SC:基礎
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>SC:試験]]
--基礎
--[[脅威>SC:脅威]]
--[[脆弱性>SC:脆弱性]]
--[[対策技術>SC:対策技術]]
--[[システム開発>SC:システム開発]]
--[[マネジメント>SC:マネジメント]]
--[[法制度>SC:法制度]]
*目次 [#g5e3be17]
#contents
*概念 [#i964ef5a]
**セキュリティと情報セキュリティ [#a5757ce1]
***セキュリティ [#z5a619d6]
-広義には安全(セーフティ)も含まれる。
-BCP(事業継続計画)とCP(緊急時対応計画)とDR(災害復旧...
--共通項~
企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した...
事業資産の損害を最小限に止め、中核事業の継続・早期復旧を...
--BCP(Business Continuity Plan)
---事業継続を目的としている。
---事「前」に行っておくべきことを定めている。
---ちなみに、BCMはBPC策定のためのマネジメント。
--CP (Contingency Plan)
---被害を最小限に抑えることを目的としている。
---非常事態発生「後」の対応計画に焦点を当てる。~
・予防、検知、対応がスコープになる。~
・初動計画に力点を置いている。
--DR (Disaster Recovery)
---システムの正常な運用を脅かす不測の事態が生じた際に、~
システムの停止による損失を最小限に抑える様々な手段や手順...
---不測の事態には以下を含む。~
・地震や風水害などの自然災害、~
・事故や停電、火災、テロ、サイバー攻撃~
・機器の故障や、人的な脅威(偶発的、意図的)。
※ [[参考>SC:マネジメント#z43de2ce]]
***情報セキュリティ [#ta2bca33]
-情報の機密性、完全性および可用性を維持すること。
--機密性 (confidentiality):~
---許可されていない個人、エンティティ又は~
プロセスに対して、情報を使用不可又は非公開にする特性
---認証・認可系の各種技術(認証システムとアクセス許可)
--完全性 (integrity):
---資産の正確さ及び完全さを保護する特性
---正当性、正確性、網羅性、一貫性(ハッシュ・署名)
--可用性 (availability):
---許可されたエンティティが要求したときに、アクセス及び使...
---冗長化、復旧
-さらに、真正性、責任追跡性、否認防止および~
信頼性のような特性を維持することを含めてもよい。
--真正性 (authenticity):
---ある主体(subject)又は資源が、主張(claim)どおりであ...
---人の特定(Password、IC、生体情報、ディジタル署名)
--責任追跡性 (accountability):
---あるエンティティの動作が、~
その動作から動作主のエンティティまで~
一意に追跡できる事を確実にする特性。
---ログ
--否認防止 (non-repudiation):
---ある活動又は事象が起きたことを、後になって否認されない...
---通常データ完全性を証明するハッシュ・署名・タイムスタンプ
--信頼性 (reliability):
---意図した動作及び結果に一致する特性
---バグがないこと
-関連
--[[デジタル・フォレンジック>高度午前 - 技術要素 - セキュ...
---責任追跡性 (accountability)
---否認防止 (non-repudiation)
**情報セキュリティ特性 [#u5855cf4]
公共的なシステムでは、完全性と可用性が重要になる。
***基本的特性 [#zee05f88]
前述の[[情報セキュリティ>#ta2bca33]]の定義そのもの。
-機密性 (confidentiality)
-完全性 (integrity)
-可用性 (availability)
***付加的特性 [#we084858]
前述の[[情報セキュリティ>#ta2bca33]]の拡張的。
-真正性 (authenticity)
-責任追跡性 (accountability)
-否認防止 (non-repudiation)
-信頼性 (reliability)
**物理的セキュリティと論理的セキュリティ [#hd88e417]
***物理的セキュリティ [#y54fcb42]
物理的なセキュリティ(耐震、防火、電源、回線、入退館
***論理的セキュリティ [#ube9bf02]
-[[物理的セキュリティ>#y54fcb42]]を除くほか全て。
-以下の3つに分類できる。
--管理的セキュリティ(運用管理)
--人的セキュリティ(教育・訓練・懲戒)
--システム的セキュリティ(技術)
*情報セキュリティ対策 [#ke7cc486]
**機能 [#n9cb18e8]
***予防 [#afa2a597]
-抑止・抑制:~
--脅威の発生を減らす
--(人の意識やモラルに対する)相互牽制
-予防・防止:
--脅威を避ける、脆弱性を減らす
--技術的なシステム脆弱性対策の実施
***検知 [#u8b8d059]
-検知・追跡:
--脅威または脆弱性を早く発見し、対応する
--ログ取得・解析、稼働監視・記録、IDPS、IPS/WAF
-回復:
--早くあるべき状態に復旧する
--バックアップ・リストア、手順
**考え方 [#r77482c1]
***リスク・アセスメント [#n7d68a67]
-~[[リスク定量分析>PMP:計画 - リスク#t0cdf89c]]的な。
--「リスク」=「資産」の価値×「脅威」の大きさ×「脆弱性」...
