情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を多数引用しながら、基礎知識をしっかり学んでいただけるように頑張ります

リスクマネジメント

 

1.リスク、情報資産、脆弱性とは

(1)リスクとは

リスクとは何でしょうか。
601a33a7 

リスクと言われても、リスクはリスクです。
危険とか、そういう意味ですよね?
過去問(H17NW午前問51)では、「リスクとは、脅威が情報資産のぜい弱性を利用して、情報資産への損失又は損害を与える可能性のことである」と述べています。
リスクは、次の式で表されます。

リスク = 情報資産(の重要性) x 脅威 x 脆弱性

たとえば、銀行のオンラインバンキングで考えます。オンラインバンキングの口座に100万円という大金が入っていれば、これは資産の重要性が高くなります。また、簡単すぎるパスワードという脆弱性があれば、オンラインバンキングを狙う攻撃者という脅威がありますから、リスクが大きくなります。
 一方、通常の銀行口座であれば、これらの脆弱性や脅威は少なくなります。インターネット越しに攻撃ができないからです。つまり、リスクは小さくなります。
リスクは脅威と情報資産と脆弱性

(2)情報資産

情報は全て資産と言えます。ただ、会社の所在地や電話番号などの情報は、お金をかけてセキュリティ対策をする価値はありません。企業HPなどにて公開しているからです。
ですから、セキュリティマネジメントにおける情報資産とは、「営業秘密」「個人情報」に代表される、企業にとって価値のある「資産」と考えましょう。
また、情報資産には、電子データの情報もあれば、紙ベースの情報もある。情報セキュリティで管理する資産は、両方が含まれている。また、情報資産は、個人情報などの「データ」だけではありません。サーバやネットワーク機器などの物理的資産,ソフトウェア資産,人や保有する資格・技能・経験などの人的資産,特許やノウハウといった無形資産などがあります。
情報セキュリティスペシャリスト試験を目指す女性SE 

それは、サーバなどにも顧客情報やら設定情報などの機密情報が含まれているからですか?
いや、データを含まなくても、機器そのものが情報資産と考えられる。ネットワーク機器も情報資産である。特に電子データによる情報資産は、これらの機器が存在して初めて情報資産としての価値がでる。また、情報セキュリティのCIAとして「可用性」という考え方があるように、使いたいときに使える状態になるというのも大事な要素なのである。つまり、サーバやネットワークがきちんと守られていてこそ利用できるので、大事な物理的情報資産である。

(3)脆弱性

 上記で述べた脅威(DoS攻撃、ウイルスなど)が存在しても、それらの脅威に対抗できるだけの対処をしていればリスクにはならない。たとえば、泥棒に入られないようにするために、何重にも鍵をかけ、警備員やセンサー、監視カメラによって監視する。しかし、裏口には鍵がかかっていなければ、簡単に泥棒に入られてしまう可能性がある。この例でいう「裏口には鍵がかかっていない」ことが脆弱性である。脆弱性にはソフトウェアのバグやセキュリティホールに加え、人的な脆弱性(パスワードを安易なものにすることやウイルスソフトを実行しないなど)も存在する。
 詳しくはこのあと述べる。

2.脆弱性とCVE、CWE、CVSS

(1)脆弱性とは

他の試験の過去問では、脆弱性に関して、「情報資産に内在して、リスクを顕在化させる弱点(H22AP春AM問41) 」と述べられています。
ただ、一言で弱点と言っても、いろいろあります。たとえば、分かりやすいのがOSなどのバグでしょう。これらはセキュリティパッチを適用して修正します。または、ファイアウォールにて外部からの通信が許可されるというセキュリティホールも脆弱性と言えます。加えて、人が間違えて情報漏えいをしてしまうという人的な脆弱性もあります。

参考ですが、ソフトウェア等脆弱性関連情報取扱基準では、脆弱性を次のように定義しています。

1.脆弱性
ソフトウエア等において、コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所。ウェブアプリケーションにあっては、ウェブサイト運営者がアクセス制御機能により保護すべき情報等に誰もがアクセスできるような、安全性が欠如している状態を含む。

(2)脆弱性の指標

脆弱性というのは、このように、やや抽象的な存在です。これではセキュリティ対策として脆弱性の管理が困難です。そんな抽象的な脆弱性を明確に表すものとして、CVE、CWE、CVSSがあります。情報処理安全確保支援士試験では、問題文に細かいところまで出題されています。内容を覚えるというより、まずは言葉の意味を理解しましょう。
最初に結論を言うと、以下になります。
 ・CVE⇒脆弱性の通番 (私は「CVE番号」と「番号」まで言うようにしているので、通番であることを覚えやすいです)
 ・CWE⇒脆弱性の種類
 ・CVSS⇒脆弱性の深刻度(スコア表記) (私は「CVSSスコア」または「CVSS値」と「スコア」まで言うようにしているので、スコアであることを覚えやすいです)

❶CVE

CVE(Common Vulnerabilities and Exposures)とは、野ざらし(exposure)になったCommon(共通の)Vulnerabilities(脆弱性)という意味で、脆弱性の通番です。CVE-西暦年-4桁の通番で表されます。
たとえば、H26年に話題になったOpenSSL の脆弱性は「CVE-2014-0160」が振られています。
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
※参考までに、採番は非営利団体のMITRE(マイター)社が実施

CVEに対してある意味脆弱性のスコアであるCVSSが最大値10で表現されます。

過去問(H25SC秋午前2問5)では、「JVN (Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか」として、「製品に含まれる脆弱性を識別するための識別子である」を正解としています。

過去問(H28秋SC午後Ⅰ問2)を見てみましょう。

〔脆弱性及びその悪用〕
ソフトウェアの脆弱性の情報を組織間で一意に特定し共有できる仕組みが運用されている。例えば,脆弱性が報告されると,[ a ]識別子が付番され,日本国内ではJPCERT/CCなどが公表し注意喚起している。ただし,公表前に悪用されるものもあり,[ b ]脆弱性と呼ばれる[ b ]脆弱性は,特定の組織を狙う攻撃,つまり[ c ]型攻撃でしばしば悪用される。

