情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

1.情報セキュリティとは

情報セキュリティの3大要素を、それぞれ「〇〇性」で答えよ
情報セキュリティスペシャリスト試験を目指す女性SE 
3大要素ですか・・・
東野圭吾さんの「歪笑小説 (集英社文庫)」にあった、「編集者は必要なのは三つのG」「ゴルフ、銀座、ゴマすり」みたいなものですよね。 
で、そもそも、「3大要素」ってどういう観点の3大要素ですか?
セキュリティの目的と考えればいいだろう。試験センターのシラバスには、情報セキュリティの目的と考え方が掲載されている。
情報セキュリティの目的と考え方
 情報の機密性(Confidentiality),完全性(Integrity),可用性(Availability)を確保,維持することによりさまざまな脅威から情報システム及び情報を保護し,情報システムの信頼性を高めることを理解する。
(試験センターの応用情報シラバスより引用)
「機密性」「完全性」「可用性」は情報セキュリティの3大要素とも言われ、情報セキュリティの目的は、この3つを守ることと考えてよいだろう。
 ・機密性は、データを暗号化するなどして、第三者に盗まれたり盗聴されたりしないようにすること。
 ・完全性は、データの改ざんなく正確な状態に保つこと。過去問では、「完全性を脅かす攻撃」の例として、「Webページの改ざん(H21AP秋午前40)」と述べられている。
 ・可用性は、サービス妨害攻撃などに対処し、利用したいときに使用できる状態になっていること。

さて、この問題の正解は、機密性、完全性、可用性である。
情報セキュリティの3大要素_情報セキュリティスペシャリスト

「機密性」「完全性」「可用性」に加え、以下の4つも理解しておきましょう。ただ、試験にはほとんど出ませんので、さらりと確認するレベルでいいでしょう。

信頼性(Reliability)
 セキュリティの要素というよりは、やや一般的な内容です。たとえば、セキュリティのシステムが正しく動作していなければ、不審者を侵入させてしまったり、認証を間違えたりしてしまいます。セキュリティのシステムそのものが信頼性できる状態である必要があります。

責任追跡性(Accountability)
 ユーザがシステムにアクセスした記録を追跡できるようにすること。Accountabilityの関連語でAccountingという言葉をよく耳にすると思う。Accountingという言葉は、ITの世界では「課金」を意味する。課金をするには、「誰が」「いつ」「どのシステム」にアクセスしたかを正確に記録しておく必要がある。

真正性
詳しくは以下を参照してください。
http://sc.seeeko.com/archives/4064030.html


否認防止性(Non Repudiation)
 「やっていません」と否認する人に対し,証拠を見せます。
情報セキュリティスペシャリスト試験を目指す女性SE 

どうやって証拠を見せるのですか?
単純な例として、認証およびその記録を取ることです。深夜のサーバ室に誰が侵入して盗難を働いたとします。IDパスワード認証や生体認証での入室の記録があれば、その本人が間違いないく侵入したという証拠になります。結果として、やっていないという否認を防止します。

さてここで、以下の過去問の、空欄を考えましょう。
問 以下のb,cに当てはまる字句を答えよ(H20SV午後2問2より抜粋)
IDは英語でidentifier (識別子)というくらいだから利用者の識別が主な目的ではあるが,もう一つ大事な目的として[ b ]制御がある。つまり,どの利用者に,どのリソースに対して,どのようなアクセスを許可するのかということだ。個別に利用者IDを割り当てないと,権限の管理が適切に行えないおそれがある。また,最近は内部統制の観点から[ c ]性という要素も重視されるようになってきている。
今回は、責任追跡性に関する内容です。。
穴埋めの正解は以下である。
b 許可
c 責任追跡
情報セキュリティの責任追跡性と否認防止性と真正性

