新しい資格取得の勉強を始めたからと言って、こっちを忘れたわけではありませんよ〜(笑)
というわけで、まずは例の教本の第一章から。
もちろん、書籍の内容をまとめて云々するのは、著作権的にもどうなの?ということはありますから、前にも伝えたとおり、私が勉強する上でしっかり学習したところ、ということに的を絞っていきます。
最初は概念的なことになりますが、用語に関してはちゃんと押さえておかないと思わぬところで減点対象とされるかも知れません。
★情報・・・物理媒体だけに限定されないことに注意。口頭での伝達も立派な”情報”伝達。盗み聞きも立派な情報漏洩です。
★情報セキュリティの三本柱(CIA)
→アクセスできるのは誰か(機密性)、アクセスする情報はホンモノか(完全性)、いつでもアクセスできるか(可用性)
・機密性(Confidentiality)・・・いわゆるアクセス権のこと。PC上のファイル・フォルダにのみ適用される考え方ではない。たとえばプリントアウトやコピーなどの紙媒体が、誰でもそれを持ち出せる場所に放置されていたら、アクセスコントロールは不適切ということです。この辺が、単にPCネットワークにおけるデータセキュリティのための試験ではないことを物語っている・・・のかも。
・完全性(Integrity)・・・改ざんされたり、情報が(一部)消失したりしていないこと。もっともポピュラーなのがデジタル署名(デジタル証明書)。データベースにおけるロールバック処理なんかも(データの)完全性を担保する仕組みと考えられるかも(原子性と説明されますが)。
・可用性(Availability)・・・使いたいと思ったときに使える状態であること。アップデートですぐにシステムごと再起動を要求されるようではマズイということですな(笑)
コレが犯されれば、(情報)セキュリティが確保されていないことになる。確保するには、当然コストがかかります(=情報セキュリティはコスト項目!)。敢えてそのコストをかけず、セキュリティ管理を行わないという選択肢もあり得る(コストパフォーマンスが悪すぎれば、そのセキュリティ対策は選択しえないから)。
←ROI(Return On Investment)で判断することも。
★脅威、脆弱性、リスク
「泥棒は、鍵のかかっていない家屋に侵入するものである」
・脅威・・・守るべき情報(資産)を脅かすもの。この例なら泥棒の存在。
・脆弱性・・問題を顕在化させる”状態”。この例なら鍵をしてない家屋のこと。
・リスク・・脅威が脆弱性をついて引き起こす問題そのもの。
例)
泥棒のいないセカイ・・・脅威が存在しないため、リスクは顕在化しない。
ロックしない家はない・・脆弱性が存在しないため、リスクは顕在化しない。
家宝がない・・・・・・・(情報)資産が存在しないため、リスクは顕在化しない。
・脅威の種類
・物理的脅威・・・地震雷火事泥棒とか、目に見える(わかりやすい)脅威。
→耐震化、耐火構造、バイオメトリクス認証など
・技術的脅威・・・不正アクセスとかウィルスとか、テクニカルな手法による脅威。
→アクセス権設定、ウィルス対策、パッチ対応など
・人的脅威・・・・内部犯(悪意)、ミス(不注意)、サボタージュ(無自覚)。
→フールプルーフ(Fool Proof)。愚かさ(Fool)=間違いによって不具合が起こらないようにする(Proof)。
★リスクマネジメント
「リスクを定量的・定性的に分析・評価し(アセスメント)、対応策を検討する(回避、最適化、移転、保有、受容)」
・リスク回避・・・リスク因子を排除してしまう
・リスク最適化・・リスクが顕在化しても被害を最小限にするための措置を講じる
・リスク移転・・・他の会社のせいにする(アウトソーシング、保険)
・リスク保有・・・リスクの可能性を認めつつ、敢えてそれを保持する
←リスクが顕在化しないようにする、しても最小限に抑える=業務継続性の観点
→コンティンジェンシープラン(Contingency Plan)。緊急事態を想定して対応策を策定しておく。
守らなければいけない資産は何で、それをどのように管理するか(リスク要因の分析と対応)、リスクが顕在化したときにどうするのかをあらかじめきちんと考えておく、ということがポイント!