さて、空欄に当てはまる言葉ですが、正解は以下です。
a CVE
b ゼロデイ
c 標的

❷CWE

CVEと似た言葉に、CWEがあります。タイプミスではありません。別の言葉です。
IPAでは「共通脆弱性タイプ一覧CWE概説」というページがあります。(https://www.ipa.go.jp/security/vuln/CWE.html
ここでは、「CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するための、脆弱性の種類(脆弱性タイプ)の一覧を体系化して提供しています。」と述べています。

例えば、以下のように脆弱性タイプを整理しています。
CWE-78:OSコマンド・インジェクション
CWE-79:クロスサイト・スクリプティング(XSS)
CWE-89:SQLインジェクション
 
過去問(H26年春SC午前2)を見てみましょう。

問14 JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。
ア 基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
イ 製品を識別するためのプラットフォーム名の一覧
ウ セキュリティに関連する設定項目を識別するための識別子
エ ソフトウェアの脆弱性の種類の一覧

ちなみに、アは次に解説するCVSSです。正解はエです。

ここで、JVNについて補足します。JVNはJPCERT/CCとIPAが共同で運用しています。JVNのサイト(http://jvn.jp/nav/jvn.html)では、JVN(Japan Vulnerability Notes)に関して次のように述べています。

日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。

web2 

実際にJVNのサイトをみてみるといいですね。



そうだね。https://jvndb.jvn.jp/index.html にアクセスして、先の「CVE-2014-0160」をみてみよう。JVNは日本が採番し、CVEは米国で採番されるので、番号には違いがあります。ですが、CVEの番号をもとに、CWEや、このあとに解説する深刻度のCVSSなどが記載されています。

❸CVSS

情報処理安全確保支援士試験の過去問(H25SC春午前2問10)では、CVSS(Common Vulnerability Scoring System) に関して、「基本評価基準現状評価基準環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するもの」と述べられています。
さて、過去問(H28春SC午後Ⅱ問1)に、CVSSに関する3つの基準について詳しい解説があります。
ポイントとなるところを赤字にしています。

CVSSは,三つの基準で脆弱性を評価する手法である。一つ目は、”基本評価基準”であり,機密性などのセキュリティの特性や,ネットワークから攻撃が可能かといった攻撃元の特性からスコアを算出する。この基準は,時間の経過や環境の違いによるスコアの変化はない。どこから攻撃可能であるかを評価する攻撃元区分を表5に示す。
abc
 二つ目は”現状評価基準”であり,攻撃コードの出現有無や対策情報が利用可能であるかどうかを基にした評価基準である。ベンダなどの脆弱性への対策状況に応じ,時間の経過によって変化し,脆弱性を公表する組織が,脆弱性の現状を表すために評価する基準である。
 三つ目は”環境評価基準”であリ,ネットワーク環境やセキュリティ対策状況を含め,攻撃元区分の再評価などによって,組織にとっての最終的な脆弱性の深刻度を評価する基準である。
 基本評価基準のスコアは脆弱性ごとに定まるが,環境評価基準は脆弱性が存在する情報機器ごとにスコアが異なる

設問6(1)CVSSについて,ゼロデイ攻撃が可能な脆弱性か否かは,どの評価基準に最も反映されるか。基準名を答えよ。

ゼロデイ攻撃は、ベンダなどが脆弱性への対策ができているかに左右されます。よって、「現状評価基準」が正解です。
情報セキュリティスペシャリスト試験を目指す女性SE

話が変わりますが、環境評価基準は、
同じ脅威でも、情報機器ごとにスコアが異なるんですね。
そうなんです。その具体例が、この問題にあります。その問題を見てみましょう。

123
 (中略)

  例えば,図3のFW1とFW2に関する,ある脆弱性が公表された場合,この脆弱性の基本評価基準のスコアに対して,評価時点の現状評価基準のスコアを算出し,最後に,環境評価基準として,FW1とFW2のそれぞれで最終的な深刻度のスコアを算出する。U課長は実際に,FW1とFW2に存在する,ある脆弱性の深刻度を算出してみた。この脆弱性は,FWのポリシ更新のコマンド発行において,特定のパラメタを組み合わせると管理者権限がなくても不正にポリシを更新できるというものである。環境評価基準において, FW1の攻撃元区分は[ c ]であリ,FW2の攻撃元区分は[ d ]であることから,[ e ]のスコアがより高い値を示した。

設問6(2)本文中の[ c ]~[ e ]に入れる適切な字句を答えよ。[ c ],[ d ]は表5中の区分名から選び,[ e ]は"FWl"又は"FW2"のどちらかで答えよ。

先ほどの表5をもとに、空欄[ c ],[ d ]を考えます。FW1は、「外部事業者の担当者が遠隔地から(中略)更新作業を行っている」とありますから、cの区分名は「ネットワーク」です。
FW2は、「コンソールポートに常時接続されたMPCからだけ許可」とありますから、dの区分名は「ローカル」です。攻撃の難しさを考えると、ネットワーク経由で攻撃が可能なFW1の方が危険です。よって、eにはFW1が入ります。

【解答例】
c ネットワーク  d ローカル  e FW1

■参考
CVSSに関しては、IPAの資料に詳しい解説と計算方法が記載されている。
https://www.ipa.go.jp/security/vuln/CVSS.html
たとえば、どれくらいの値になるのだろうか。
「GNU bash における任意のコードを実行される脆弱性」のCVSS値は10
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004431.html
※IPAとNISTでは値が違う可能性があるようです。

(3)脆弱性関連の体験学習ツール

❶脆弱性体験学習ツールAppGoat
IPAが、脆弱性体験学習ツール AppGoatを開発し、公開されています。
ちょっとやってみましたが、かなり作りこまれていて、本格的です。
Webサーバを立てるなどの手順を踏む必要があり、それほど手軽とは言えませんが、ほとんどがスクリプト化されているので、数分で体験までこぎつけることができます。
脅威および攻撃手法を実際に体験するいい機会です。皆さんもお試し下さい。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

❷XSS-GAME
Googeが公開しているXSSのゲームというか、簡易学習サイトがあります。
https://xss-game.appspot.com/
フォームに何かを入力して、脆弱性を見つけるものです。Hintがあるので、押して行くといいでしょう。
体験するにはちょうどいいと思います。

❸OWASP BWA
学習用の脆弱性があるサイトとして、OWASP BWAがあります。
https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
BWAとは、Broken(壊れた)WebApplicationです。
使い方などは、ネットに落ちていますので、興味がある方は是非

