情報セキュリティ関連試験対策ノート(最後のあがき)

最終更新日 2006/05/02
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート
Homeに戻る
(Tomのネットワーク勉強ノート) 
サイトマップ
iTAC テクニカルエンジニア
(ネットワーク)塾講義ノート 
過去問題(午後)
  テクニカルエンジニア (ネットワーク) 
  情報セキュリティ アドミニストレータ 
  テクニカルエンジニア
(情報セキュリティ)(午前・午後)
  基本情報技術者(午前・午後)
ネットワーク関連試験対策ノート
情報セキュリティ関連験対策ノート
情報処理用語辞書
自宅で出来るネットワーク簡易実習 
私の勉強法 
情報処理試験勉強に役立った本たち
更新履歴 
リンク集  
プロフィール 
国内旅行の下調べ
---Tomのトラベルオンラインリンク
(新幹線、時刻表、金券ショップ、
格安航空券など)
   
  mail
ショッピング

    Powered By 楽天市場

 

スポンサー:
トリップアドバイザー
エイビーロード
グンゼeStyle
株式会社ハイパーボックス
kakaku FX
ホテルリステル猪苗代
競馬サーチ.com
キーマンズネット
初心者でも安心の専用サーバーはこちら!
オンライン予約:割引きあります。・・・ホテル489ネット
通貨オプションなら<kakaku FX>
ロリポップ!レンタルサーバー
ネットローン
アパホテル
ブルックス

 他

 

Tomのネットワーク勉強ノート
 情報セキュリティ関連験対策ノート
   情報セキュリティ関連試験対策ノート(最後のあがき)

試験も直前。やることはやったはず。

でも、時間はまだ残されているし、一つでも詰め込みたい。(前日の眠れない夜とか、会場までの電車の中とか)そんな時用に、作ってみました。当たるとは限りませんが、気持ちは楽になるでしょう。


1.セキュリティポリシの構成

  1)基本方針
    @声明
    A目的
    B情報セキュリティの位置付け
    C用語の定義
    D対象範囲
    E情報セキュリティマネージメント体制
    F準拠性
    G罰則

  2)対策基準
    @情報の取り扱い
      情報の重要区分と重要度に応じた管理方法
    A物理セキュリティ
      情報システムの設置条件や付帯設備について
    B要員セキュリティ
      社員、派遣社員、アルバイト管理、セキュリティ教育、啓発活動について
    C技術セキュリティ
      情報セキュリティ管理者に要求される事項
        アクセス管理、ユーザ管理、ネットワークセキュリティ
      情報システム利用者に要求される事項
        パスワード管理、ウイルス管理、行動規範
    D情報システムの開発
      調達要件、開発要件
    Eアウトソーシング
      情報システムの開発や、運用を外部委託する際のセキュリティ上の要件について
    F事業継続計画
      セキュリティ問題発見時の対応について

2.ISMS(情報セキュリティ管理)を行うステップ

  1 組織レベルのセキュリティポリシの策定
  2 適用範囲の定義
  3 リスクの評価
  4 リスクマネージメント方針の決定
  5 セキュリティ対策の選択
  6 情報セキュリティポリシの策定
  7 情報セキュリティの運用
  8 情報セキュリティの見直し

3.運用管理

  1)マニュアル作成・見直し
  2)セキュリティポリシの定期的な見直し
  3)アクセスログの監視
    ・ログ採取
      監査可能な事象を収集する。
    ・ログ検証
      セキュリティの非準拠性検証。
      証拠を提出できるようにしておく。
    ・適切な保存
      不正アクセスの証拠を削除されないように
      別媒体へ保存しておくこと
  4)利用者への教育、管理者への訓練
    教育、訓練の範囲
      全社員及び社内情報資産を利用する外部関係者に対して定期的に指導を行う
        理由)
          ・セキュリティ意識の向上
          ・一人のミスや、不正がセキュリティレベルを下げるため 
  5)セキュリティポリシに対する最新情報の収集

