情報処理安全確保支援士(情報セキュリティスペシャリスト) - SE娘の剣 -

情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

皆様、春の試験お疲れ様でした。1日がかりですから、非常に疲れますよね。
あとは、合格していること祈るばかりだと思います。
ネットワークスペシャリストを目指す女性_直立  
さて、合格発表を6月に控え、本サイトでは、平成30年春の情報処理安全確保支援士(情報セキュリティスペシャリスト試験)の合格体験談を募集させてもらいます。
イメージは、以下です(実際のアンケートは別です)。
http://sc.seeeko.com/archives/cat_129109.html
皆様の貴重なご意見は、多くの受験生の、学習の指針になります。
是非ご協力をお願いします。

合格体験を書いていただいた方に、ささやかな謝礼として、Amazonギフト券(500円分)を差し上げます。メールでお送りすることになります。

合格体験談の申し込みは、右下の「講演・セミナーの依頼」から申込みください(先着30名)。お申込みをいただいた方は、詳しいアンケートの記入方法をお知らせします。また、アンケートは本サイトで公開され、書籍などに活用されることもあります。その点をご理解いただいている方のみ、ご応募ください。
いきなりアンケートを送られても、受付できませんので、ご理解ください。

★注意点
・本当に合格されたかの確認をとらせていただく場合があります。
・先着30名様とさせていただきます。
・こちらからは、メールをいただいてから、1週間以内に、事務的な連絡のメールをお送りします。ギフト券の送付は、処理をまとめて行うことから、3週間くらいのお時間をいただく予定です。もろもろ、ご理解をお願いします。
続きを読む

6/2(土)発売開始

私の本や対策セミナーでは、「テキストによる基礎学習をしてから過去問を学習してください」とお伝えしてきました。その学習をお手伝いすべく、長らく「ネスペ」シリーズにて長年、過去問解説を書かせてもらってきました。
しかし、基礎学習のテキストは作成してきませんでした。
読者の皆様からの要望もあり、また、長年出したかったという思いもあり、今回、秋の試験に向けて書かせてもらいました。試験に間に合わせるために急いで書いたため、雑な面があればお許しください。

私のこの本のコンセプトは以下です。
・ネットワークスペシャリスト試験に出るところだけを解説
・わかりやすく丁寧に解説
・薄くて安い本

詳しくてわかりやすくても、値段が高くて分厚い本であれば、勉強をやりきれるのかという不安などから買うのを躊躇しますよね。
これら3つは、読者の皆様がまさに求めているものではないかと思うのです。

以下、本書の「はじめに」より
 本のコンセプトを決めるには,非常に悩みましたし,時間がかかりました。というのも,ネットワークスペシャリストは難関試験ですから,表面的な知識では合格できません。深く知ってもらうためには,関連知識も含めて丁寧に解説したいと思います。しかしそうなると,ページ数が増えて重たい本になり,読者の皆さんに置かれましては,読む気がおきなくなると思います。
 しかし,私を含めてネスペの合格者の勉強方法というのは,参考書による基礎知識の学習は,ある程度表面的にすませているものです。どこに注力しているかというと,過去問の学習です。特に午後の過去問が大事で,そこで出てきた用語や技術に関して,あらためて書籍やインターネット,実機などで知識を深めていくのです。であれば,皆さんが一通りの基礎知識を付けてもらう本としては,出るところに絞って薄い本が一番いい,そして,午後の過去問の学習は,拙著の「ネスペ」シリーズで深く行ってもらいたいと考えました。

書店には6月末くらいから流通すると思いますので、必要に応じて書店さんで手に取って確認ください。

情報セキュリティの3大要素を、それぞれ「〇〇性」で答えよ
情報セキュリティスペシャリスト試験を目指す女性SE 
3大要素ですか・・・
東野圭吾さんの「歪笑小説 (集英社文庫)」にあった、「編集者は必要なのは三つのG」「ゴルフ、銀座、ゴマすり」みたいなものですよね。 
で、そもそも、「3大要素」ってどういう観点の3大要素ですか?
セキュリティの目的と考えればいいだろう。試験センターのシラバスには、情報セキュリティの目的と考え方が掲載されている。
情報セキュリティの目的と考え方
 情報の機密性(Confidentiality),完全性(Integrity),可用性(Availability)を確保,維持することによりさまざまな脅威から情報システム及び情報を保護し,情報システムの信頼性を高めることを理解する。
(試験センターの応用情報シラバスより引用)
「機密性」「完全性」「可用性」は情報セキュリティの3大要素とも言われ、情報セキュリティの目的は、この3つを守ることと考えてよいだろう。
 ・機密性は、データを暗号化するなどして、第三者に盗まれたり盗聴されたりしないようにすること。
 ・完全性は、データの改ざんなく正確な状態に保つこと。過去問では、「完全性を脅かす攻撃」の例として、「Webページの改ざん(H21AP秋午前40)」と述べられている。
 ・可用性は、サービス妨害攻撃などに対処し、利用したいときに使用できる状態になっていること。

さて、この問題の正解は、機密性、完全性、可用性である。
情報セキュリティの3大要素_情報セキュリティスペシャリスト

「機密性」「完全性」「可用性」に加え、以下の4つも理解しておきましょう。ただ、試験にはほとんど出ませんので、さらりと確認するレベルでいいでしょう。

信頼性(Reliability)
 セキュリティの要素というよりは、やや一般的な内容です。たとえば、セキュリティのシステムが正しく動作していなければ、不審者を侵入させてしまったり、認証を間違えたりしてしまいます。セキュリティのシステムそのものが信頼性できる状態である必要があります。

責任追跡性(Accountability)
 ユーザがシステムにアクセスした記録を追跡できるようにすること。Accountabilityの関連語でAccountingという言葉をよく耳にすると思う。Accountingという言葉は、ITの世界では「課金」を意味する。課金をするには、「誰が」「いつ」「どのシステム」にアクセスしたかを正確に記録しておく必要がある。

真正性
詳しくは以下を参照してください。
http://sc.seeeko.com/archives/4064030.html


否認防止性(Non Repudiation)
 「やっていません」と否認する人に対し,証拠を見せます。過去問(H28春AP午前問39)では、「否認防止の特性」に関して「ある利用者がシステムを利用したという事実を証明可能にする」と述べられています。
情報セキュリティスペシャリスト試験を目指す女性SE 

どうやって証拠を見せるのですか?
単純な例として、認証およびその記録を取ることです。深夜のサーバ室に誰が侵入して盗難を働いたとします。IDパスワード認証や生体認証での入室の記録があれば、その本人が間違いないく侵入したという証拠になります。結果として、やっていないという否認を防止します。

さてここで、以下の過去問の、空欄を考えましょう。
問 以下のb,cに当てはまる字句を答えよ(H20SV午後2問2より抜粋)
IDは英語でidentifier (識別子)というくらいだから利用者の識別が主な目的ではあるが,もう一つ大事な目的として[ b ]制御がある。つまり,どの利用者に,どのリソースに対して,どのようなアクセスを許可するのかということだ。個別に利用者IDを割り当てないと,権限の管理が適切に行えないおそれがある。また,最近は内部統制の観点から[ c ]性という要素も重視されるようになってきている。
今回は、責任追跡性に関する内容です。。
穴埋めの正解は以下である。
b 許可
c 責任追跡
情報セキュリティの責任追跡性と否認防止性と真正性

このページのトップヘ