1.情報セキュリティとは

「機密性」「完全性」「可用性」に加え、以下の4つも理解しておきましょう。ただ、試験にはほとんど出ませんので、さらりと確認するレベルでいいでしょう。

信頼性（Reliability）
　セキュリティの要素というよりは、やや一般的な内容です。たとえば、セキュリティのシステムが正しく動作していなければ、不審者を侵入させてしまったり、認証を間違えたりしてしまいます。セキュリティのシステムそのものが信頼性できる状態である必要があります。

責任追跡性（Accountability）
　ユーザがシステムにアクセスした記録を追跡できるようにすること。Accountabilityの関連語でAccountingという言葉をよく耳にすると思う。Accountingという言葉は、ITの世界では「課金」を意味する。課金をするには、「誰が」「いつ」「どのシステム」にアクセスしたかを正確に記録しておく必要がある。

真正性
詳しくは以下を参照してください。
http://sc.seeeko.com/archives/4064030.html


否認防止性（Non Repudiation）
　「やっていません」と否認する人に対し，証拠を見せます。
　

どうやって証拠を見せるのですか？
単純な例として、認証およびその記録を取ることです。深夜のサーバ室に誰が侵入して盗難を働いたとします。IDパスワード認証や生体認証での入室の記録があれば、その本人が間違いないく侵入したという証拠になります。結果として、やっていないという否認を防止します。

さてここで、以下の過去問の、空欄を考えましょう。

問　以下のb,cに当てはまる字句を答えよ（H20SV午後2問2より抜粋） IDは英語でidentifier (識別子)というくらいだから利用者の識別が主な目的ではあるが,もう一つ大事な目的として[　b　]制御がある。つまり,どの利用者に,どのリソースに対して,どのようなアクセスを許可するのかということだ。個別に利用者IDを割り当てないと,権限の管理が適切に行えないおそれがある。また,最近は内部統制の観点から[　c　]性という要素も重視されるようになってきている。

今回は、責任追跡性に関する内容です。。
穴埋めの正解は以下である。
b　許可
c　責任追跡

　
「情報セキュリティとは」って言われても、
セキュリティはセキュリティですよね。
たとえば、セキュリティを保つということは、悪意のある人からの攻撃を防御することでしょう。
それが基本的な考えで間違いない。でも、それだけではない。情報セキュリティスペシャリスト試験ではないが、以下の問題を見てみよう。

システムのアクセスに使用している通信ケーブルを誤って切断した。このとき，情報セキュリティのマネジメント要素のうち,どれが低下したことになるか。（H21IP秋午前問81）

通信ケーブルを切断すると、システムが使えなくなる。このことを、情報セキュリティの3大要素の一つ「○○性」で答える。次の問題にて、情報セキュリティの3大要素を解説する。参考にしていただきたい。
正解は、可用性。
ちなみに、H17年春IP問39では、可用性について、「ITサービスにおいて,合意したサービス時間中に実際にサービスをどれくらい利用できるかを表す用語」と述べられている。

インテグリティを脅かす攻撃はどれか。 ア Webページの改ざん イ システム停止をねらうDoS攻撃 ウ システム内に保管されているデータの不正取得 エ 通信内容の盗聴 （H16秋SU午前　問31）

セキュリティ対策はいいんですけど、なんかもったいないですね。
セキュリティ対策をしても、売上が上がるわけでもなく、単純にコストがかかるだけ。とてもバカらしいですね。
言われる通りの面があって、警察庁：「不正アクセス行為対策等実体調査（平成22年2月）」によると、「情報セキュリティ対策実施上の問題点に関する企業意識」として、「費用対効果が見えない 59.6%」「コストがかかりすぎる 56.9%」が上位2つの回答になっている。
　しかし、安全はタダではない。同じことは平和にもいえると思うから、セキュリティに限らず同じかと思う。加治隆介の議３（講談社文庫）では倉地氏が「平和はタダでは得られない多大なコストがかかるもんだ」と述べられている。


