1.1 情報セキュリティの概念 〜 1.2 情報セキュリティの特性と基本的な考え方
情報セキュリティスペシャリスト取得のために、以下の本で勉強をスタートしています。
情報処理教科書 情報セキュリティスペシャリスト 2013年版
- 作者: 上原孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2012/09/11
- メディア: 単行本(ソフトカバー)
- 購入: 1人 クリック: 1回
- この商品を含むブログを見る
これひと通りやったら「マスタリングTCP/IP」でも買ってネットワークよりに手を出したい。
1.1 情報セキュリティの概念
セキュリティとは
安全
情報セキュリティとは
情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追及性、否認防止及び信頼性のような特性を維持することを含めてもよい
JIS Q 27001, JIS Q 27002より
つまり
企業や組織の重要な財産(資産)である情報(情報資産)のセキュリティを確保し、維持すること
が情報セキュリティ
情報セキュリティには2種類ある
物理的セキュリティと論理的セキュリティ
1.2 情報セキュリティの特性と基本的な考え方
機密性 (Confidentiality)
権限がある人間だけが情報にアクセス(や書き換えなどの操作)を行える
完全性 (Integrity)
データに欠落、重複、改ざんがない(矛盾・以上がない)
可用性 (Availability)
頻繁に使えなくなったりしない。動いてるけど遅すぎて使えなかったりしない。
→多重化、バックアップ、定期的な保守で可用性を高められる
↑の3つで「C・I・A」と覚える
情報セキュリティの定義によると、以下の特性を加える場合もある
真正性
なりすましがない
責任追及性
動作の主体が一意に追跡できる
否認防止
証拠がある
信頼性
操作や結果に矛盾がない、期待どおりである
情報セキュリティのためには何をすればいいのか
- どんなリスクがあるか、どの程度影響があるのかを分析する
- 何を守ればいいのか、どの程度守ればいいのか考える
- どんな脅威があるのか考える
- 現在どこが脆弱なのかを知って対応する
- 情報セキュリティの基準と方針をはっきりさせて、手順を決める
- 使いやすさとのバランスを考える
- 問題が起きないように気をつけつつ、起きた時の被害を抑える対応をする
- 第三者レビュー
- 「最小権限の原則」
- 一人に似たような複数の権限を与えない
- フェールセーフ
- シンプルなシステムにする
- 分散化
- 多重化