の原則
      • 責任の原則
  • OECDセキュリティ原則
    • 情報セキュリティのためのガイドライン
      • 責任の原則(Accountability Principle)
      • 情報提供の原則(Awareness Principle)
      • 倫理性の原則(Ethics Principle)
      • 多面的考慮の原則(Multidisciplinary Principle)
      • 統合の原則(Integration Principle)
      • 適時性の原則(TimeLiness Principle)
      • 再評価の原則(Reassessment Principle)
      • 民主主義の原則(Democracy Principle)

ツꀀ

セキュリティに関する制度

次の3つの制度をおさえておく必要があるようです。

  • ISMS適合性評価制度
    • 財団法人 日本情報処理開発協会(JIPDEC)が運営
    • 情報セキュリティ管理に対する第三者適合性評価制度。
    • JIS Q 27001:2006
    • リスク回避、リスク移転、リスク保有
  • プライバシーマーク制度
    • 財団法人 日本情報処理開発協会(JIPDEC)が運営
    • 個人情報の取扱いについて適切な保護措置を講ずる体制を整備している民間事業者等に対し、その旨を示すマークとしてプライバシーマークを付与し事業活動に関してプライバシーマークの使用を認容する制度
    • JIS Q 15001:2006
  • 情報セキュリティ監査制度
    • 経済産業省が運営。
    • 情報セキュリティ監査を有効に普及させるために考えられたもの。
    • 助言型監査と保障型監査がある。

ツꀀ

ここまでが、第2部の前半でセキュアド色が強いと感じる部分ですね。

後半は、テクセ色が強くなっているようです。

関連する投稿