トップ その他 ITスキル体系 情報セキュリティマネジメント

情報セキュリティマネジメント―管理・対策・実装技術まで一望&堀さげ!参考書のお供に!

管理・対策・実装技術まで一望&堀さげ!参考書のお供に!をテーマに、情報セキュリティマネジメントについてまとめています。

情報セキュリティの知識

情報セキュリティの概念、脅威、脆弱性、攻撃手法、情報セキュリティ関連の技術など。 情報セキュリティについて一望していきます。

考え方

情報セキュリティの概念は、 情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を確保、維持することによって、 様々な脅威から情報システムや情報を保護し、情報システムの信頼性を高めていくことです。

脅威

脅威には、情報資産に対して物理的脅威、技術的脅威、人的脅威などがあります。

脆弱性

脆弱性は、セキュリティの穴です。 脆弱性とは?セキュリティホールの見つけ方、脆弱性評価指標など。脆弱性についてまとめています。

サイバー犯罪

サイバー犯罪は、コンピュータネットワーク上で行われる破壊、改ざん、漏えい、盗聴などの犯罪全般のことです。 サイバーテロやサイバー攻撃のやり方など。サイバー犯罪についてまとめています。

技術

暗号化

脅威を防止するために暗号化技術が用いられています。 代表的な暗号方式の特徴について紹介します。

公開かぎ暗号方式

公開かぎ暗号方式は暗号化用と復号用の2種類のかぎを利用して、 一方を誰でも入手できるかぎにする方式です。

受信者は、2種類のペアとなるかぎを作成して、一方を送信者のために公開し、 他方を受信者が保有します。

送信者は、受信者から公開されたかぎ(公開かぎ)を利用して情報を暗号化して送信し、 受信者は自分のもつかぎ(秘密かぎ)で復号します。

認証技術

脅威を防止するために認証技術が用いられています。

利用者確認

ログイン(利用者ID とパスワード)、IC カード、PIN コード、ワンタイムパスワード、CAPTCHAなど 利用者確認のために利用される技術があります。

生体認証技術

指紋認証、静脈パターン認証、虹彩認証、声紋認証、顔認証など 利用者確認に利用される技術の一つである生体認証技術があります。

公開鍵基盤

ディジタル証明書(公開鍵証明書)、ルート証明書、CRL(Certificate Revocation List:証明書失効リスト)、 OCSP、CA(Certification Authority:認証局)、GPKI(Government Public Key Infrastructure : 政府認証基盤)、 BCA(Bridge Certification Authority:ブリッジ認証局)、SSLなど公開鍵基盤があります。

情報セキュリティ管理とは?

情報セキュリティの管理、リスク分析・評価、情報セキュリティポリシ、企業活動のセキュリティ規程の作成、 情報セキュリティマネジメントシステム、セキュリティ機関など情報セキュリティ管理について一望していきます。

情報セキュリティ管理

組織の物理的資産、ソフトウェア資産を保護するため、情報セキュリティ対策を包括的かつ継続的に実施します。

リスク分析と評価

情報資産の調査、情報資産の重要性による分類、リスク評価、リスク対策などがあります。 情報資産の重要性による分類では、機密性、完全性、可用性の側面から分類します。

情報セキュリティポリシ

情報セキュリティ基本方針、情報セキュリティ対策基準、情報セキュリティ早期警戒パートナーシップガイドライン、 コンティンジェンシープラン、ディザスタリカバリ、個人情報保護方針などがあります。

企業活動のセキュリティ規程の作成

リスクを分析、評価した結果に基づいて、情報セキュリティ基本方針、組織のセキュリティ、 資産の分類と管理、人的セキュリティ、物理的セキュリティ、技術的セキュリティなどを体系立ててセキュリティ規程を作成します。

情報セキュリティマネジメントシステム

組織体における情報セキュリティ管理の水準を高め、維持し、改善していくために、 ISMS(Information Security Management System:情報セキュリティマネジメントシステム)を強化していきます。

セキュリティ機関

CSIRT、NISC、IPA セキュリティセンター、CRYPTREC、JPCERT/CCなど、 不正アクセスによる被害受付の対応、再発防止のための提言、セキュリティに関する啓発活動などを行うセキュリティ機関があります。

セキュリティ技術評価は?

評価方法、セキュリティ機能要件、セキュリティ保証要件、保証レベル、JISEC(ITセキュリティ評価及び認証制度)、 JCMVP(暗号モジュール試験及び認証制度)、PCIDSS、ペネトレーションテスト、耐タンパ性など、情報システムのセキュリティレベルを評価するための評価基準として、 ISO/IEC 15408(コモンクライテリア)などがあります。

情報セキュリティ対策は?