3.リスクマネジメント

(1)リスクマネジメントとその全体像

過去問(H20NW 午前問題 問51)では、 情報システムのリスクマネジメント全体の説明として「情報システムの機能特性を損なう不安定要因やシステムに内在する脆弱性を識別して,企業活動に生じる損失を防止,軽減するとともに,合理的なコストでの対策を行う。」とある。

また、リスクマネジメントのプロセスは以下の順で実施される。
❶リスク特定:どんなリスクがあるのかを特定する(情報資産とリスクを明らかにする)
❷リスク分析:リスクの発生確率や影響度を分析する。(場合によっては、リスクの算出(リスクを数値化する)ことも含む)
❸リスク評価:リスク分析の結果,リスクが一定値以上のものを対処すべきリスクとして決定する
❹リスク対応:上記3つのリスクアセスメントを経て、「リスク対応」を実施します。

※❶~❸をリスクアセスメントと呼ぶことがある。
※❶と❷を合わせて「リスク分析」と呼ぶこともあり、分け方は様々である。


過去問(2108春SC午後Ⅰ問3)の問題文には、以下の記載があります。

JIS Q 31000:2010 及びJIS Q 31010:2012 では,リスクアセスメントは,[ a:リスク特定 ],リスク分析,[ b:リスク評価 ]の三つのプロセスの順に進めると定義されています。まず,[ a:リスク特定 ]のプロセスですが,ファイルに影響を及ぼす一般的なリスクの一覧を私から提供しますので,これを基に進めるとよいでしょう。

(2)リスク分析とは

リスクマネジメントの最初のSETPである「リスク分析」について理解を深める。
リスク分析は、リスク特定も含める場合があり、次のステップで行われます。
・リスク因子の特定(情報資産とリスクを明らかにする)
・リスクの算出(リスクを数値化する)

では、過去問題を解いてみよう。

問34 情報システムのリスク分析に関する記述のうち、適切なものはどれか。
ア リスクには、投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは、投機的リスクである。
イ リスクの予想損失額は、損害予防のために投入されるコスト、復旧に要するコスト、及びほかの手段で業務を継続するための代替コストの合計で表される。
ウ リスク分析では、現実に発生すれば損失をもたらすリスクが、情報システムのどこに、どのように潜在しているかを識別し、その影響の大きさを測定する。
エ リスクを金額で測定するリスク評価額は、損害が現実のものになった場合の1回当たりの平均予想損失額で表される。
(H19SU午前問題 問34より)

ア:純粋リスクは、セキュリティインシデント、災害、事故などの、マイナスな損失しかないリスクです。一方の投機的リスクは、ビジネスにおける海外進出など、マイナスの損失のリスクもあれば、逆に大きくプラスの利益が出る可能性があるリスクです。情報セキュリティのためのリスク分析の対象は、純粋リスクです。
イ:予防のために投入されるコストは含みません。
ウ:正解選択肢です。
エ:発生する確率も考慮します。

■定性的リスク分析と定量的リスク分析

①定性的リスク分析

「特定したリスクの発生確率や影響度を評価してリスクに優先順位を付ける(平成29年春期午前問53不正解選択肢)」ことです。
 ※参考:JRAM(JIPDEC Risk Analysis Method)
JIPDECが開発した定性的リスク分析手法。JRAM質問表を用いた脆弱性分析を行う。

②定量的リスク分析
「特定したリスクがプロジェクト目標全体に与える影響を数量的に分析する(平成29年春期午前問53)」ことです。

まず、定性的リスク分析を実施し、その後、定性的リスク分析の結果を踏まえ、定量的リスク分析を行います。

■平成29年春期 午前 問53
問53 PMBOKガイド第5版によれば,定量的リスク分析で実施することはどれか。
ア 特定したリスクがプロジェクト目標全体に与える影響を数量的に分析する。
イ 特定したリスクの発生確率や影響度を評価してリスクに優先順位を付ける。
ウ 特定したリスクへの対応計画を策定する。
エ プロジェクトに影響を与える可能性があるリスクを洗い出す。
 
正解は、アです。

■過去問(H23秋SM午前Ⅱ)
問18 定性的リスク分析の活動として,適切なものはどれか。
ア 検討対象以外の全ての不確実な要素をベースライン値に固定した状態で,プロジェクトの個々の不確定要素が,検討対象の目標に与える影響の度合いを調べる。
イ デシジョンツリー図を使用して,選択肢に対する期待金額価値(EMV)を比較する。
ウ リスクに関するインタビューを通じて,各WBS要素に対する三点見積りをする。
エ リスクの発生確率と影響度を評価して,識別したリスクに等級付けをする。

■H24春PM午前Ⅱ
問14 PMBOKのリスクマネジメントでは,定性的リスク分析でリスク対応計画の優先順位を設定し,定量的リスク分析で数値によるリスクの等級付けを行う。定性的リスク分析で使用されるものはどれか。
ア 感度分析
ウ デシジョンツリー分析
イ 期待金額価値分析
エ 発生確率・影響度マトリックス





正解はエ

もう一問(H19初級シスアド秋 午前)、解いてみよう。
問53 セキュリティ状況の把握、リスク分析、セキュリティ対策の計画、セキュリティ対策の実施のプロセスにおいて、リスク分析で得られる結果はどれか。
ア 洗い出した脆弱性
イ 組み込まれたセキュリティコントロール
ウ セキュリティ仕様
エ 損失の大きさ




これは簡単だっただろう。
アの洗い出された脆弱性と迷った方もいるかもしれない。しかし、洗い出すだけは「分析」とはいえません。単なる作業なので。正解はエ。

(3)リスク評価

dcf52feb
リスク分析とリスク評価の違いがよくわからないんですよ。
このあたりの言葉の違いがややこしい。
厳密に理解できていなくても、午前問題はマークなので解けるだろう。とはいえ、余裕があればきちんと理解しておくことをお勧めする。

■リスク評価の意味
リスク分析で算出したリスク値が、基準を超えたものを対応すべきリスクとして決定する。これがリスク評価である。
過去問では、リスク評価の説明として「情報セキュリティのリスクマネジメントにおいて,リスクの重大さを決定するために,算定されたリスクを与えられた基準と比較するプロセス」と述べれれています。(平成26年度秋期IP問47)

