基礎知識
1. 情報セキュリティの概念
三大要素
- 情報資産
- 脅威
- 脆弱性
企業における情報セキュリティ確保の手順
- 意識付けと体制の整備
- 基本方針
- 情報セキュリティ委員会設置
- 全社的にルールを決める
- 情報セキュリティポリシの作成
- そのルールを全社に浸透させる
- セキュリティ教育
- 周知活動
- 定期的に評価・監査、必要に応じて見直し
情報セキュリティ確保時の留意点
- 抑止効果を狙う
- 予防的対策
- 事後対策
- 検知
- 復旧
- 再発防止策
情報セキュリティの三要素
- Confidentiality;機密性
- Integrity;完全性
- Availability;可用性
2. 国の動向
重要な動き
- サイバーセキュリティ基本法
- サイバーセキュリティ戦略本部を設置
- NISC(内閣サイバーセキュリティセンター)に改組
- サイバーセキュリティ戦略の作成及び実施(3年ごと)
- サイバーセキュリティ経営ガイドライン(Ver2.0)
- 中小企業の情報セキュリティ対策ガイドライン 第3版
- IPAが公表している
- 割賦販売法の改正
- ECサイトはリスクに応じた多面的・重層的な不正使用対策の導入(パスワードによる本人認証、属性・行動分析等)
3. 情報セキュリティマネジメント
情報セキュリティの推進体制
- 情報セキュリティ推進組織
- CISO
- 各部門
- 情報セキュリティ管理者
制度
- 情報セキュリティマネジメント試験
- ISMS適合性評価制度
- システム監査制度
- システム監査の手順
- 監査計画
- 中長期計画
- 基本計画
- 個別計画
- 監査実施
- 予備調査
- 本調査
- 評価・結論
- 監査報告
- フォローアップ
- 監査計画
- 関連用語
- 監査手続
- 予備調査で確定させ、監査手続書にまとめられる
- 監査調書
- 監査人の監査意見の正当性を証明するための調書
- 監査証跡
- 一連の処理過程を途中で確認できるような仕組みのこと
- これがあって初めて監査証拠が取れる
- 監査証拠
- 本調査で収集する
- 物理的証拠
- 文書的証拠
- 口頭的証拠
- 監査報告書
- システム監査基準
- システム監査人の行為規範
- システム管理基準
- システム管理の実践規範
- 監査手続
- システム監査の手順
- 情報セキュリティ監査制度
- 保証型監査
- 助言型監査
- 2つの基準
- 情報セキュリティ監査基準
- 情報セキュリティ管理基準
- 7つのガイドライン
- プライバシーマーク制度
- 内部統制制度
4. セキュリティ関連規格
セキュリティ関連規格
- JIS Q 27001
- ISMSの要求事項
- JIS Q 27002
- ISMSの実践のための規範
- ISO/IEC15408
- 製品のセキュリティ評価基準
- JISEC
- この基準に基づく日本の評価認証制度
- PCI DSS
- グローバルなクレジットカード情報を取り扱う企業におけるセキュリティ基準
- 要件
- 安全なネットワークとシステムの構築の維持
- ファイアウォールを導入
- デフォルトパスワードは使用しない
- カード会員データの保護
- データを安全に保護すること
- 暗号化
- 脆弱性管理プログラムの維持
- ウイルス対策ソフト
- 安全性の高いシステムとAP
- 強力なアクセス制御手法の導入
- 必要範囲内のアクセス制限
- アクセス確認と許可
- 物理的アクセス制限
- ネットワークの定期的な監視およびテスト
- アクセスを追跡監視
- 定期的にテスト
- 情報セキュリティポリシーの整備
- ポリシを整備・維持する
- 安全なネットワークとシステムの構築の維持
5. 脅威
攻撃の種類
- マルウェア
- 不正アクセス
- ソーシャルエンジニアリング(社会工学)
- スキャベンジング
- 捨てられた重要な情報を探し出す
- スキャベンジング
- サービス不能攻撃
- フィッシング
- テンペスト
- なりすまし
- 標的型攻撃
- 調査
- ウォードライビング
- 街の中のセキュリティの甘いAPを探す
- スニファ
- ネットワーク上を流れる特定のパケットをキャッチする行為
- ウォードライビング
6. 暗号化
共通鍵暗号方式
- 鍵が同じ
- 鍵の管理が複雑
- 鍵の配送が難しい
- 代表的なアルゴリズム
- AES
- DESの後継規格
- 128/192/256ビット
- 暗号化の段数は鍵長によって決まる
- DES
- レガシー
- 56ビット
- トリプルDES
- RC4
- レガシー
- 鍵長不変のストリーム方式
- Camellia
- 共通鍵ブロック暗号
- 128/192/256ビット
- AESより高い攻撃耐性と高速処理
- AES
- Diffie-Hellman鍵共有プロトコル
- 共通鍵を安全に共有するアルゴリズム
公開鍵暗号方式
- 鍵が異なる
- 処理が遅い
- 代表的なアルゴリズム
ハイブリッド暗号方式
安全性
- 米国国立標準技術研究所
- NIST
- CRYPTREC暗号リスト
- 電子政府推奨暗号リスト
暗号解読法
- ブルートフォースアタック
- 総当たり法
- 既知平文攻撃
- 与えられた平文と暗号文を使用
- 選択平文攻撃
- 自分で作成した平文と暗号文を使用
- 差分解読法
- 平文の差、暗号文の差を利用
- 線形解読法
- 線形近似式を利用