情報処理安全確保支援士 - SE娘の剣 -

情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

カテゴリ:19.マンガでわかるセキュリティ > 19.1 セキュリティの基礎知識

このサイトは、セキュリティおよびその対策について、皆さんに興味を持っていただこうと思い、セキュリティに関するちょっとしたことを8コマのマンガにしたものです。セキュリティ対策の第一歩は、セキュリティに興味を持つことだと思うからです。
※あくまでもフィクションです。実在の人物・団体・事件等には一切関係ありません。また、マンガですので、話を分かりやすくしたり、面白くするために、脚色もしていますので、その点、ご理解ください。

主人公はセキュリティと真実を守るサイバーセキュリティ警察官の真守(まもり)です。
マンガでわかるセキュリティ
お相手はこちら。遊斗(ゆうと)23歳。入社2年目だが営業成績No.1。嫌いな言葉は「守り」。セキュリティを意識せずに仕事をしている。
f:id:mamori_yuto:20180901103049p:plain

f:id:mamori_yuto:20180901103058p:plain

 みなさんい楽しく読んでいただけるマンガにしたいと思います。

情報漏えいという言葉がニュースでもにぎわっています。
でも、情報漏えいしても、大したことが無いと考えている人が多いのではないでしょうか。
はたして、情報漏えいは大変なことなのでしょうか。

f:id:mamori_yuto:20180901103218p:plain

f:id:mamori_yuto:20180901103224p:plain

f:id:mamori_yuto:20180901103233p:plain

f:id:mamori_yuto:20180901103239p:plain

------情報漏えいは迷惑なこと
たとえ名刺1枚であっても、そこには電話番号やメールアドレスが掲載されています。
いたずら電話や迷惑メールがたくさん来たら迷惑ですよね。役職の高い人であれば、その人に嫌がらせをしようとする人もいるかもしれません。
情報漏えいは、被害に遭った人には、とても迷惑なことなのです。

--------個人情報の売買について
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、次のように述べられています。「ウイルスや不正アクセスによって個人情報等を盗んだ攻撃者の多くは、盗んだ情報を自ら不正使用するのではなく、ブラックマーケットで現金化する」「具体的には、米国で発行されるカードは基本情報のみの場合わずか2ドル、完全なカード情報の場合は25ドル」「窃取した個人情報を利用して偽造した法的な文書の販売もなされている。最も一般的な偽造文書の一つに、パスポートが挙げられ、ブラックマーケットで各国の偽造パスポートが提供されている。(中略)偽造者に個人情報と署名、写真を送信するだけで、後は偽造者により自動的に作成される。偽造パスポートは870ドルから5530ドル」

さて、スマホに入った個人情報や機密情報を誰かに見られないようにするには、どうしたらいいのでしょうか。その前に、セキュリティとはいったい何をすることなのでしょうか。

f:id:mamori_yuto:20180917063631p:plain

f:id:mamori_yuto:20180917063645p:plain

f:id:mamori_yuto:20180917063653p:plain

f:id:mamori_yuto:20180917063701p:plain

セキュリティを守ることとは、機密性、完全性、可用性を確保することです。

 ①機密性(Confidentiality)
 「機密」という言葉は、「秘密」と同じ意味と考えてください。(個人であれば「秘密」を使いますが、ビジネスでは「機密」を使います。)機密データであれば、アクセス権の設定や暗号化をするなどして,第三者に盗まれたり中身を見られたりしないようにします。

②完全性(Integrity)
 データが「完全」であること、つまり、改ざんされていない状態を保つことです。銀行のオンラインバンキングの完全性が確保されなければ、私の10万円の残高が、0円になってしまうかもしれません。これは私にとって、大問題です。

③可用性(Availability)
 「可用」という言葉はあまり聞きなれない言葉ですね。例えば、さきのヘソクリを例にすると、「機密性」を高めるために、海外の山奥にヘソクリを隠したとします。当然、誰からも見つけることはできないことでしょう。でも、自分自身も、そのお金を使うのが難しくなります。これではいけませんよね。お金は可用(用いることが可)であるべきです。
 また、Webサーバでホームページを公開したり、情報発信サービスなどを提供している企業において、攻撃者からのサービス妨害攻撃(DoS攻撃など)を防ぐことも可用性の考え方です。

セキュリティのニュースを見ると、攻撃にあって情報漏えいした企業が謝罪し、責められています。でも、攻撃された企業は被害者ではないのでしょうか。セキュリティ事故における被害者と加害者について、解説します。

f:id:mamori_yuto:20180917063323p:plain

f:id:mamori_yuto:20180917063328p:plain

f:id:mamori_yuto:20180917063441p:plain

f:id:mamori_yuto:20180917063404p:plain

一般のセキュリティと情報セキュリティでは大きな違いがあるのです。まず一般のセキュリティについてお話します。物を盗まれると、被害者として皆さんから心配され、温かい言葉をかけてくださいます。

しかし情報セキュリティでは違うのです。
個人情報が盗まれると、皆さんの対応は180度変わります。「ひどい目にあったね」「大変だったね」などと言われることはありません。犯罪者と同じ扱いを受け、大きく非難されます。ニュースでも、情報を盗まれた企業が、皆さんに謝罪したり、お詫びの品を送っているのも見られたことがあるでしょう。
盗まれた被害者とみてもらえることはほとんどなく、加害者として扱われます。

私も皆さんも、加害者には絶対になりたくないですよね。
だから、というわけではありませんが、セキュリティ対策はやるべきだと思うのです。

「セキュリティー」なのか、それとも「セキュリティ」なのか、どっちでしょう。「-」があるかだけの違いなので、どっちでもいいと思われるかもしれません。でも、私は気になるのです!

f:id:mamori_yuto:20181025074115p:plain

f:id:mamori_yuto:20181025074126p:plain

f:id:mamori_yuto:20181025074140p:plain

f:id:mamori_yuto:20181025074151p:plain



マイクロソフト社が、Windows7から「コンピュータ→マイコンピューター」「プリンタ→プリンター」としました。
個人的には、これまでの慣れもあって、違和感がありました。
でも、文部科学省の「外来語の表記」(http://www.mext.go.jp/b_menu/hakusho/nc/k19910628002/k19910628002.html)では、英語の語末のer,or,arに関しては、長音符号「ー」を用いることが記載されています。ですから、マイクロソフト社としても当然の変更かもしれません。
しかし、セキュリティはtyなので「セキュリティ」のままです。
コントロールパネルを開くと「システムとセキュリティ」となっています。
でもNHKや日経新聞などでは「セキュリティー」を長音を使っています。
まあ、どちらが正しいというものではないのですが、個人的には「セキュリティ」のほうがしっくりくるので、本サイトでは長音無しの表記にしています。

みなさん、ExcelなどのOffice製品にパスワードをつけるとき、今日の日付などの4桁程度の簡易なパスワードを付けていませんか? 銀行のATMなら、4桁パスワードでも安全ですよね。では、Excelなどのパスワードも簡易なもので問題ないのでしょうか?

f:id:mamori_yuto:20180827092139p:plain

続きを読む


スポンサードリンク

↑このページのトップヘ