■リスク評価の意義
リスク分析で分析される情報資産や脅威は膨大な量になる。それぞれに対して対策を検討するのは時間とコストがかかりすぎるため、どのリスクに対応すべきかを判断する。
以下問題を解くと、リスク評価の意義が理解できるのではないか。

問69 リスク分析に関する記述のうち,適切なものはどれか。
ア 考えられるすべてのリスクに対処することは時間と費用がかかりすぎるので,損失額と発生確率を予測し,リスクの大きさに従って優先順位を付けるべきである。
イ リスク分析によって評価されたリスクに対し,すべての対策が完了しないうちに,繰り返しリスク分析を実施することは避けるべきである。
ウ リスク分析は,将来の損失を防ぐことが目的であるから,過去の類似プロジェクトで蓄積されたデータを参照することは避けるべきである。
エ リスク分析は,リスクの発生による損失額を知ることが目的であり,その損失額に応じて対策の費用を決定すべきである。 (H20春FE午前68)

ア:正解選択肢です。
イ:不適切です。繰り返しリスク分析をすることも、ときには必要です。
ウ:過去のデータを参照することも大事です。
エ:損失額だけではなく、発生頻度も考慮すべきです。

(4)リスク対応(リスク移転、リスク回避、リスク保有、リスク最適化)

リスクへの対応は、リスクの大きさとリスクの発生確率に応じて、「リスク移転」「リスク回避」「リスク保有」「リスク低減(リスク最適化)」の4つに分類される。以下にマトリックスと一例を紹介する。 
 ※リスク最適化(低減)策には、技術的対策もあれば社内規程などによる対策もある。たとえば、社内規定でルール化して遵守させた上で、社内教育と内部監査で遵守を徹底する。
※リスク移転には、保険による他社への移転もあれば、アウトソーシングによる移転もある。

  ←小         リスクの発生確率         大→

リスク移転(リスク共有)

 地震などの自然災害は発生確率が少ないので、保険会社にリスクを移転する。

リスク回避
 インターネット上に顧客情報を公開する行為は、漏えいする確率が高く会社への悪影響が大きいので中止する。

 
↑大
 

リスク保有

 名刺が盗まれたとしても、影響がそれほど大きくないので何も対策を行わない。

リスク低減(リスク最適化)

・損失防止:対策をしないとウイルスが頻繁に発生するので、ウイルス対策ソフトを全パソコンに導入する。
・損失軽減:データが破壊されるリスクを軽減するために、バックアップを取得する。

 
リスク


以下のURLがきれいかつ適切だ。
http://www.ipa.go.jp/security/manager/protect/pdca/risk.html

過去問をもとに整理すると、以下になります。

❶リスク保有

過去問ではリスク保有に関して、「リスクが顕在化しても,その影響が小さいと想定されるので,損害の負担を受容するリスク対応(H21春FE午前問60)」「リスクが小さいことを確認し,問題発生時は損害を負担する(H27春IP問53)」と述べられています。

❷リスク移転(リスク共有)

過去問(H21春FE午前問41)では、リスク移転に関して、「保険に加入するなど資金面での対策を講じること」と述べられています。
※過去問(H25秋FE午前問39)に、「リスク共有(リスク移転)」と表現されていて、リスク移転=リスク共有ということが示されています。

❸リスク低減

過去問(H21春FE午前問41)では、リスク低減に関して、「損失の発生率を低下させること」、その具体例として「外部の者が侵入できないように,入退室をより厳重に管理する(H22春SC午前Ⅱ問6)」と述べられています。

❹リスク回避

過去問では、「リスクの原因を除去すること(H21春FE午前問41)」、その具体例として、「リスクの大きいサービスから撤退した(H27春IP問53)」「データの安易な作成を禁止し,不要なデータを消去する(H22春SC午前Ⅱ問6)と述べられています。

では、情報処理安全確保支援士試験の過去問を解いてみよう。

問6 情報漏えいに関するリスク対応のうち、以下はどれに該当するか。
ア 外部の者が侵入できないように、入退室をより厳重に管理する。
イ 情報資産を外部のデータセンタに預託する。
ウ 情報の重要性と対策費用を勘案し、あえて対策をとらない。
エ データの安易な作成を禁止し、不要なデータを消去する。
(H22SC春午前Ⅱ問6より)

エはリスク低減と思われるかもしれないが、この問題ではリスク回避が正解になっている。
アとの違いは、「より厳重に」という、今までより強化するとうこと。
エは不要なものを「廃止」し、リスクあるものを無くす。この点が違い。
まあ、微妙なニュアンスなので、リスク低減といっても正解な気はしますが。

アはリスク低減、イはリスク移転、ウはリスク保有、エがリスク回避である。

(5)リスクコントロールとリスクファイナンス

リスクコントロールやリスクファイナンスという概念もある。以下に整理する。

d18680c9

ややこしいですねー。
リスク移転は、リスクコントロールとリスクファイナンスの両面があることに注意してほしい。アウトソーシングによって外部にリスク移転するとリスクは低減するからリスクコントロールと言える。しかし、保険かけることでリスク移転をしても、リスクそのものは低減しないからリスクコントロールとは言えない。
 過去問では、リスク移転の内容として「保険に加入するなどで他者と損失の負担を分担すること」(H22秋FE午前43)と述べられている。
 リスク保有がリスクファイナンスに分類されることに違和感を覚える人が多いかもしれない。しかし、リスク保有とは何も対策を実施しないので、被害が発生した場合にかかる費用を覚悟していることになる。被害時発生時に備えて予算を確保するまでは実施しないかもしれないが、少なくとも修復にかかる人件費や機器等の修理代が発生し、それを金銭で負担するのでリスクファイナンスである。

リスクコントロール

リスクをコントールすることで、リスクそのものを低減・回避する

リスク回避

リスクを持たない

リスク最適化

損失防止

損失軽減

リスク移転

アウトソーシング

リスクファイナンス

リスクそのものは変化がない(つまり、低減されない)。ファイナンス(財務)という言葉のとおり、金銭面で対処する。

保険をかける

リスク保有

リスク費として予算を確保

何もしない


■リスクファイナンスの問題を一つ

問35 リスク対策の一つであるリスクファイナンスに該当するものはどれか。
ア システムが被害を受けた場合を想定して保険をかけておく。
イ システム被害につながるリスクの発生を抑える対策に資金を投入する。
ウ システムを復旧するのにかかった費用を金融機関から借り入れる。
エ リスクが顕在化した場合のシステム被害を小さくする対策に資金を投入する。
(H19SU 午前問題 問35より)