警察でもっと取り締まってくれないかな。
最近は海外からの攻撃もあるから、警察ですべてを取り締まることは不可能である。警察の方に聞いたうろ覚えであるが、サイバー犯罪の相談件数は年8万件あるが、検挙できるのは7000件くらいだそうだ。これが現実であろう。
だから、自分たちの身は自分たちで守らなくてはいけない。また、いくら取り締まりを強化しても、攻撃されたり情報漏えいした後につかまえても、すでに危害が加わった後である。

情報セキュリティの3大要素とそのリスクの例、対策の例を述べよ。

H23年秋FE午後問3に、その一例が述べられている。
参考にしていただきたい。


「完全性」に対する脅威として、「ウイルス感染」「不正アクセス」「なりすまし」があります。でもこれって、完全性に限ったものではないですね。
たとえば、ウイルス感染によって、データが漏えいする、つまり機密性が脅かされる場合があります。「不正アクセス」によって、サーバがダウンさせられたら、可用性が脅かされますよね。
その通り。あくまでも一例として考えてもらえばよい。考えることで、頭が整理されるからね。
以下も本当に一例である。

キーワード	リスクの例	対策の例
機密性	データの盗聴	暗号化
完全性	データの改ざん	メッセージダイジェストの照合
可用性	DoS攻撃	FirewallやIPSの導入
真正性	なりすまし	証明書による認証
責任追跡性	誰がやったかわからない	ログの取得
否認防止性	「やっていない」と否認する	デジタル署名

セキュリティの6大要素の一つ、真正性（Authenticity）の問題である。

（H19SU午後1問1より抜粋） 次は,VPN方式の選定に関するO君とS君の会話である。 O君:基本的なことですが,これらのVPNを用いる意義は何ですか。例えば,AESといった共通鍵暗号化方式で暗号化したファイルを転送すれば,VPNは必要ないと思います。 S君:そうとは言い切れないよ。ファイル転送の際,暗号化によって盗聴は防げるが,暗号化だけでは,[　ア　]や[　イ　]の脅威を防ぐことはできない。 設問2 本文中の[　ア　],[　イ　]に入れる適切な字句を,それぞれ15字以内で答えよ。ただし,[　ア　]には真正性について,[　イ　]にはデータの完全性について答えよ。

以下を見てほしい。
これが、最も整理された全体像だと思う。
http://www.ipa.go.jp/files/000014987.gif
以下に引用してみた。

１．人的組織的	セキュリティ全般	・情報セキュリティポリシー（リスク分析・セキュリティ基本方針・対策基準・実施手順） ・対策ベンチマーク ・情報セキュリティマネジメントシステム（ISMS）の導入 ・情報漏洩防止強化対策 ・セキュリティ診断 ・侵入テスト ・監査（内部・外部） ・教育
２．技術的	(1)ネットワーク・セキュリティ	・侵入検知システム（IDS）/侵入防止システム（IPS） ・通信暗号化（IPSec、IP－VPN） ・DoS/DDoS対応（フィルタリング） ・ファイアウォール（パケット、フィルタリング） ・デジタル署名 ・アクセス制御 ・デバイス認証 ・WLAN（認証・暗号化） ・Fake AP
	(2)クライアント・セキュリティ	・セキュリティ・パッチ ・フィッシング対応 ・URLフィルタリング ・個人認証 ・パーソナルファイアウォール ・ウイルス駆除 ・ファイル暗号化 ・スパイウェア/アドウェア対応 ・SPAMメール対応 ・PC認証 ・メディア管理 ・プリンタ制限 ・検疫ネットワーク ・シン・クライアント化 ・シン・クライアントの導入
	(3)サーバー・セキュリティ	・ユーザ認証 ・アクセス制御 ・権限管理 ・バックアップ ・負荷分散 ・セキュリティ・パッチ（適用・逐次更新）・セキュアーなWeb開発 ・ログ管理 ・メール・MSGスキャン ・DoS/DDoS対応（NDS、パケット制限） ・Trusted OS/Secure OS ・ウイルス駆除 ・改竄検知・防止 ・DBVS暗号化
３．物理的環境的	セキュアな環境・施設・オフィス	・セキュア・ソーニング ・セキュア・オフィス・施設・設備・什器（入退出管理、監視カメラ、バイオメトリクス認証、盗難・紛失防止備品）