--「アセスメント」=物事の総体としての量・価値の計算的評...
-コンテンツ
--守るべきものを認識する。
---情報資産
---システム等
--脅威を知る。~
[[攻撃の手段>SC:脅威]]など。
--脆弱性を知り対処する。~
脆弱性の内容と対策の方法。
***方針、基準、手順の整備 [#g55e444b]
[[リスク対応計画>PMP:計画 - リスク#x654cb60]]的な。
-[[情報セキュリティ(のマネジメント・システム)>#ta2bca33...
-方針、基準
--対策有効性の第三者レビュー
--バランス
---セキュリティ
---利便性
--インシデント
--未然防止
--発生時対処
--原則徹底
---最小権限
---債務分離
--ネットワーク
---重要情報システムとインターネットの分離
--システム
---フェールセーフ
---構成・機能の単純化
---重要な機能・設備の分散化
---多層防御(2重・3重の対策)
---[[付加的特性>#ta2bca33]]関連~
認証(識別・特定)やデジタル・フォレンジック(追跡・検証)
*[[情報セキュリティ・マネジメント>#ta2bca33]] [#h8eabeaa]
[[情報セキュリティ特性>#u5855cf4]]を[[情報セキュリティ対...
**PDCA [#x637da55]
PDCAの4ステップを繰り返しながら継続的に推進されていくのが...
-P : 策定
-D :
--教育
--管理
--導入
--運用
-C : 監査
-A : 是正
**[[ISMS>SC#y8c651c9]] [#yd606659]
***制度の概要 [#s8005bd4]
-年表
--2001/4より開始
--1年間はパイロット運用期間
--2002/4より本格運用
--2006よりISO/IEC, JIS化
-[[ISMS>SC#y8c651c9]]の認証@日本
--名称 : [[ISMS>SC#y8c651c9]]適合性評価制度
--JIPDECが認証機関を運営している
---一般財団法人日本情報経済社会推進協会
---JIPDEC : Japan Institute for Promotion of Digital Econ...
-運用体制
--JIPDEC
--認証関連
---認証機関
---評価希望組織
--審査員関連
---要員認証機関
---審査員研修機関
---審査員希望者
-審査の流れ
--認証前審査
---予備審査(任意)
---文書審査(ステップ1)
---実地審査(ステップ2)
--認証後審査
---継続審査(サーベイランス)~
半年 - 1年に一回実施。
---更新審査~
3年に一回、認証前審査と同じ。
***確立と運用の各作業 [#l41e5121]
-確立~
--ステップ0:認証取得準備
---立上
---経営資源割当
---スケジュール決定
--ステップ1:適用範囲・境界の定義
---適用範囲(組織, 情報システム, etc.)
---境界定義(事業, 組織, 拠点, etc.)
--ステップ2:方針の確立
--ステップ3:アセスメントに関する決定
---方法の特定
---受容基準の設定
--ステップ4:リスク特定
---管理責任者の特定
---脅威、脆弱性の洗い出し
---リスクの特定
--ステップ5:リスクの分析・評価~
---リスクの分析(リスク・レベルの算出)
---リスクの評価(受容基準から対応の必要性の有無を検討)
--ステップ6:リスク対応の選択肢の特定・評価
---リスク対応の選択肢の特定
---リスク対応の選択肢の評価
--ステップ7:リスク対応の管理策の決定
---管理策の見落としの確認(附属書Aと比較)
---管理策の適用後の残留リスクの算出
---管理策の文書化(実施基準、実施手順)
---実施に伴う文書化(記録、証拠)
--ステップ8:残留リスクの承認~
リスク所有者から残留リスクの承認を得る
--ステップ9:適用宣言書の作成
---管理策に対応する管理目的・選択理由
---実施済みの管理策
---除外した管理策の正当性
---管理策の文書化(実施基準、実施手順)
---実施に伴う文書化(記録、証拠)
-運用
--管理策の実施
--ISMSの浸透
---教育実施
---ポスター、キャッチコピー
---ハンドブックの作成・配布
--記録収集~
管理策実施の記録収集
--内部監査
--問題改善
***[[適合性評価制度>SC:法制度#r86cb236]] [#n6ab8efd]
*ネットワーク [#ca2c2a73]