簡単そうですが、すべてお金にかかわる内容になっているので、間違えるかもしれません。
イ~エは、リスク対策として、主にリスク低減を行っています。結果として、その費用がかかっているだけです。
正解はアです。ポイントは、アはリスクが小さくなっていないことです。リスクを低減することはできないが、保険をかけることで、リスクを第三者に転嫁します。

4.その他

(1)リスクレベル

H29春SG午前問7では、「JIS Q 27000:2014 (情報セキュリテイマネジメントシステムー用語)における“リスクレベル”の定義」として、「結果とその起こりやすさの組合せとして表現される,リスクの大きさ」と述べられています。

H25春AP午後問3では、リスクレベルに関する記述があるので引用します。

〔リスクレベルの決定と行動指針の策定〕
 次に,G課長は,E社で制定した表2のリスクレベルマトリックスを用いて,リスクレベルH(高リスク), M (中リスク), L (低リスク)を決定した。
 さらに,リスクレベルに応じて採るべき行動指針を,次のように策定した。
リスクレベル
・リスクレベルH:できるだけ早期にリスク対策を実施する。
・リスクレベルM:妥当な期間内にリスク対策の実行計画を作成し,実行する。
・リスクレベルL:妥当な期間内にリスク対策が必要か不要かを判断し,対策が必要な場合には,実行計画を作成し,実行する。

 

(2)リスクマネジメントの規格(JIS Q 31000)

JIS Q 31000は、「リスクマネジメントー原則及び指針」ですから、リスクマネジメントのガイドラインと考えればいいでしょう。
このJIS Q 31000ですが、国際標準であるISO 31000に基づいて作成されました。日本にはJIS Q 2001(リスクマネジメントシステム構築の指針)がありましたが、こちらは廃止されてJIS Q 31000に置き換えられています。

また、過去問では、「JIS Q 31000:2010 及びJIS Q 31010:2012 では,リスクアセスメントは,[ a:リスク特定 ],リスク分析,[ b:リスク評価 ]の三つのプロセスの順に進めると定義されています。(H30春SC午後Ⅰ問3より)」

過去問(H27春AP問41)を見てみましょう。

問41 JIS Q 31000:2010(リスクマネジメントー原則及び指針)における,残留リスクの定義はどれか。
ア 監査手続を実施しても監査人が重要な不備を発見できないリスク
イ 業務の性質や本来有する特性から生じるリスク
ウ 利益を生む可能性に内在する損失発生の可能性として存在するりスク
エ リスク対応後に残るリスク

正解はエ

[参考]JIS Q 2001
JIS Q 2001 「リスクマネジメントシステム構築の指針」は、2001年に発行されました。阪神淡路大震災がきっかけということもあり、この規格が指すリスクは大震災を含んだ幅広いものを想定しています。
過去問では、「JIS Q 2001:2001に規定されたリスク算定の定量的評価を、組織のセキュリティ対策の優先度を検討するリスク分析に適用したものはどれか。」として、「被害が発生する確率と被害額で評価する。(H21AP秋午前問41)」と述べられています。

(3)リスク所有者

リスク所有者とはなんでしょうか。
情報漏えいをしそうなリスクを持っている、あぶない社員ではありません。リスクに関して責任や権限を持って対処していく人になります。経営層などの権限を持った人が該当します。
過去問(H29秋SG午前問8)では、「JIS Q 27000:2014 (情報セキュリティマネジメントシステムー用語)では,リスクを運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいるか。」という問いの正答がリスク所有者です。

 


■個人情報漏洩時のおわび費用はいくらぐらい

YahooBBは500円。裁判では別だったかもしれない。
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「JNSA(Japan Network Security Association:NPO日本ネットワークセキュリティ協会)では個人情報漏えいの賠償額を試算しており、その試算によると、「1人あたり平均想定損害賠償額」を4万9,961円、「1件あたり平均想定賠償額」を2億6,683万円と算出している。」と述べられている。

 

■シャドーIT

過去問(H29秋SG午前問16)では、「シャドーITに該当するもの」として、「IT部門の公式な許可を得ずに,従業員又は部門が業務に利用しているデバイスやクラウドサービス」とあります。
自分のPCを持ち込んだり、外部のストレージサービスを利用することによって、情報漏えいのリスクにつながります。

電子証明書

 

1.電子証明書は何を証明するものなのか

情報処理技術者試験やインターネットにおける“証明書”とは何の証明書か

11d7b807
卒業証書は、「卒業したこと」を証明するもの。
運転免許証は、「運転する技能があること」を証明するもの。
インターネットの証明書は、なんだろう? 個人やサーバを証明するもの???
サーバ証明書や、クライアント証明書は、サーバであったりクライアントの証明であるが、その何を証明するのだろうか? そこがポイント。
情報処理安全確保支援士試験やインターネットにおける“証明書”とは、“公開鍵証明書”を意味する。この点に関して違和感を覚える人がいるかもしれない。しかし、インターネットの世界で安全な通信をするには公開鍵が重要な役割を持つ。公開鍵の真正性と完全性を保証するために公開鍵証明書が必要である。

過去問(H27年秋IP問83)でも、「PKIにおいて,電子証明書が正当性を証明しているものはどれか」という出題がありました。当然、正解は「公開鍵」です。

2.ディジタル証明書(電子証明書)には3つある

証明書には、ルート(CA)証明書、サーバ証明書、クライアント証明書の3つがある。
(1)ルート(CA)証明書
 認証局であるCAの公開鍵を証明する証明書
(2)サーバ証明書
 サーバの公開鍵を証明する証明書
(3)クライアント証明書
 クライアント(PC)の公開鍵を証明する証明書
ディジタル証明書の3つ
たとえば、IPAのサイトでサーバ証明書を見てみよう。試験を申し込むときは、HTTPSによるSSLの通信を行う。
ipa
HTTPSの場合、上記のように鍵のマークがつく。
ルート証明書による確認が行われ、確認ができない場合はメッセージが出るが、そうでない場合はメッセージがでない。証明書1 
これはサーバが正当であることを証明するサーバ証明書である。
利用者が不正なサーバ(サイト)でないことを確認するもの。不正なサイトにクレジット番号を入力したら困る。それを防ぐためのものである。
情報セキュリティスペシャリスト試験を目指す女性SE
サーバ証明書の目的は分かりました。たぶんクライアント証明書も同じだと思います。ルート(CA)証明書は何に使うのですか? 
確かにそうだね。認証局(CA)と通信することはないから、証明書を確認するタイミングがないね。
認証局(CA)の証明書の目的は、サーバ証明書やクライアント証明書のディジタル署名を照合するときに、CAの公開鍵が必要になる。署名の照合に関しては、ディジタル署名の記事を確認いただきたい。

