⑮ 情報セキュリティの脅威 Flashcards
情報セキュリティとは?
「情報資産」を守ること
情報セキュリティに関する脅威の3種類?
①人的脅威 - 人によって引き起こされる脅威
②技術的脅威 - 技術的な手段によって引き起こされる脅威
③物理的脅威 - 物理的な手段によって直接的に被害を受ける脅威
人的脅威の二つの例?
①クラッキング cracking
悪意を持ってコンピュータに不正侵入してデータを盗む
②ソーシャルエンジニアリング
特別な技術を使わず、人間の物理的なモノを使って機密情報を手に入れること
技術的脅威 例?
① マルウェア
② ボット
③ スパイウェア
④ ランサムウェア
⑤ トロイの木⑥
⑥ RAT Remote Administration Tool
⑦ フィッシング
⑧ SPAM
⑨ DoS攻撃
⑩ 総当たり攻撃 Brute Force Attack
⑪ 辞書攻撃
⑫ パスワードリスト攻撃
⑬ クロスサイトスクリプティング
⑭ セキュリティホール
物理的攻撃 例?
災害、停電、強盗、破壊
リスクマネジメント とは?
会社の活動に伴って発生するリスクを管理し、そのリスクによる損失を最小の費用で食い止めるためのプロセス
リスクマネジメントの4つのプロセス?
リスク特定→リスク分析→リスク評価→リスク対応
リスク対応方法は大きくわけて4つ?
①リスク回避 avoid
②リスク低減 問題発生の可能性を取り下げる
③リスク移転 リスクを他社に移ること
④リスク受容 対策を行わず、許容範囲内として受け入れること
ISMS?
Information Security Management System
★組織の情報資産について、機密性、完全性と可用性の三つをバランスよく維持・改善するための仕組み
ISMSにおけるPDCAとは?
Plan 計画
Do 実行
Check 点検
Act 処置
情報セキュリティポリシーとは?
情報セキュリティに関するその書式の取り組み、対策をまとめた文書
情報セキュリティポリシーは3つの文書で構成されている。その3つは?
①情報セキュリティ基本方針
②情報セキュリティ対策基準
③情報セキュリティ実施手順
情報セキュリティ基本方針?
情報セキュリティに関する取組みを示す文書
情報セキュリティ対策基準とは?
情報セキュリティ基本方針で作成した目標を達成するためのルール集
情報セキュリティ実施手順とは?
情報セキュリティ対策基準で定めたルールを」実施するための手順書。
情報セキュリティ基本方針とその他の2つの違い?
教科書
情報セキュリティマネジメントの三大特性?
①機密性 confidentiality 認められた人だけが情報にアクセスできること
②完全性 integrity 改ざんされていないデータ
③可用性 availability 必要な時にサービスを利用できること
暗号技術とは?
暗号化する前の、誰でも読める文章は何という?
”文章を読めなくする技術”
★平文 (ひらぶん)
共通鍵暗号方式?
欠点は?
暗号化と復号で同じ鍵を使う暗号化方式
欠点:
相手に安全に共通鍵を送る方法がない
公開鍵暗号方式とは?
公開鍵暗号方式の欠点?
暗号化するために一つのカギを使って
(公開鍵)復号するためにもう一つのカギ(秘密鍵)を使う
★公開鍵と秘密鍵はペアになっている
★公開鍵は複数の人持っている、秘密鍵は一人しか持たない
欠点:
公開鍵はだれでも持てるから他の人の名前でメール送ることができる
あと、共通鍵暗号方式より時間かかる
デジタル署名の仕組み?
秘密鍵で暗号化する
公開鍵で復号する
特定の人が暗号化して、だれでも復号できる
認証局とは?
CA- certification authority
データに設定されているデジタル署名が本人であるかどうか証明する第三者機関
PKIとは?
public key infrastructure
公開鍵の正当性を認証局に保証してもらう仕組み
脅威への対策3つのパターンに分けると?
①人的セキュリティ対策
⓶技術的セキュリティ対策
⓷物理的セキュリティ対策
