ITパスポート~情報セキュリティの章

kobasaです(´ω`*)
ITパスポートの資格勉強の続きです。今回で参考書1周です。あとは復習あるのみ。

前々職の同僚とサンマルクカフェでお茶してきました。
ブログ始めるっぽいのでどんなことを書くのか気になりますねぇ!
カフェでは黒糖わらびもちミルクを飲んできました。
タピオカより柔らかくてもちもち( ˘ω˘ )黒糖ミルクとも合って美味しかったです。

情報セキュリティについて(テクノロジ系)

情報セキュリティに関する脅威

情報セキュリティとは情報資産を守ることであるが、それを脅かすことを脅威という。

人的脅威:人によって引き起こされる脅威

クラッキング
悪意をもってコンピュータに不正侵入し、データを盗み見たり、破壊したりすること。

ソーシャルエンジニアリング
特別なツールや技術は使わず、人間の心理的な隙を利用して秘密情報を手に入れること。
原始的な方法をとる不審者のこと(´・ω・`)

  • ショルダーハック:
    他人がパスワードなどの秘密情報を入力中に肩越しに盗み見ること
  • トラッシング:
    捨てられた書類や記録媒体から、IDやパスワードなどの情報を盗み出すこと。

技術的脅威:技術的な手段で引き起こされる脅威

マルウェア
悪意のあるソフトウェアの総称。コンピュータウィルスもマルウェアの一種

  • ボット(Bot)
    多数のPCに感染し、攻撃者から指令を受けると一斉攻撃などの動作を行うプログラムのこと。
  • スパイウェア
    利用者に気づかれないように個人情報などを収集するプログラムのこと。
  • ランサムウェア
    PCやファイルを使用不能にしたうえで、回復のための金銭を要求するソフトウェアのこと。
    感染すると勝手にファイルやデータが暗号化されてしまい正常にアクセスできなくなる。

フィッシング
金融機関などを装い、利用者を偽サイトに誘導し、暗証番号やクレジットカード番号などを入力させて、それらを不正に取得すること。

SPAM(スパム):
受信者の承諾なしに無差別に送付されるメールのこと。迷惑メール。

DoS攻撃(Denial of Service attack):
電子メールやWebサーバへの要求(Webリクエスト)などを大量に送り付けて、ネットワーク上のサービスを提供不能にすること。サービス妨害。

情報セキュリティマネジメント

情報セキュリティマネジメントとは、情報セキュリティの確保に組織的・体系的に取り組むこと。

ISMS(Information Security Management System):情報セキュリティマネジメントシステム
組織の情報資産について、気密性・完全性・可用性の3つをバランス良く維持・改善するための仕組。
コストパフォーマンスを考えて、PDCAサイクルを実施し、絶えず改善を行う。

情報セキュリティポリシ
情報セキュリティに関する、組織の取組み・対策をまとめた文書のこと。
情報セキュリティに関する文書は3つあるが、情報セキュリティ基本方針と情報セキュリティ対策基準の2つの文書を合わせて情報セキュリティポリシという。

  • 情報セキュリティ基本方針:
    情報セキュリティに関する取組みを示す文書で、経営の上位者がすべての従業員と社外の利害関係者に対して公表する。公表することで組織が取り組んでいることを示すことができる。
  • 情報セキュリティ対策基準
    基本方針で作成した目標を達成するためのルール集。人事規定や就業規定などの規定類。
    実際に守るべき規定を記述し、適用範囲や対象者を明確にする。情報セキュリティ対策として「何をするのか」を記述する。

情報セキュリティ実施手順:(3つの文書の中で、情報セキュリティポリシには含まれない)
対策基準で定めたルールを実施するための手順書。マニュアルのこと。情報セキュリティ対策を「どのように行うのか」を記述する。文書の作成・管理は各部門が行う。
悪意のある人に知られるとまずいので、この文書は外部には公開しない。

暗号技術

暗号技術とは、文章を読めなくする技術のこと。
暗号化する前の誰でも読める文章のことを「平文」といい、暗号文にすることを「暗号化」、暗号文を平文に戻すことを「復号」という。

共通鍵暗号方式
暗号化と復号で同じ鍵(共通鍵)を使う暗号化方式。
相手に「確実・安全に共通鍵を送る方法がない」という欠点がある。

公開鍵暗号方式
誰でも入手でき、複製も可能な「公開鍵」と自分以外の誰にも知らせない1つしかない「秘密鍵」を使用する暗号方式。公開鍵を使って平文を暗号化し、秘密鍵を使って復号する。またペアとなった鍵でないと暗号化と復号は行えないという大原則がある。
公開鍵と秘密鍵のペアを作成した人は公開鍵を公開する。公開鍵を使って暗号化された文書が送られたきたら自身の秘密鍵を使用して復号する。誰でも公開鍵を使用できるので、なりすましが発生する欠点がある。

脅威への対策

ファイアウォール
インターネットを通じた不正アクセスから社内のネットワークを守るための仕組み。
外部ネットワーク(インターネット)と内部ネットワーク(社内ネットワーク)の間に設置される。

IDSもしくはIPSを使用して社内システムの中のOS部分を守る

  • IDS(Intrusion Detection System):侵入検知システム
    サーバに対して外部から不正アクセスがあった際に、システム管理者に通知を行うシステム。
  • IPS(Intrusion Prevention System):侵入防御システム
    サーバに対して外部から不正アクセスがあった際に、システム管理者に通知を行うと同時に、そのアクセスを遮断するシステム。

WAF(Web Application Firewall):
Webアプリケーションの脆弱性狙った攻撃からシステムを守るための仕組み。
社内システムの中のWebアプリケーション部分を守る。

コメント

タイトルとURLをコピーしました