3.証明書の解説

(1)実際の証明書を詳しく見てみよう

情報処理安全確保支援士試の対策として、詳しく理解していきましょう。
証明書の基本的な構造は、次の2つからなる。
①証明書
②ディジタル署名

証明書はX.509に準拠したフォーマットになっており、簡略化すると以下になる。

・・・
・・・
・・・
有効期限
所有者の情報(サブジェクト)
公開鍵
・・・・・
←証明書部分
※暗号化されていない
証明書のダイジェストを認証局(CA)の秘密鍵で暗号化したもの
←CAによるディジタル署名
※暗号化されている

実際に、証明書の中身を自分でも確認しよう。教科書に載っている内容と合致しているか確認すると、理解が深まる。
証明書2
証明書のパスにより、ルート証明書も確認できる。
証明書3
 

(2)CN

ここで、見てほしいのが、サブジェクトのCN(CommonName)である。この後にも記載するが、URLのFQDNとCN(CommonName)が一致しないと、オレオレ証明書の可能性があるとして、クライアント側にエラーが表示される。
以下、IPAの場合のCNである。IPAのサイトのURLはwww.jitec.ipa.go.jpであり、CNと一致する。

f:id:seeeko:20210425154320p:plain

(3)SubjectAltName

サーバー証明書のSubjectAltName(SAN:サブジェクトの別名)について解説する。これは、R2SC午後1で問われた。
通常、証明書ではCN(CommonName)がFQDNと一致するかを確認する。一致しなければ正規の証明書ではないとして、エラーになる。加えて、サーバー証明書のSubjectAltName(SAN:サブジェクトの別名)も確認する。
これにより、複数のドメインを1つの証明書で運用することができる。
たとえば、以下はトヨタ自動車さんの証明書であるが、toyota.jpドメインの別名として、etoyota.netなどの合計4つが記載されている。

f:id:seeeko:20210425155834p:plain

4.電子証明書は誰が署名するのか

電子証明書は、元の文書である証明書部分にディジタル署名を付与したものである。
では、署名をするのは誰か?3つ証明書それぞれで考えてほしい。
情報セキュリティスペシャリスト試験を目指す女性SE

本当は即答しなければいけないんでしょうが、
ちょっと考えちゃいますね。

証明書の種類 ディジタル署名をする人
クライアント証明書  
サーバ証明書  
CA証明書  

理由を考えながら解くとよい。
例えば、サーバ証明書は誰が署名をするのか?
サーバ(またはその持ち主)が自ら署名したらどうなるか?
悪意のある人が自分で署名し、「おれのサーバ証明書は正しい」と主張することになる。
このやり方では、正規のサーバ証明なのか、悪意のあるサーバ証明書なのかが分からない。
 正解は、全て認証局であるCAが署名する。参考までに、ルート証明書は、自分で自分を署名するので、自己署名と言われる。
 一方、ディジタル署名の電子商取引などの場合は、認証局であるCAではなく、署名者本人が署名するので注意が必要である。
署名_情報セキュリティスペシャリスト試験
▼ディジタル署名と電子証明書での署名者の違い

5.CRL(Certificate Revocation List:失効リスト)

CRL(Certificate Revocation List)は,有効期限内に失効(Revocation)したディジタル証明書(Certificate)のシリアル番号のリスト(List)です。
たとえば、証明書が誰かになりすまして作成されたなどの不正が判明した場合に、その証明書の番号をCRLに登録します。CRLを認証サーバなどに登録し、失効した証明書が提示された場合には、認証を拒否します。
情報セキュリティスペシャリスト試験を目指す女性SE 

面倒な方法ですね。もっといい方法はないのですか?
残念ながらこれしかないと思います。盗まれたり偽造された証明書を強制的に取り上げたり、無効化することはできないからです。有効期限が切れれば失効リストで管理する必要はありませんが、有効期限内のものは失効リストに登録して管理するしかありません。
情報セキュリティスペシャリスト試験を目指す女性SE 

ちなみに、CRLはどこに入れるのですか?
一般的には認証サーバです。認証の問い合わせがあった際に、CRLを確認します。

問19 CRL (Certificate Revocation List)はどれか。
ア 有効期限切れになったディジタル証明書の公開鍵のリスト
イ 有効期限切れになったディジタル証明書のシリアル番号のリスト
ウ 有効期限内に失効したディジタル証明書の公開鍵のリスト
エ 有効期限内に失効したディジタル証明書のシリアル番号のリスト
(H24秋NW午前2)

正解はエ
イの有効期限が切れたものは、CRLに登録しなくても、有効期限をチェックすれば無効かどうかが分かる。

もう一問は情報処理安全確保支援士試験の過去問から。

問1 特定のCAが発行したCRL (Certificate Revocation List)に関する記述のうち,適切なものはどれか。
ア CRLには,失効された公開鍵証明書に対応する秘密鍵が登録される。
イ CRLには,有効期限内の公開鍵証明書のうち破棄されている公開鍵証明書と破棄された日時の対応が提示される。
ウ CRLは,鍵の漏えい,破棄申請の状況をリアルタイムに反映するプロトコルである。
エ 有効期限切れで無効になった公開鍵証明書は,所有者が新たな公開鍵証明書を取得するまでの間、CRLに登録される。 (H24秋SC午前2)


正解はイ

6.認証局(CA)

