aaaiiuie

学習(備忘録)のため運用

情報処理安全確保支援士

情報処理安全確保支援士 4.5 情報資産の管理及びクライアントPCのセキュリティ

組織の重要な情報資産を適切に保護するためには、その重要度などに応じて整理・分類するとともに、取扱方法を明確にする必要がある。ここでは、情報資産の分類や管理における要点、クライアントPCの管理とセキュリティ対策などについて解説する。 4.5.1 情報…

情報処理安全確保支援士 4.4 情報セキュリティのための組織

情報セキュリティマネジメントを組織全体で推進していくためには、情報セキュリティの責任を明確にするとともに、関連する部署の代表が調整しながら継続的な活動を行なっていく必要がある。 ここでは情報セキュリティマネジメントに必要な組織、体制について…

情報処理安全確保支援士 4.3 情報セキュリティポリシの策定

情報セキュリティポリシとは、組織の情報資産を守るための方針や基準を明文化したものである。効果的にセキュリティ対策を実施するためには、組織体の長による明確な方針と、リスクアセスメント結果に基づいた対策基準が必要である。ここでは情報セキュリテ…

情報処理安全確保支援士 4.2 リスクマネジメントとリスク対応

リスクマネジメントとリスク対応 業務や情報システムに内在する様々なリスクを分析・評価し、適切な処置を施すことで、損失発生の可能性を最小限に止めるために、組織を指導し、行われる一連のリスクマネジメントである。リスク分析やリスクアセスメントもリ…

情報処理安全確保支援士 4.1 リスクの概念とリスクアセスメント

4.1 リスクの概念とリスクアセスメント 情報セキュリティ対策の効果を高めるためには、リスク分散によって組織に内在する様々な情報リスクを洗い出すと共に、その影響度を分析・評価し、有効な対策を導き出す必要がある。この一連の取り組みをリスクアセスメ…

情報処理安全確保支援士 3.6 HTTP及びWebアプリケーションの脆弱性と対策

多くの組織がWebサイトを持つようになり、Webページ上でユーザーからの入力データを受け付けるためのWebアプリケーションが広く利用されている。ここではHTTPとウェブアプリケーションの脆弱性と対策について解説する。 3.6.1 HTTPとウェブアプリケーション…

情報処理安全確保支援士 3.4 電子メールの脆弱性と対策

電子メールを実装しているSMTP(Simple Mail Transer Protocol)やPOP3(Post Office Protocol Vershion3)はDNSやHTTPと並んで古くから普及しているサービスである。古くから使われている分、プロトコルの使用や実装において数多くのセキュリティ上の問題点…

情報処理安全確保支援士 3.2 ネットワーク構成における脆弱性と対策

3.2.1 ネットワーク構成における脆弱性 ネットワーク構成(トポロジ、セグメンテーション、回線、通信機器の種類・配線など)における脆弱性を次に示す。 ● 機密性、関税生の侵害につながる脆弱性の例 機密性、完全生の侵害につながる脆弱性の例として、次の…

情報処理安全確保支援士 3.1 脆弱性の概要

3.1.1 脆弱性とは 情報セキュリティにおける脆弱性とは、組織や情報システム、物理環境など、情報取り扱いに関わる様々な構成要素の中にあって、情報の漏洩や損失、改竄などのリスクを発生しやすくしたり、拡大させたりする要因となる弱点や欠点のことである…

情報処理安全確保支援士 2.9 マルウェアについて

マルウェア(malware)とは、コンピュータウイルス、トロイの木馬、ボット、ランサムウェアなど、利用者の意図に反する不正な振る舞い(情報収集・侵入・妨害・破損など)をするように作られたプログラムやスクリプトなどをいう。ここではマルウェアの攻撃に…

情報処理安全確保支援士 2.8 Webアプリケーションに不正なスクリプトや命令を実行させる攻撃

近年、Webアプリケーションの入力データチェック不備などの脆弱性を悪用し、不正なスクリプトや命令を実行させる攻撃が多発している。ここではそうした攻撃の仕組みと対策について解説する。 2.8.1 不正なスクリプトや命令を実行させる攻撃の種類 Webアプリ…

情報処理安全確保支援士 2.7 DoS攻撃

DoSとは「Denial of Service」の略であり、日本語ではDoS攻撃を「サービス不能攻撃」「サービス拒否攻撃」「サービス妨害攻撃」などと呼ぶ。DoS攻撃とは、ターゲットサイトに対して意図的に不正なパケットや膨大なパケットを送りつけることで、特定のサービ…

情報処理安全確保支援士 2.6 DSNサーバに対する攻撃

組織のネットワークをインターネットに接続する上で欠くことができない重要な要素の一つに名前解決を行うDNSサーバがある。重要なだけにDNSサーバは攻撃対象にもなりやすい。ここではDNSサーバに対する攻撃について、その仕組みや対策を解説する。 2.6.1 DNS…

情報処理安全確保支援士 2.5 セッションハイジャック

セッションハイジャックとは、クライアントとサーバの正規のセッション間に割り込んで、そのセッションを奪い取る行為である。ここでは、セッションハイジャックについて、その仕組みと対策を解説する。 2.5.1 セッションハイジャックの概要 攻撃者がセッシ…

情報処理安全確保支援士 2.4 パスワードクラック

パスワードクラックとは、OSやアプリケーションプログラムに設定されているパスワードを破ることを目的として、何通りのパスワードや流出したパスワードリスト等を用いてパスワードを解読したり、ログインを施行したりする手法である。 2-3-1パスワードクラ…