情報セキュリティスペシャリスト試験を目指す女性SE 
「情報セキュリティとは」って言われても、
セキュリティはセキュリティですよね。
たとえば、セキュリティを保つということは、悪意のある人からの攻撃を防御することでしょう。
それが基本的な考えで間違いない。でも、それだけではない。情報セキュリティスペシャリスト試験ではないが、以下の問題を見てみよう。
システムのアクセスに使用している通信ケーブルを誤って切断した。このとき,情報セキュリティのマネジメント要素のうち,どれが低下したことになるか。(H21IP秋午前問81)
通信ケーブルを切断すると、システムが使えなくなる。このことを、情報セキュリティの3大要素の一つ「○○性」で答える。次の問題にて、情報セキュリティの3大要素を解説する。参考にしていただきたい。
正解は、可用性。
ちなみに、H17年春IP問39では、可用性について、「ITサービスにおいて,合意したサービス時間中に実際にサービスをどれくらい利用できるかを表す用語」と述べられている。

インテグリティを脅かす攻撃はどれか。

ア Webページの改ざん
イ システム停止をねらうDoS攻撃
ウ システム内に保管されているデータの不正取得
エ 通信内容の盗聴
(H16秋SU午前 問31)
セキュリティの3大要素の一つである、完全性(インテグリティ)に関する問題である。
完全性とは、データが変更されることなく完全な状態であると考えればよい。
なので、データが改ざんされていないと考えよう。

このような問題の場合、他の選択肢が何を指しているのか、一つ一つ考えると理解が深まる。

正解は以下。
アが完全性・・・正解
イが可用性
ウ、エが機密性
情報セキュリティスペシャリスト試験を目指す女性SE 

ホンダの車でインテグラ(Integra)が流行りました。
Integral(完璧)な車という意味でしょうか…

情報セキュリティスペシャリスト試験を目指す女性SE
セキュリティ対策はいいんですけど、なんかもったいないですね。
セキュリティ対策をしても、売上が上がるわけでもなく、単純にコストがかかるだけ。とてもバカらしいですね。
言われる通りの面があって、警察庁:「不正アクセス行為対策等実体調査(平成22年2月)」によると、「情報セキュリティ対策実施上の問題点に関する企業意識」として、「費用対効果が見えない 59.6%」「コストがかかりすぎる 56.9%」が上位2つの回答になっている。
 しかし、安全はタダではない。同じことは平和にもいえると思うから、セキュリティに限らず同じかと思う。加治隆介の議3(講談社文庫)では倉地氏が「平和はタダでは得られない多大なコストがかかるもんだ」と述べられている。
情報セキュリティスペシャリスト試験を目指す女性SE

警察でもっと取り締まってくれないかな。
最近は海外からの攻撃もあるから、警察ですべてを取り締まることは不可能である。警察の方に聞いたうろ覚えであるが、サイバー犯罪の相談件数は年8万件あるが、検挙できるのは7000件くらいだそうだ。これが現実であろう。
だから、自分たちの身は自分たちで守らなくてはいけない。また、いくら取り締まりを強化しても、攻撃されたり情報漏えいした後につかまえても、すでに危害が加わった後である。

情報セキュリティの3大要素とそのリスクの例、対策の例を述べよ。
H23年秋FE午後問3に、その一例が述べられている。
参考にしていただきたい。
情報セキュリティスペシャリスト試験の図
情報セキュリティスペシャリスト試験を目指す女性SE
「完全性」に対する脅威として、「ウイルス感染」「不正アクセス」「なりすまし」があります。でもこれって、完全性に限ったものではないですね。
たとえば、ウイルス感染によって、データが漏えいする、つまり機密性が脅かされる場合があります。「不正アクセス」によって、サーバがダウンさせられたら、可用性が脅かされますよね。
その通り。あくまでも一例として考えてもらえばよい。考えることで、頭が整理されるからね。
以下も本当に一例である。
キーワードリスクの例対策の例
機密性データの盗聴暗号化
完全性データの改ざん メッセージダイジェストの照合
可用性DoS攻撃FirewallやIPSの導入
真正性なりすまし証明書による認証
責任追跡性誰がやったかわからないログの取得
否認防止性「やっていない」と否認する デジタル署名