4.アクセス管理

  ファイウォールの設定
    1)初期段階での対策
      @必要なサービス以外は起動不可にする。
      AデフォルトのユーザIDを変更、又は使用不可にする。
    2)運用時の対策
      最新のセキュリティホールに対する情報入手に努め、
      早急に対応できる体制を作っておく。

5.ユーザ管理

  1)パスワードの運用
    @ユーザアカウント発行元がユーザアカウント、仮パスワードを発行
    Aユーザは最初にログイン時にパスワードを変更する
    Bパスワードはサーバに保管されるが、一方向性暗号化する
    Cパスワードの一定期間ごとの変更
    D過去と同一パスワード不可
    Eログインに一定回数失敗すると、アカウントのロックアウト
    F紙などに書いたりしない
    Gシングルサインオン
    H名前や生年月日など推測されやすいものは避ける
    I一定の長さ以上とする

  2)認証技術
    所持しているもの
      @パスワード、ワンタイムパスワード
      AIDカード
      B発信者番号通知 / コールバック
    本人しか知らないもの
      Cゼロ知識証明
    Dバイオメトリック認証

  3)ユーザ管理で最も重要なものは?
    ユーザアカウント管理(追加、移動、削除  特に削除は重要)

6.ネットワークセキュリティ

  1)LAN技術
    @DMZを設置する理由
      内部と外部を直接通信させないため
      内部->外部
        踏み台にされないため
        身元を明かさないため
      外部->内部
        直接攻撃されないため
    A武装セグメント、DMZのそれぞれのサーバの目的

  武装セグメント

DMZ

wwwサーバ 社内用 社外公開用
mailサーバ 社内アクセス用 外<->内 中継用
DNSサーバ セカンダリ プライマリ

    Bmailサーバを武装セグメントにも設置する理由
      メールボックスの格納場所
                 格納場所
        DMZ+武装  メールボックスの情報はすぐ武装セグメントへ移動
        DMZのみ   DMZ・・・これが危険

  2)WAN技術
    @VPNの長・短所
      長所
        a.安価
        b.ネットワーク管理が容易
      短所
        a.帯域が保証されない
        b.1ヶ所の侵入が全てのVPNに影響する
    Aリモートアクセスの脅威
      漏えい・・・不正アクセス、ダウンロードされたデータ、プリントアウトされた紙
      改ざん・・・不正アクセス
      消去

7.ウイルス対策

  1)定義
    次の3つのうち、1つでも該当すればウイルス
      a.発病機能
      b.自己伝染機能
      c.潜伏機能
  2)ウイルス発生の原因と対策
    @パターンファイルが自動更新でない場合
      対策)自動更新のワクチンソフトを導入
    A常駐機能を切るユーザがいる
      対策)常駐を切れない設定にする

8.情報システムの開発

  ペネトレーション試験
    外部から意図的に内部に攻撃を加えることにより、
      @セキュリティコントロールレベルの妥当性を検証
      A監査証跡(ログ)が性格に残っているかを検証
      B"攻撃を加えられた"ことに管理者が気付くか
    をテストする。

9.セキュリティマネージメント

  取り組みに対する留意点
    @基準    セキュリティポリシ
    A組織    体制
    B教育    教育
    C経営    経営者の意識
    Dリソース  資源

10.セキュリティコントロール

  4要素
    @予防
    A抑止
    B検出
    C回復

11.セキュリティ対策

  1)技術面
    @暗号化
    Aファイアウォール
  2)運用面
    @利用者への教育
    A管理者への訓練
    B管理簿
    Cマニュアル
  3)ポリシ面
    @セキュリティポリシについて
      規則、組織、体制
      ポリシにあれば見直し、遵守。なければ策定

  11-1 暗号化

              暗号化して有効なのは?
               T盗聴防止
               Uなりすまし防止
        V改ざん防止(改ざん検知)
                W否認防止