情報処理安全確保支援士 2.3バッファオーバーフロー攻撃

バッファオーバフロー(BOF)攻撃とは、CやC++言語で開発されたOSやアプリケーションプログラムの入力データの処理に関するバグをついて、コンピュータのメモリに不正なデータを書き込み、システムへの侵入や管理者権限の取得を試みる攻撃手法である。ここ…

情報処理安全確保支援士 2.2 ポートスキャン

ポートスキャンとはターゲットとなるホスト上で開いているポートをスキャン(探査)することである。 ここでは、ポートスキャンについて、その仕組みと対策を解説する。 2.2.1 ポートスキャンの目的と実行方法 TCPコネクションを確立するタイプのポートスキ…

情報処理安全確保支援士 2.1脅威の分類と概要

驚異の分類 脅威とは情報セキュリティを脅かし、損失を発生される直接の原因となるものである。情報資産が存在すれば、そこには常に何らかの脅威が存在する。 情報セキュリティにおける脅威行為は、次のように分類できる。 驚異の種類 区分 具体例 環境 災害…

情報処理安全確保支援士 1.2 情報セキュリティの特性と基本的な考え方(チェックのみ)

1.2 情報セキュリティの特性と基本的な考え方 情報セキュリティ三つの特性とは何か 三つの特性を適切に確保・維持する上での考慮すべき点は何か 情報セキュリティの付加的な特性には何があるか 付加的な特性を適切に確保・維持する上で考慮すべき点は何か 情…

情報処理安全確保支援士 1.1 情報セキュリティの概念(チェックのみ)

1.1 情報セキュリティの概念 チェック セキュリティとは何か 情報セキュリティとは何か 情報セキュリティとはどのように分類できるか 論理セキュリティはどのように分類できるか 1. セキュリティとは何か セキュリティとは「安全」と言う意味があり、大切な…

情報処理安全確保支援士 5.5 ファイアウォール

概要 ファイアウォールを用いることでネットワーク環境において一定レベルの機密性を確保するとともに、不要なパケットを遮断することによって、ネットワークの利用効率を高めることが可能となる。なお、このような正当のものを選別し、不要な物を取り除くこ…

情報処理安全確保支援士 5.4 TrustedOS

TrustedOS(信頼されたオペレーティングシステム)とは、セキュリティ機能を強化するとともに、設計仕様書やマニュアル類難度を整備し、定められた検証テストをクリアしたOSのことを意味する。 5.4.1 TrustedOSの概要 元々は米国国防総省が定めたセキュリテ…

情報処理安全確保支援士 5.3 脆弱性検査

5.3.1 脆弱性検査の概要 対象システムの構成や設定などの情報は開示されていない状態で、実際に擬似的な侵入・攻撃手法などを用いて行うブラックボックス検査と、対象のシステムの設計書、仕様書、設定内容を元に主に卓上で行うホワイトボックス検査がある。…

情報処理安全確保支援士 5.2 ホストの要塞化

ホストの要塞化 ホストの要塞化とはOSをはじめとするソフトウェアに内在するバグや設定ミスなののセキュリティホールを塞ぎ、堅牢な状態にすること。 5.2.1 ホストの要塞化の概要 要塞化を行う作業として次のようなものがある OSやアプリケーションのバージ…

情報処理安全確保支援士 5.1 情報セキュリティ対策の全体像

情報セキュリティ対策の全体像 5.1.1 情報セキュリティ対策の分類 次の二つの観点から分類することができる。 セキュリティの要素(機密性、完全性、可用性)からの分類 機密性・完全性への侵害への対策 可用性低下への対策 セキュリティ対策の機能・効果か…

情報処理安全確保支援士 4.10 情報セキュリティ監査及びシステム監査

4.10.1 情報セキュリティ監査の必要性と監査制度の概要 情報セキュリティ監査の必要性 情報セキュリティ監査とは、企業などの情報セキュリティ対策について、独立かつ専門的知識を要する仙mんかが客観的評価を行うことである。情報セキュリティ監査は、情報…

情報処理安全確保支援士 4.9 事業継続管理

事業継続管理 事業継続管理(BCM)はISMSの要求宇治公であるとともに、内部統制の強化などと並び、企業経営における重要課題となっている。ここでは事業継続管理及び継続計画(BCP)の要点について解説する。 4.9.1 BCP BCM の概要 事業継続管理に関するISMS…

情報処理安全確保支援士 4.8 情報セキュリティインシデンと管理

情報セキュリティに関する事件、じこなどによる障害を最小限に抑えるためには、予防策を講じるとともに、インシデンと発生時の対応法補を明確にしておく必要がある。 ここでは情報セキュリティインシデンと管理における要点について解説する。 4.8.1 情報セ…

情報処理安全確保支援士 4.7 人的セキュリティ

情報セキュリティの最大の脅威とも言える「人」に対して適切な対策を施すことは大変重要である。ここでは人的資源に対する情報セキュリティについて解説する。 4.7.1 人的セキュリティ対策実施の要点 人的セキュリティに関するISMSの要求事項 ISMSの管理策で…

情報処理安全確保支援士 4.6 物理的・環境的セキュリティ

物理的環境的セキュリティとは、サーバ室の設置、防水、ぼうか、電源、空調などの各種設備、入退室管理システムの導入、回線・通信機器の二重化、情報資産の物理的な保護を目指す。情報セキュリティ対策では、地震、火災、水害などの災害、、回線障害、建物…