セキュリティの6大要素の一つ、真正性(Authenticity)の問題である。
(H19SU午後1問1より抜粋)
次は,VPN方式の選定に関するO君とS君の会話である。
O君:基本的なことですが,これらのVPNを用いる意義は何ですか。例えば,AESといった共通鍵暗号化方式で暗号化したファイルを転送すれば,VPNは必要ないと思います。
S君:そうとは言い切れないよ。ファイル転送の際,暗号化によって盗聴は防げるが,暗号化だけでは,[ ア ]や[ イ ]の脅威を防ぐことはできない。

設問2 本文中の[ ア ],[ イ ]に入れる適切な字句を,それぞれ15字以内で答えよ。ただし,[ ア ]には真正性について,[ イ ]にはデータの完全性について答えよ。
4d80b27a
ちょと待ってください。
おはずかしい質問でごめんなさい。
真正性の読み方を教えてください。
「しんしょうせい」ですか?


おしい!
「しんせいせい」と読む。
言葉の意味は、authentication(認証)という単語の意味を含んでいることからも分かるように、間違いなく本人であることを保証(認証)すること。

さて、この問題の正解は以下。内容が本質的に合っていれば、表現が違っていても正解になるだろう。
ア 意図しない相手との通信
イ データの破壊

以下を見てほしい。
これが、最も整理された全体像だと思う。
http://www.ipa.go.jp/files/000014987.gif
以下に引用してみた。
1.人的組織的セキュリティ全般・情報セキュリティポリシー(リスク分析・セキュリティ基本方針・対策基準・実施手順)
・対策ベンチマーク
・情報セキュリティマネジメントシステム(ISMS)の導入
・情報漏洩防止強化対策
・セキュリティ診断
・侵入テスト
・監査(内部・外部)
・教育
2.技術的(1)ネットワーク・セキュリティ・侵入検知システム(IDS)/侵入防止システム(IPS)
・通信暗号化(IPSec、IP-VPN)
・DoS/DDoS対応(フィルタリング)
・ファイアウォール(パケット、フィルタリング)
・デジタル署名
・アクセス制御
・デバイス認証
・WLAN(認証・暗号化)
・Fake AP
(2)クライアント・セキュリティ・セキュリティ・パッチ
・フィッシング対応
・URLフィルタリング
・個人認証
・パーソナルファイアウォール
・ウイルス駆除
・ファイル暗号化
・スパイウェア/アドウェア対応
・SPAMメール対応
・PC認証
・メディア管理
・プリンタ制限
・検疫ネットワーク
・シン・クライアント化
・シン・クライアントの導入
(3)サーバー・セキュリティ・ユーザ認証
・アクセス制御
・権限管理
・バックアップ
・負荷分散
・セキュリティ・パッチ(適用・逐次更新)・セキュアーなWeb開発
・ログ管理
・メール・MSGスキャン
・DoS/DDoS対応(NDS、パケット制限)
・Trusted OS/Secure OS
・ウイルス駆除
・改竄検知・防止
・DBVS暗号化
3.物理的環境的セキュアな環境・施設・オフィス・セキュア・ソーニング
・セキュア・オフィス・施設・設備・什器(入退出管理、監視カメラ、バイオメトリクス認証、盗難・紛失防止備品)

55c44db1
泥棒に入れられて損をするのは自分ですからね。
セキュリティ対策をするもしないも自分の問題ですよね。ということは、セキュリティを守るかは自分だけの問題だから、他人にとやかく言われる筋合いはないですよね。



そういう面もあれば、そうでない面もある。企業であれば、機密情報があり、それを漏えいするのは確かにその企業の問題。しかし、顧客情報はそうではない。多くの人が迷惑を被る。これは企業のみの問題ではなくなる。

一昔前であれば、情報が漏れても黙っていたことだろう。今でも、そういう会社が多いとも聞く。情報が漏えいしたことを公開するから大騒ぎになり、さらに被害が大きくなるという面もある。
ただ、最近はコンプライアンスの面からいうと、きちんと報告しないといけない風土の方が強いと思う。関係者の証言により、漏えい事故を隠ぺいしていたことが発覚したら、さらに悪い状況に陥るであろう。

このページのトップヘ