      公開鍵暗号方式と共通鍵暗号方式
       公開鍵暗号方式
                    (イ)公開鍵と秘密鍵で1SET
         (ロ)Hash関数を使ってMessageDigestを作成・・・Digest作成AlgorithmとしてMD5が有名
         (ハ)RSAが有名  =>素因数分解の技術を使う。
                共通鍵暗号方式
         (イ)1対の共通鍵を使用
                    (ロ)DESが有名
                    (ハ)鍵の受け渡し方法を考えておく必要がある。
                公開鍵暗号方式と、共通鍵暗号方式を比較して、、、
         (イ)公開鍵暗号方式は暗号化、複合化に時間が掛かる。
                    (ロ)公開鍵暗号方式の方が、鍵の管理はラク

12.ISO/IEC 17799の6要素

  @機密性            
  A完全性 
  B可用性  
  C責任追跡性
  D真正性
  E信頼性

13.法規

  1)個人情報保護法
    @5つの原則
      a.利用目的による制限
      b.適正な取得
      c.正確性の確保
      d.完全性の確保
      e.透明性の確保
    A5つの原則のキーワード
       (利用目的による制限)
         第四条 個人情報は、その利用の目的が明確にされるとともに、当該目的の達成に必要な
               範囲内
で取り扱われなければならない。
       (適正な取得)
         第五条 個人情報は、適法かつ適正な方法で取得されなければならない。
       (正確性の確保)
         第六条 個人情報は、その利用の目的の達成に必要な範囲内で正確かつ最新の内容に保た
               れなければならない。
       (安全性の確保)
         第七条 個人情報の取扱いに当たっては、漏えい、滅失又はき損の防止その他の安全管理
               のために必要かつ適切な措置
が講じられるよう配慮されなければならない。
       (透明性の確保)
         第八条 個人情報の取扱いに当たっては、本人が適切に関与し得るよう配慮されなければ
               ならない。

  2)プライバシー保護法と個人データの国際流通についてのガイドラインに関する理事会勧告(OECD:経済協力開発機構)
    @8つの基本方針
      a. 収集制限の原則
      b. データ内容の原則
      c. 目的明確化の原則
      d. 利用制限の原則
      e. 安全保障の原則
      f. 公開の原則
      g. 個人参加の原則
      h. 責任の原則

  3)プライバシーマーク制度(JIPDEC:日本情報処理開発協会)
    個人情報保護が適切に行われていることを認定
    適合基準;
      個人情報保護に関するコンプライアンスプログラムの要求事項(JIS Q 15001)
         広義には、個人情報保護を実践するためのマネージメントシステム、
         狭義には、管理するための「運用、細則などが書かれたドキュメント」を現す。
         3つの概念
          @利用
            収集方法の明確化、変更方法、廃棄タイミングなどを規定
            要求時に開示できる情報と出来ない情報を規定
          A提供
            本人には、情報提供先に情報を提供した旨を明示し、同意を得て、
            情報提供先には当該情報の利用制限と厳正化を求める
          B預託
            補充担当会社の安全対策に関して、必要に応じてシステム監査を実施できるようにし、
            機密保持契約を締結する。

  4)ISMS(情報セキュリティ管理)適合性評価制度(JIPDEC:日本情報処理開発協会)
    セキュリティ管理の適切な運営を認定

  5)民間部門における電機計算機処理に係る個人情報保護に関するガイドライン
    民間企業等が取り扱う個人情報の適切な保護のため事業者団体がその構成員の事業の実情に応じた業種別の
    ガイドラインを定める際の指針となる項目を定め、民間企業等がその活動の実態に応じた個人情報保護
    のためのコンプライアンス・プログラム(実践遵守計画)を策定することを支援し、および促進することを目的とする。

 


Tomのネットワーク勉強ノート
 情報セキュリティ関連験対策ノート
   情報セキュリティ関連試験対策ノート(最後のあがき)
    資格試験関連書
『ネットワークスペシャリスト』
 
セキュリティ・ウイルス対策関連書

秋に向けて!

送料無料!