**[[IPv4, v6>https://techinfoofmicrosofttech.osscons.jp/i...
**[[UDP, TCP>https://techinfoofmicrosofttech.osscons.jp/i...
**[[DNS>https://techinfoofmicrosofttech.osscons.jp/index....
**[[プロトコル>https://techinfoofmicrosofttech.osscons.jp...
***[[ICMP>https://techinfoofmicrosofttech.osscons.jp/inde...
***[[メール>https://techinfoofmicrosofttech.osscons.jp/in...
***[[HTTP>https://techinfoofmicrosofttech.osscons.jp/inde...
*仮想化、クラウド [#db156c16]
**[[仮想化技術>https://techinfoofmicrosofttech.osscons.jp...
**仮想デスクトップ、デスクトップ仮想化 [#f1594ff0]
VDI、シンクライアントとも呼ばれる。~
IPA定義が[[仮想化技術>#q5afec61]]と違うのでこっちに書く。
***実現方式 [#xe5a5e4e]
|方式|特徴|h
|ネットワーク・ブート方式|ネットワークからブート領域をダ...
|画面転送方式|サーバで実行し画面の未転送する(RSD、XenApp...
***画面転送方式の分類 [#x39a0202]
|方式|特徴|h
|サーバーベース型|サーバのマルチ ユーザ化(RSD、XenApp)|
|ブレードPC型|1ブレード、1デスクトップPC(某社のナント...
|VDI型|1VM、1デスクトップPC(XenDesktop)|
※ 今日日は、ほぼ、VDI型の画面転送方式なんじゃなかろうか?
**クラウド [#z719b55f]
***[[クラウドの基本>https://techinfoofmicrosofttech.ossco...
***[[クラウド利用時の注意事項>https://techinfoofmicrosoft...
終了行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>SC:試験]]
--基礎
--[[脅威>SC:脅威]]
--[[脆弱性>SC:脆弱性]]
--[[対策技術>SC:対策技術]]
--[[システム開発>SC:システム開発]]
--[[マネジメント>SC:マネジメント]]
--[[法制度>SC:法制度]]
*目次 [#g5e3be17]
#contents
*概念 [#i964ef5a]
**セキュリティと情報セキュリティ [#a5757ce1]
***セキュリティ [#z5a619d6]
-広義には安全(セーフティ)も含まれる。
-BCP(事業継続計画)とCP(緊急時対応計画)とDR(災害復旧...
--共通項~
企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した...
事業資産の損害を最小限に止め、中核事業の継続・早期復旧を...
--BCP(Business Continuity Plan)
---事業継続を目的としている。
---事「前」に行っておくべきことを定めている。
---ちなみに、BCMはBPC策定のためのマネジメント。
--CP (Contingency Plan)
---被害を最小限に抑えることを目的としている。
---非常事態発生「後」の対応計画に焦点を当てる。~
・予防、検知、対応がスコープになる。~
・初動計画に力点を置いている。
--DR (Disaster Recovery)
---システムの正常な運用を脅かす不測の事態が生じた際に、~
システムの停止による損失を最小限に抑える様々な手段や手順...
---不測の事態には以下を含む。~
・地震や風水害などの自然災害、~
・事故や停電、火災、テロ、サイバー攻撃~
・機器の故障や、人的な脅威(偶発的、意図的)。
※ [[参考>SC:マネジメント#z43de2ce]]
***情報セキュリティ [#ta2bca33]
-情報の機密性、完全性および可用性を維持すること。
--機密性 (confidentiality):~
---許可されていない個人、エンティティ又は~
プロセスに対して、情報を使用不可又は非公開にする特性
---認証・認可系の各種技術(認証システムとアクセス許可)
--完全性 (integrity):
---資産の正確さ及び完全さを保護する特性
---正当性、正確性、網羅性、一貫性(ハッシュ・署名)
--可用性 (availability):
---許可されたエンティティが要求したときに、アクセス及び使...
