スライドモード

情報セキュリティ管理 ITパスポート対策テクノロジ系技術要素編⑨

3 views

2023-11-072023-11-07

リスクマネジメント

リスクとは損害が発生する確率のことであり、リスクマネジメントは,リスクの特定・分析・評価・対応という流れでリスクを管理します。

リスクマネジメントの流れ

リスクアセスメント

リスクを特定し、分析、評価するまでの活動をリスクアセスメントといいます。

リスク対応

リスクへの対応策には次のようなものがあります。

リ スク回避リスクの発生原因を取り除きます。例えば、リスクとなっているソフトウェアの使用をやめるなどがこれにあたります。
リ スク低減対策をすることでリスクのは発生確率を下げます。
リスク共有リスクを分散したり、第三者に移転したりします。サイバー保険をかけるなどがこれに該当します。
リスク保有リスクをそのままにしておきます。発生確率や損害が対策にかかる費用と比べてかなり小さい時にとられる対策です。

情報セキュリティマネジメント

情報セキュリティ管理に関する総合的なフレームワークとしてISMS (Information Security Management System)があり、これに関連する規格としてJIS Q 27001(ISO/IEC 27001)があります。

情報セキュリティの3大要素

ISMSでは、機密性,完全性,可用性の3つを情報セキュリティの3要素としています。

機密性許可されていない人やソフトウェアには情報にアクセスさせない特性。
完全性内容が不正に書き換えられず整合性が保たれるという特性。
可用性使用した時に使用できる状態になっているという特性。

また、これに加え、真正性,責任追跡性,否認防止,信頼性も情報セキュリティに重要な要素として知られています。

真正性本物であることが確認できる特性。
責任追跡性操作を追跡し誰が何を行ったかを証明できる特性。
否認防止ある事象が起きたことを後から否認することができないようにすること。
信頼性不具合なく正常に動作し、期待した通りの結果が得られる特性。

ISMSにおけるPDCAサイクル

ISMSでは、PDCAサイクルによる継続的な改善が求められています。

  • Plan リスクに対する対応計画、目標の策定
  • Do セキュリティ対策の導入、運用
  • Check セキュリティが保てているか評価
  • Act 見直し、改善

情報セキュリティポリシー

情報セキュリティに対する組織の基本方針や行動指針をまとめて文書化したものを情報セキュリティポリシー(情報セキュリティ方針)といいます。

個人情報保護

プライバシーマーク制度

個人情報を適切に取り扱っている事業者を認定する制度です。認定を受けるとプライバシーマーク(Pマーク)という商標を表示することができるようになります。

プライバシーマーク

プライバシーポリシー

情報システムなどにおいて個人情報をどのように取り扱うのかを文書化し利用者に示したものをプライバシーポリシー

(個人情報保護方針)といいます。

情報セキュリティ組織・機関

情報セキュリティに関連する期間や組織には以下のものがあります。

CSIRT

企業や行政機関に設置されるセキュリティインシデントに対応するための組織です。各CSIRTの情報共有や連携を図る機関としてJPCERT/CCがあります。

J-CSIP(サイバー情報共有イニシアティブ)

IPA(情報処理推進機構)が中心となってサイバー攻撃に関する情報などを集約、共有する取り組みです。

サイバーレスキュー隊(J-CRAT)

IPA内に設置されている組織で、サイバー攻撃を受けた企業や公的機関から相談を受け付け、被害拡大防止などの支援活動を行っています。

SECURITY ACTION

中小企業が情報セキュリティ対策に取り組んでいることを自ら宣言する制度です。

届出制度

IPAが運営するサイバー攻撃や脆弱性に関する届出制度には、

  1. コンピュータ不正アクセス届出制度
  2. コンピュータウイルス届出制度
  3. ソフトウェア等の脆弱性関連情報に関する届出制度

があります。

確認問題(過去問)

ITパスポート試験令和4年問76

情報セキュリティのリスクマネジメントにおけるリスク対応を, リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類するとき,情報漏えい発生時の損害に備えてサイバー保険に入ることはどれに分類されるか。

ITパスポート試験令和元年問56

次の作業 a~dのうち,リスクマネジメントにおける, リスクアセスメントに含まれるものだけを全て挙げたものはどれか。

  1. リスク特定
  2. リスク分析
  3. リスク評価
  4. リスク対応

ITパスポート試験平成30年春問70

ISMSにおけるリスク分析に関する記述として,適切なものはどれか。

ITパスポート試験令和2年問84

ISMSの情報セキュリティリスク対応における,人的資源に関するセキュリティ管理策の記述として,適切でないものはどれか。

ITパスポート試験令和3年問67

ISMS における情報セキュリティに関する次の記述中の a, b に入れる字句の適切な組合せはどれか。

情報セキュリティとは,情報の機密性,完全性及び a を維持することであ る。さらに,真正性,責任追跡性,否認防止, b などの特性を維持することを含める場合もある。

ITパスポート試験令和3年問77

PDCA モデルに基づいて ISMS を運用している組織の活動において, リスクマネジメントの活動状況の監視の結果などを受けて,是正や改善措置を決定している。この作業は, PDCA モデルのどのプロセスで実施されるか。

ITパスポート試験令和3年問88

ISMS のリスクアセスメントにおいて,最初に行うものはどれか。

ITパスポート試験令和5年問79

PDCAモデルに基づいて ISMS を運用している組織の活動において,次のような調査報告があった。 この調査は PDCA モデルのどのプロセスで実施されるか。

社外からの電子メールの受信に対しては, 情報セキュリティポリシーに従ってマルウェア検知システムを導入し, 維持運用されており, 日々数十件のマルウェア付き電子メールの受信を検知し, 破棄するという効果を上げている。 しかし, 社外への電子メールの送信に関するセキュリティ対策のための規定や明確な運用手順がなく, 社外秘の資料を添付した電子メールの社外への誤送信などが発生するリスクがある。

ITパスポート試験令和5年問94

ISMSにおける情報セキュリティ方針に関する記述として, 適切なものはどれか。

ITパスポート試験平成30年問98

コンピュータやネットワークに関するセキュリティ事故の対応を行うことを目的とした組織を何と呼ぶか。

ITパスポート試験令和3年問81

J-CRAT に関する記述として,適切なものはどれか。

ITパスポート試験令和3年問問79

中小企業の情報セキュリティ対策普及の加速化に向けて, IPA が創設した制度である“SECURITY ACTION” に関する記述のうち,適切なものはどれか。

これだけで受かるITパスポート

https://ja.mondder.com

link-image

IT・ICT

ユーザーアイコン

Official

このアカウントで公開されている過去問に解説をつけたいという方がおられましたら問題差し上げますのでご連絡下さい。。

TwitterLINEHatenaURL