1.2 情報セキュリティの特性と基本的な考え方
P5~P16
9:58~10:25
1.2.1 情報セキュリティの三つの特性
- 機密性(Confidentialty):アクセス制御し権限のある者だけが指定の情報資産を扱えるようにする特性
- 完全性(Integrity):データの正当性、正確性、網羅性、一貫性を維持する特性
- 可用性(Availability):システムが必要な時に正常なサービスを提供できる状態を維持する特性
1.2.2 情報セキュリティの付加的な特性
- 真正性(authenticity):扱っている者が本人であることを確実にする特性
- 責任追跡性(acoountability):利用者、プロセス、システムなどの動作について一いに追跡できる特性
- 否認防止性(non-repudiation):ある事象について後になって否認されないことが証明できる特性
- 信頼性(reliability):システムの実行操作や、処理の結果に矛盾がなく期待される結果と整合がとれることを確実にする特性
1.2.3 情報セキュリティ対策の機能
- 抑止・抑制:セキュリティポリシの策定などを行い、事前に防止
- 予防・対策:システムの脆弱性を事前にのぞき対策
- 検知・追跡:サイバー攻撃や内部犯罪を早期発見し、損害を抑える機能
- 回復:正常な状態に回復させる機能
1.2.4 情報セキュリティ対策における基本的な考え方
- 対策を検討する前にリスクアセスメント
- 守るべきもの(情報資産、システム等)を認識する
- 脅威を知る
- 脆弱性を知り、対処する
- 情報セキュリティの方針、基準を明確にし手順等を整備する
- セキュリティと利便性のバランスをとる
- インシデントの未然防止に努めつつ、発生時に備えた対処を確実に行う
- 対策の有効性について第三者によるレビューを行う
- 最小権限の原則を徹底する
- 責務の分離の原則を徹底する
- 重要な情報を取り扱うシステムとインターネット接続環境を分離する
- フェールセーフ(障害発生時に安全な方向へ向かうように)を考慮する。
- システムの構成や機能を単純にする
- システムや設備の重要な機能を分散化する
- 2重3重の対策を施す(決済においては端末レベルと本人認証の2回チェックする)
- 利用者等を一意に識別し事象の追跡、検証を可能とする