---冗長化、復旧
-さらに、真正性、責任追跡性、否認防止および~
信頼性のような特性を維持することを含めてもよい。
--真正性 (authenticity):
---ある主体(subject)又は資源が、主張(claim)どおりであ...
---人の特定(Password、IC、生体情報、ディジタル署名)
--責任追跡性 (accountability):
---あるエンティティの動作が、~
その動作から動作主のエンティティまで~
一意に追跡できる事を確実にする特性。
---ログ
--否認防止 (non-repudiation):
---ある活動又は事象が起きたことを、後になって否認されない...
---通常データ完全性を証明するハッシュ・署名・タイムスタンプ
--信頼性 (reliability):
---意図した動作及び結果に一致する特性
---バグがないこと
-関連
--[[デジタル・フォレンジック>高度午前 - 技術要素 - セキュ...
---責任追跡性 (accountability)
---否認防止 (non-repudiation)
**情報セキュリティ特性 [#u5855cf4]
公共的なシステムでは、完全性と可用性が重要になる。
***基本的特性 [#zee05f88]
前述の[[情報セキュリティ>#ta2bca33]]の定義そのもの。
-機密性 (confidentiality)
-完全性 (integrity)
-可用性 (availability)
***付加的特性 [#we084858]
前述の[[情報セキュリティ>#ta2bca33]]の拡張的。
-真正性 (authenticity)
-責任追跡性 (accountability)
-否認防止 (non-repudiation)
-信頼性 (reliability)
**物理的セキュリティと論理的セキュリティ [#hd88e417]
***物理的セキュリティ [#y54fcb42]
物理的なセキュリティ(耐震、防火、電源、回線、入退館
***論理的セキュリティ [#ube9bf02]
-[[物理的セキュリティ>#y54fcb42]]を除くほか全て。
-以下の3つに分類できる。
--管理的セキュリティ(運用管理)
--人的セキュリティ(教育・訓練・懲戒)
--システム的セキュリティ(技術)
*情報セキュリティ対策 [#ke7cc486]
**機能 [#n9cb18e8]
***予防 [#afa2a597]
-抑止・抑制:~
--脅威の発生を減らす
--(人の意識やモラルに対する)相互牽制
-予防・防止:
--脅威を避ける、脆弱性を減らす
--技術的なシステム脆弱性対策の実施
***検知 [#u8b8d059]
-検知・追跡:
--脅威または脆弱性を早く発見し、対応する
--ログ取得・解析、稼働監視・記録、IDPS、IPS/WAF
-回復:
--早くあるべき状態に復旧する
--バックアップ・リストア、手順
**考え方 [#r77482c1]
***リスク・アセスメント [#n7d68a67]
-~[[リスク定量分析>PMP:計画 - リスク#t0cdf89c]]的な。
--「リスク」=「資産」の価値×「脅威」の大きさ×「脆弱性」...
--「アセスメント」=物事の総体としての量・価値の計算的評...
-コンテンツ
--守るべきものを認識する。
---情報資産
---システム等
--脅威を知る。~
[[攻撃の手段>SC:脅威]]など。
--脆弱性を知り対処する。~
脆弱性の内容と対策の方法。
***方針、基準、手順の整備 [#g55e444b]
[[リスク対応計画>PMP:計画 - リスク#x654cb60]]的な。
-[[情報セキュリティ(のマネジメント・システム)>#ta2bca33...
-方針、基準
--対策有効性の第三者レビュー
--バランス
---セキュリティ
---利便性
--インシデント
--未然防止
--発生時対処
--原則徹底
---最小権限
---債務分離
--ネットワーク
---重要情報システムとインターネットの分離
--システム
---フェールセーフ
---構成・機能の単純化
---重要な機能・設備の分散化
---多層防御(2重・3重の対策)
---[[付加的特性>#ta2bca33]]関連~
認証(識別・特定)やデジタル・フォレンジック(追跡・検証)
*[[情報セキュリティ・マネジメント>#ta2bca33]] [#h8eabeaa]
[[情報セキュリティ特性>#u5855cf4]]を[[情報セキュリティ対...
**PDCA [#x637da55]
PDCAの4ステップを繰り返しながら継続的に推進されていくのが...