(1)CA

CAとは、スチュワーデスを意味するCabin Attendantではなく、認証局(CA:Certification Authority)のことです。

では、認証局(CA)の役割はなんでしょう。2つ覚えてください。
(1)証明書を発行すること
(2)CRL(失効リスト)を発行すること。

過去問(H21AP秋午前問39)を見てみましょう。

問39 公開鍵暗号方式を採用した電子商取引において、認証局(CA)の役割はどれか
ア 取引当事者の公開鍵に対するディジタル証明書を発行する。
イ 取引当事者のディジタル署名を管理する。
ウ 取引当事者のパスワードを管理する。
エ 取引当事者の秘密鍵に対するディジタル証明書を発行する。

正解はアです。先ほどの記事でも述べたとおり、証明書は「公開鍵の証明書」であることを強く認識しておいてください。
加えて、CRLを発行することも認証局(CA)の役割です。過去問(H28秋SG午前問29)では、「PKI(公開鍵基盤)における認証局が果たす役割」として、「失効したディジタル証明書の一覧を発行する」とあります。
601a33a7

確かベリサインなどが認証局の代表でしたっけ?
その通り。ベリサインは、公的な認証局の代表。
認証局には、公的な認証局と、企業などが独自で構築するプライベート認証局の2つがある。公的な認証局であれば、証明書の管理を全て任せられるというメリットがある反面、証明書の費用がかかるというデメリットがある。例えば、ベリサインであれば、1ユーザあたり、年間数千円の費用がかかり、大規模な企業になれば、かなりの費用になる。

(2)IA(発行局)とRA(登録局)

試験にはほとんど出ないので、軽く流しておいてください。
情報処理安全確保支援士試験の過去問(H27年春SC午後Ⅱ問2)には、以下の記述がある。

証明書の発行に必要なCA(認証局)の機能のうち,IA(発行局)についてはJ社本社のプライベートCAを利用し,RA(登録局)についてはK工場が担当する。

細かいところは覚えなくていいが、RA(登録局)では、証明書発行の受付をし、IA(発行局)にて証明書の発行
(および失効)を行うことをぼんやりと覚えておこう。物理的に別サーバであることもあれば、同一サーバであることもある。

(3)検証局(VA)

情報処理安全確保支援士の過去問(H27春SC午前2問4)では、VA(Validation Authority)の役割として、「ディジタル証明書の失効状態についての問合せに応答する」とある。

7.証明書の有効性を確認する方法

(1)サーバ側(と考えてもらえばいいであろう。)

受け取った電子証明書が正しいかどうか、本物であるかの有効性確認はどうやって行うか。
3つ答えよ。

漠然として難しい問題であるが、がんばって答えて欲しい。
3
確か、証明書にはディジタル署名がつけられていて・・・
その署名をCAの公開鍵で復号して確認したはず。
でも、3つって難しくないですか?


一つは正解。あと2つある。
情報処理安全確保支援士試験の過去問(H18SV午後1問4設問2(1))の問題文と解答を軸に解説する。
証明書が有効かどうかは次の3つで確認する。
❶署名値の照合
 ディジタル署名の照合。「証明書をハッシュしたもの」と「ディジタル署名をCAの公開鍵で復号したもの」が一致するか。これにより、公開鍵が本人のものであること(真正性)と改ざんされていないこと(完全性)が確認できる。

❷証明書の有効期限の確認
 証明書が有効期限内であるか。

❸証明書の失効確認
この設問の解答例としては、「失効情報の確認」「証明書の失効確認」と記載されている。CRL(Certificate Revocation List:失効リスト)を照合し、CRLに登録されていないか。
またはOCSP(Online Certificate Status Protocol)プロトコルを使った失効確認を行う。OCSPの方が、リアルタイム性が高いが、OCSPレスポンダと呼ばれるサーバを立て、なおかつ事前にCRLを取り込んでおかなくてはいけない。仕組みが整っていない場合が多い。
pki_ocsp_情報セキュリティスペシャリスト
●OCSPに関する過去問(H25SC春午前2問3)

問3 PKIを構成するOCSP (Online Certificate status Protocol)を利用する目的はどれか。
ア 誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
イ ディジタル証明書から生成した鍵情報の交換がOCSPクライアントとレスポンダの間で失敗した際,認証状態を確認する。
ウ ディジタル証明書の失効情報を問い合わせる。
工 有効期限の切れたディジタル証明書の更新処理の進捗状況を確認する。




正解はウだ。
また、過去問(R2SC午後1問2)では、「PCのWebブラウザでは,HTTPSでアクセスするWebサーバのサーバ証明書が失効していないことを,RFC 6960 で規定されている【 b:OCSP 】を利用して碓認できるようにしている。」という問題が出題された。

(2)ブラウザにおける証明書の有効性確認方法

HTTPSでアクセスした場合、サーバ証明書に問題がある場合は、セキュリティ警告が表示される。
このような証明書の有効性の確認を、ブラウザが自動で実施している。

◇証明書の警告の詳細説明◇
1)「信頼されたルート証明機関」に登録されたCAから発行されているか
2)有効期限内であるか
3)証明書のCNとアクセスするURLが一致するか


実際の画面は以下である。
情報セキュリティスペシャリスト試験対策_IE6のセキュリティ警告
情報セキュリティスペシャリストを学習する剣持成子 
 
なるほど!
3)は別として、さきほどの記事の①と②が1)と2)に対応していますね。


情報処理安全確保支援士試験の過去問(H23秋SC午後I問3設問2(2))でも、この点が問われた。

(2)サーバ証明書の検証においてブラウザが確認すべき内容のうち,中間者攻撃のような攻撃への対策となるものを二つ挙げ,それぞれ35字以内で述べよ。

答えは、以下である。
①サーバ証明書のコモンネームとアクセス先のホスト名が一致すること
②サーバ証明書がブラウザで信頼する認証局から発行されていること

 dcf52feb
ちなみにですが、ルート証明書が正しいかどうかは、どうやって確認するのでしょうか?
ブラウザが管理している。ブラウザにウイルスが侵入したり、ブラウザを提供している会社が詐欺を働いたら、我々は騙されることになる。でも、ブラウザを信用するしかない。
でも、きちんと管理されていると思う。たとえば、ルート証明書が正しくないと分かった場合、WindowsUpdateなどにより、ルート証明書の失効リストが取得される。

8.クライアント証明書

(1)クライアント証明書のインストール方法
専用Webサイトからダウンロードしてインストールしたり、郵送等で送られた証明書をダブルクリックしてインストールすることができる。