情報セキュリティ対策の種類には、大きく分けると、人的セキュリティ対策、技術的セキュリティ対策、物理的セキュリティ対策があります。

人的対策

情報セキュリティポリシ、社内規程、情報セキュリティ教育、アカウント管理、 need-to-know、ログ管理、監視、情報漏えい対策、プライバシーマークなど、 人的セキュリティ対策として、人による誤り、盗難、不正行為のリスクなどを軽減するための教育と訓練、 事件や事故に対して被害を最小限にするための対処などがあります。

技術的対策

クラッキング対策、不正アクセス対策、情報漏えい対策、暗号処理、SSLアクセラレータ、 ファイアウォール、WAF、コンピュータウイルス対策、マルウェア対策、コンピュータウイルス検出手法(ビヘイビア法ほか)、 OSアップデート、ネットワーク監視、アクセス制御、侵入検知、侵入防止、DMZ(非武装地帯)、検疫ネットワーク、 スパム対策、SPF、URLフィルタリング、携帯端末のセキュリティ、無線LANセキュリティ、ディジタルフォレンジックスなど、 技術的セキュリティ対策として、ソフトウェア、データ、ネットワークなどに技術的対策を実施することで、 システム開発、運用業務などに被害が発生することを防ぎます。

物理的対策

RASIS、RAS技術、耐震耐火設備、監視カメラ、施錠管理、入退室管理、遠隔バックアップ、ディスク暗号化、USBキーなど、 物理的セキュリティ対策として、外部からの侵入、盗難、水害、落雷、地震、大気汚染、爆発、火災などから情報システムを保護することによって、 情報システムの信頼性、可用性を確保します。

セキュリティ関連の実装技術は?

セキュアプロトコル、認証プロトコル、ネットワークセキュリティ、データベースセキュリティ、アプリケーションセキュリティなど セキュリティ関連の実装技術について触れます。

セキュアプロトコル

IPSec、SSL、TLS、SSHなど通信データの盗聴、不正接続を防ぐセキュアプロトコルがあります。

認証プロトコル

SPF、DKIM、SMTP-AUTH、OAuth、DNSSEC、EAP、EAP-TLS、PEAPなどなりすましによる不正接続、サービスの不正利用を防ぐ認証プロトコルがあります。

ネットワークセキュリティ

ファイアウォール、パケットフィルタリング、IDS(Intrusion Detection System:侵入検知システム)、IPS(Intrusion Protection System:侵入防止システム)、 認証サーバ、NAT(Network Address Translation:ネットワークアドレス変換)、IP マスカレード、VPN(Virtual Private Network:仮想私設網)、 WEP(WiredEquivalent Privacy)、WPA(Wi-Fi Protected Access)、OP25B、DKIM、リバースプロキシ、UTM(Unified Threat Management:統合脅威管理)など、 イントラネットをインターネットに接続した場合などに、 悪意のあるインターネット利用者からイントラネット内のシステムに攻撃を受けることがないように実施するネットワークセキュリティ対策があります。

データベースセキュリティ

暗号化、利用者認証、データベースアクセス制御、ログの取得、アカウント管理、パスワード管理、外部媒体の利用制御、不正アクセス検知など データベースに対する不正アクセス、不正利用、破壊などの脅威に対する対策があります。

アプリケーションセキュリティ

Web システムのセキュリティ対策、セキュアプログラミング、バッファオーバフロー対策、クロスサイトスクリプティング対策など、 イントラネットやインターネットで使用される電子メールなどに対する攻撃を抑制するアプリケーションセキュリティの対策があります。

知識の幅を広げるための参考

戻る

スポンサーリンク

サイト内のページ

言語
C・C++ /HTML /Java /JavaScript /PHP /シェルスクリプト

開発環境
Ant /Bcc /Eclipse /gcc /gdb /g++ /JDK /JUnit /ZAP

技術・仕様
Ajax /CORBA /Java EE(旧称J2EE) /JNI

ライブラリ/Framework/CMS
jQuery /Lucene /MyBatis /RESTEasy /Spring /Struts /Seasar2 /WordPress

ITインフラ OSとミドルウェア
Linux /Windows /シェル
Apache/Tomcat /MySQL /Redis /Solr /vsftpd

ITインフラ PC 製品
ZOTAC

ITインフラ サーバー
Web公開サーバー構築

ITインフラ ネットワーク
プログラミング /機器 /構築

ITインフラ セキュリティ
公開サーバーのセキュリティ

SI
ホームページの作り方 /小さな会社のISMS

その他
IT用語 /ITスキル体系 /トレンド履歴

スポンサーリンク