情報処理安全確保支援士 data_data_data

情報セキュリティとは



情報セキュリティとは、CIAを維持することを意味します。

目次
  1. 情報セキュリティのCIAとは
  2. 情報セキュリティの追加特性
  3. 情報セキュリティの活動組織
  4. 情報セキュリティに関する規定
  5. 脆弱性評価指標

情報セキュリティのCIAとは


情報セキュリティのCIAとは、次の3要素を指します。

これは、情報セキュリティマネジメントシステムの規定であるJIS Q 27000で定義されています。

JIS Q 27000シリーズは、ISMS(情報セキュリティマネジメントシステム)に関する規格です。
ISMSとは、組織としての情報セキュリティへの取り組み体制を構築し、改善していく一連の活動のことです。



情報セキュリティのCIA
  • C:機密性(Confidentiality)
  • I:完全性(Integrity)
  • A:可用性(Availability)



引用:ITM【情報セキュリティとは?3要素(CIA)と7要素の意味や定義と対策基準を解説】




機密性(Confidentiality)

許可されていないエンティティやプロセスに対して、情報を使用不可、または非公開にすることで、情報を保護していることを「機密性」と言います。


権限を持っていない人が情報にアクセスできないようにすることですね。



個人情報などと言った情報は誰でもアクセスできると大問題になってしまいます。


そこで、アクセス許可などを設定することで、機密性を担保します。



完全性(Integrity)

改ざんや破壊が行われておらず、内容が正しい状態にあることで情報が正しく保たれていることを「完全性」です。

情報が正確だよね」を担保することですね


情報が改ざんされていない、信頼できる状態であることを証明できる必要があります。

そのために、Web改ざんを検知するためのアラート機能などが役立ちます。



機密性と完全性は、主に暗号技術の利用によって維持されます。



可用性(Availability)

可用性は障害が発生しにくく、障害が発生しても影響を小さく抑えられ、対策することで復旧までの時間が短いことを「可用性」といいます。

「権限を持つ人が、情報にアクセスしたいときに常にアクセスできるよね」を担保することです



可用性を損なう攻撃の例としては、Dos攻撃があります。

これは、サーバーに大量の要求を送りつける攻撃です。


システムの停止や破壊が起きた場合、すぐに復旧できるような状態にする、冗長化するなどが対策としてあります。



また、システムを多重化(フォールトトレラントシステム)して実現したり、侵入検知システム、ファイアフォールを活用したりすることで、可用性を維持します。



情報セキュリティの追加特性

情報セキュリティについて、「CIAの他に、次の追加特性の維持を含めることもある」と定義されています。

情報処理安全確保支援士を受ける方は、次の言葉も使えるようにしておきましょう。
午後問題の記述で使えます!

真正性

利用者が主張する通りの本物であること



責任追跡性

誰がいつ何をしたのか、事後に追求できること

ログをきちんと記録することが大事。

ログに基づいて、科学捜査的な手法でログを分析することを、「ディジタルフォレンジック」といいます。



否認防止

取引などの事実を、あとから否認されないように証明できること。


ディジタル署名を使うことで、否認を防止できます。


信頼性

動作が意図したとおりの信頼できる結果となること。

プログラムにバグがない状態です。




情報セキュリティの活動組織

JPCERT/CC(ジェーピーシーサートシーシー)

インターネット上で発生するセキュリティインシデントについて、日本国内で報告受付や対応支援、手口の分析などを中立な立場で行う組織



J-CHIP(ジェーシップ)

別名、サイバー情報共有イニシアティブ。

サイバー攻撃などの情報共有と早期対応を行うためにIPAが立ち上げた組織。




J-CRAT(ジェークラート)

別名、サイバーレスキュー隊。

標的型サイバー攻撃の被害拡大を防止するIPA主導の組織。


企業からサイバー攻撃の相談を受け、未然に防ぐ支援を行う。


NISC(ニスク)

内閣サイバーセキュリティセンターのこと。

サイバーセキュリティ基本法に基づき、内閣官房に設置された組織。

サイバーセキュリティ政策に関する総合的な調整を担う。

一般向けのハンドブックなどもあります。



CRYPTREC(クリプトレック)

電子政府推奨暗号の安全性を評価し、暗号技術の適切な実装法・適用法の調査・検討を行う組織。

どういった規格が推奨されているかが定義されています。

参考リンク:CRYPTREC



JVN

日本で利用されているソフトウェアの脆弱性情報とその対策に関するポータルサイト。


公式リンク:https://jvn.jp/


CSIRT(シーサート)

企業の中に設置されている、情報セキュリティを担当する組織のこと。


情報セキュリティインシデントに関する報告を受け付け、調査、大雨活動を行う。

SECURITY ACTION

IPAの取り組み。
中小企業が「当社は情報セキュリティに取り組んでいます」を自己宣言するための制度。

第三者が監査しているわけではない。

情報セキュリティに関する規定

JIS Q 27001

情報セキュリティマネジメントシステムの要求事項を規定している。

ISO/IEC15408

情報技術を利用した製品・システムのセキュリティ機能が基準を満たしているかを評価する規格。
コモンクライテリア(CC)とも呼ばれている。

ISO/IEC15408に基づいて評価し、認証する国内制度として、ITセキュリティ評価及び認証制度(JISEC)がある。

PCI DSS

クレジットカードの情報セキュリティに関する国際統一基準。

クレジットカード会社、百貨店など、カード加盟店や決済代行サービス業者、銀行などが、この規格に準拠することを求められる。



FIPS 140-3

暗号モジュールに求められるセキュリティ要件の仕様をNIST(米国国立標準技術研究所)が定めた基準。



脆弱性評価指標

SCを受験予定の方は、午後試験でよく出るので、覚えましょう。

CWE(Common Weakness Numeration)

ソフトウェアの脆弱性の種類を分類するためにつけた番号のこと。

CWE-79:クロスサイトスクリプティング

CWE-89:SQLインジェクション





CVE(Common Vulnerabilities and Exposures)

製品に含まれる脆弱性(バグ)を識別するための識別子のこと。


脆弱性を改善した時に、「CVE-〇〇を改善しました。」といえるから便利。

CVSS(Common Vulnerability Scorinngu System)

情報システムの脆弱性の深刻度を評価する評価指標。


下記3つを合わせて総合値として評価する。


  • 基本値:誰でも共通する一定の影響度合い
  • 環境値:個体ごとにそれぞれ影響する度合い
  • 現状値:攻撃が現実的に起こりうるのかを表す度合い



RECOMMENDこちらの記事も人気です。