(2)格納場所
インターネットエクスプローラの場合、「ツール」「インターネットオプション」「コンテンツ」「証明書」にて「個人」のタグに入る。
また、過去問(H22SC秋午前Ⅱ問15)では、「SSLで使用する個人認証用のディジタル証明書は、ICカードなどに格納できるので、格納場所を特定のPCに限定する必要はない」と述べられている。
15863853

メールとか、ダウンロードとか、FDに入れて郵送しようが、
電子証明書なんてコピーされたらおしまいじゃないですか?
そうだね。2つの観点で考えよう。
①インストールされた証明書をコピーする
②インストールする時点の証明書をコピーする

①に関して、クライアント証明書などの場合、基本的にはエクスポートができないようになっている。
ただ、設定によってはエクスポートも可能で、その場合はコピーされたらおしまい。
ためしに、エクスポートしてみましょう。
「秘密鍵のエクスポート」ができないようになっていると思う。
これはコピーができないということだ。

②に関して、最近では、WebシステムやActiveDirectoryなどから自動配布されることが一般的だ。その場合は、その本人が1回しかインストールできない。
FDなどで証明書が郵送されてきたら、それを本人がしっかり管理しないと、盗まれたら誰でもがインストールできてしまう。あまりいい配布方法ではない。

9.証明書とCSR

企業の社会的責任のCSR(corporate social responsibility)ではなく、証明書のCSRについてである。
CSR(Certificate Signing Request)はスペルから分かるように、証明書の署名要求である。
実際には証明書を発行してもらうのだが、証明書の内容は自分で決めるため、単に「署名してください」とお願いしているだけとも考えられる。だから、署名要求(Signing Request)なのである。

過去問(H25AP秋午後問8)にこれらに関する問題があるので紹介する

〔WebサイトでHTTPSを使用するための準備〕
 HTTPSを使って通信するためには,「aを取得する必要がある。[  a  ]の申請には,識別名(Distinguished Name)が必要になる。識別名は,国コード,都道府県名,市区町村名,組織名,部署名,コモンネーム(SSL接続するサイトのFQDN)から構成される。A社では, SSL通信を行うWebサイトのURLを “https://.www.a.co.jp/member/"とし,識別名を表1のように決定した。

表1 A社の識別名
識別名を構成する項目  値
国コード(Country)   JP
都道府県名(State)  Tokyo
市区町村名(Locality)   Bunkyo-ku
組織名(Organizational Name)  A Japan K.K.
部署名(Organizational Unit)  User Support
コモンネーム(Common Name)  [   b   ]

 A社のWebサイト管理者は,識別名を決定し,コモンネームの重複がないことを確認した後,証明書署名要求(CSR : Certificate Signing Request)を生成し,認証局に申請することで[  a  ]を取得した。証明書署名要求には,識別名と[  c  ]が含まれており,認証局から取得した「aを機器に導入する際には,[  c  ]とペアを成す[  d  ]が必要になる。[  a  ]と[  d  ]を機器に導入し,HTTPSでのアクセスが可能になるよう設定した。


正解は、以下である。
a SSLサーバ証明書
b  www.a.co.jp
c 公開鍵
d 秘密鍵

10.証明書の問題(オリジナル)

社員が社外から社内システムにリモートアクセスをする環境を作ります。そのため、SSL-VPN装置(リバースプロキシサーバ)を導入しました。
セキュリティを保つ観点から、証明書を使った認証をすることにしました。社員のPCと、SSL-VPN装置に、それぞれ2つの証明書を入れます。
その証明書はなんでしょうか。また、その目的は?

情報セキュリティスペシャリスト_pki

この環境にて、どんなセキュリティを保てばいいでしょうか。
SSL通信をしますから、暗号化通信はされています。冒頭にあるように、証明書を入れますから、認証の観点で考えます。

まず、クライアントの立場で考えましょう。
クライアントは、正規のサーバに接続したいと考えます。偽装されたオンラインバンキングに接続して、IDパスワードを盗まれるという事件があるように、情報漏えいをしないためです。
そのため、サーバのサーバ証明書を確認します。ですから、SSL-VPN装置には、サーバ証明書が必要です。
では、そのサーバ証明書が正しいかを確認する必要があります。
そのためには、CAのルート証明書が必要です。
よって、クライアントPCにはルート証明書が必要です。

次に、サーバの立場で考えましょう。サーバは、不正なPCを接続させたくありません。IDパスワード認証に加え、証明書での認証をするのです。そのとき、クライアントが正規のものかを確認するために、クライアント証明書を見せてもらいます。よって、クライアントにはクライアント証明書を入れます。SSL-VPN装置は、そのクライアントが正しいかをチェックする必要があります。そのために必要なのが、CAのルート証明書です。

【解答】
①サーバ
 サーバ証明書
 CAのルート証明書

②クライアントPC
 クライアント証明書
 CAのルート証明書

11.EV SSL証明書

以下は、フィッシング対策協議会のサイトですが、右側に東京三菱UFJ銀行のフィッシングサイトの情報があります。
https://www.antiphishing.jp/news/alert/mufj_20150728.html

見ていただくとわかりますが、本物そっくりです。これを偽造と判断するのは難しいでしょう。
でも、このフィッシングサイトのURLは、「http://bk.mufg.jp.●●●●.uno/~」とあります。
つまり、HTTPなのです。本来の三菱東京UFJ銀行のURLは、httpsで始まり、証明書にEV SSL証明書を使っています。ですから、Webサイトの緑のバーを見れば、正規の銀行と分かるのです。
緑だから正規だとは100%言えるわけではありまえんが、この証明書を取得する審査のハードルが高いので、不正な第三者が取得することは難しいのです。

→今は、EV(Extended Validation)証明書でも、緑にならなくなった。以前はInternet Explorlerで緑だったのが、GoogleChromeなどでは見た目は変わらない。MSのEdgdeでも同じ。ブラウザを提供している会社が、緑色はあまり効果がないと判断したようである。

じゃあ、EV証明書を、高いお金を払って買う必要があるのかといわれると、かなり答えに窮する。きちんとした企業であることをPRしたり、なにか攻撃があった場合も、やることはやっていましたというExcuseに使うくらいだろうか。