-P : 策定
-D :
--教育
--管理
--導入
--運用
-C : 監査
-A : 是正
**[[ISMS>SC#y8c651c9]] [#yd606659]
***制度の概要 [#s8005bd4]
-年表
--2001/4より開始
--1年間はパイロット運用期間
--2002/4より本格運用
--2006よりISO/IEC, JIS化
-[[ISMS>SC#y8c651c9]]の認証@日本
--名称 : [[ISMS>SC#y8c651c9]]適合性評価制度
--JIPDECが認証機関を運営している
---一般財団法人日本情報経済社会推進協会
---JIPDEC : Japan Institute for Promotion of Digital Econ...
-運用体制
--JIPDEC
--認証関連
---認証機関
---評価希望組織
--審査員関連
---要員認証機関
---審査員研修機関
---審査員希望者
-審査の流れ
--認証前審査
---予備審査(任意)
---文書審査(ステップ1)
---実地審査(ステップ2)
--認証後審査
---継続審査(サーベイランス)~
半年 - 1年に一回実施。
---更新審査~
3年に一回、認証前審査と同じ。
***確立と運用の各作業 [#l41e5121]
-確立~
--ステップ0:認証取得準備
---立上
---経営資源割当
---スケジュール決定
--ステップ1:適用範囲・境界の定義
---適用範囲(組織, 情報システム, etc.)
---境界定義(事業, 組織, 拠点, etc.)
--ステップ2:方針の確立
--ステップ3:アセスメントに関する決定
---方法の特定
---受容基準の設定
--ステップ4:リスク特定
---管理責任者の特定
---脅威、脆弱性の洗い出し
---リスクの特定
--ステップ5:リスクの分析・評価~
---リスクの分析(リスク・レベルの算出)
---リスクの評価(受容基準から対応の必要性の有無を検討)
--ステップ6:リスク対応の選択肢の特定・評価
---リスク対応の選択肢の特定
---リスク対応の選択肢の評価
--ステップ7:リスク対応の管理策の決定
---管理策の見落としの確認(附属書Aと比較)
---管理策の適用後の残留リスクの算出
---管理策の文書化(実施基準、実施手順)
---実施に伴う文書化(記録、証拠)
--ステップ8:残留リスクの承認~
リスク所有者から残留リスクの承認を得る
--ステップ9:適用宣言書の作成
---管理策に対応する管理目的・選択理由
---実施済みの管理策
---除外した管理策の正当性
---管理策の文書化(実施基準、実施手順)
---実施に伴う文書化(記録、証拠)
-運用
--管理策の実施
--ISMSの浸透
---教育実施
---ポスター、キャッチコピー
---ハンドブックの作成・配布
--記録収集~
管理策実施の記録収集
--内部監査
--問題改善
***[[適合性評価制度>SC:法制度#r86cb236]] [#n6ab8efd]
*ネットワーク [#ca2c2a73]
**[[IPv4, v6>https://techinfoofmicrosofttech.osscons.jp/i...
**[[UDP, TCP>https://techinfoofmicrosofttech.osscons.jp/i...
**[[DNS>https://techinfoofmicrosofttech.osscons.jp/index....
**[[プロトコル>https://techinfoofmicrosofttech.osscons.jp...
***[[ICMP>https://techinfoofmicrosofttech.osscons.jp/inde...
***[[メール>https://techinfoofmicrosofttech.osscons.jp/in...
***[[HTTP>https://techinfoofmicrosofttech.osscons.jp/inde...
*仮想化、クラウド [#db156c16]
**[[仮想化技術>https://techinfoofmicrosofttech.osscons.jp...
**仮想デスクトップ、デスクトップ仮想化 [#f1594ff0]
VDI、シンクライアントとも呼ばれる。~
IPA定義が[[仮想化技術>#q5afec61]]と違うのでこっちに書く。
***実現方式 [#xe5a5e4e]
|方式|特徴|h
|ネットワーク・ブート方式|ネットワークからブート領域をダ...
|画面転送方式|サーバで実行し画面の未転送する(RSD、XenApp...
***画面転送方式の分類 [#x39a0202]
|方式|特徴|h
|サーバーベース型|サーバのマルチ ユーザ化(RSD、XenApp)|
|ブレードPC型|1ブレード、1デスクトップPC(某社のナント...
|VDI型|1VM、1デスクトップPC(XenDesktop)|
※ 今日日は、ほぼ、VDI型の画面転送方式なんじゃなかろうか?
**クラウド [#z719b55f]
***[[クラウドの基本>https://techinfoofmicrosofttech.ossco...
***[[クラウド利用時の注意事項>https://techinfoofmicrosoft...
ページ名: