試験も直前。やることはやったはず。
でも、時間はまだ残されているし、一つでも詰め込みたい。(前日の眠れない夜とか、会場までの電車の中とか)そんな時用に、作ってみました。当たるとは限りませんが、気持ちは楽になるでしょう。
1.セキュリティポリシの構成
1)基本方針
@声明
A目的
B情報セキュリティの位置付け
C用語の定義
D対象範囲
E情報セキュリティマネージメント体制
F準拠性
G罰則
2)対策基準
@情報の取り扱い
情報の重要区分と重要度に応じた管理方法
A物理セキュリティ
情報システムの設置条件や付帯設備について
B要員セキュリティ
社員、派遣社員、アルバイト管理、セキュリティ教育、啓発活動について
C技術セキュリティ
情報セキュリティ管理者に要求される事項
アクセス管理、ユーザ管理、ネットワークセキュリティ
情報システム利用者に要求される事項
パスワード管理、ウイルス管理、行動規範
D情報システムの開発
調達要件、開発要件
Eアウトソーシング
情報システムの開発や、運用を外部委託する際のセキュリティ上の要件について
F事業継続計画
セキュリティ問題発見時の対応について
2.ISMS(情報セキュリティ管理)を行うステップ
1 組織レベルのセキュリティポリシの策定
2 適用範囲の定義
3 リスクの評価
4 リスクマネージメント方針の決定
5 セキュリティ対策の選択
6 情報セキュリティポリシの策定
7 情報セキュリティの運用
8 情報セキュリティの見直し
3.運用管理
1)マニュアル作成・見直し
2)セキュリティポリシの定期的な見直し
3)アクセスログの監視
・ログ採取
監査可能な事象を収集する。
・ログ検証
セキュリティの非準拠性検証。
証拠を提出できるようにしておく。
・適切な保存
不正アクセスの証拠を削除されないように
別媒体へ保存しておくこと
4)利用者への教育、管理者への訓練
教育、訓練の範囲
全社員及び社内情報資産を利用する外部関係者に対して定期的に指導を行う
理由)
・セキュリティ意識の向上
・一人のミスや、不正がセキュリティレベルを下げるため
5)セキュリティポリシに対する最新情報の収集
4.アクセス管理
ファイウォールの設定
1)初期段階での対策
@必要なサービス以外は起動不可にする。
AデフォルトのユーザIDを変更、又は使用不可にする。
2)運用時の対策
最新のセキュリティホールに対する情報入手に努め、
早急に対応できる体制を作っておく。
5.ユーザ管理
1)パスワードの運用
@ユーザアカウント発行元がユーザアカウント、仮パスワードを発行
Aユーザは最初にログイン時にパスワードを変更する
Bパスワードはサーバに保管されるが、一方向性暗号化する
Cパスワードの一定期間ごとの変更
D過去と同一パスワード不可
Eログインに一定回数失敗すると、アカウントのロックアウト
F紙などに書いたりしない
Gシングルサインオン
H名前や生年月日など推測されやすいものは避ける
I一定の長さ以上とする
2)認証技術
所持しているもの
@パスワード、ワンタイムパスワード
AIDカード
B発信者番号通知 / コールバック
本人しか知らないもの
Cゼロ知識証明
Dバイオメトリック認証
3)ユーザ管理で最も重要なものは?
ユーザアカウント管理(追加、移動、削除 特に削除は重要)
6.ネットワークセキュリティ
1)LAN技術
@DMZを設置する理由
内部と外部を直接通信させないため
内部->外部
踏み台にされないため
身元を明かさないため
外部->内部
直接攻撃されないため
A武装セグメント、DMZのそれぞれのサーバの目的
|
武装セグメント |
DMZ |
wwwサーバ |
社内用 |
社外公開用 |
mailサーバ |
社内アクセス用 |
外<->内 中継用 |
DNSサーバ |
セカンダリ |
プライマリ |
Bmailサーバを武装セグメントにも設置する理由
メールボックスの格納場所
格納場所
DMZ+武装 メールボックスの情報はすぐ武装セグメントへ移動
DMZのみ DMZ・・・これが危険
2)WAN技術
@VPNの長・短所
長所
a.安価
b.ネットワーク管理が容易
短所
a.帯域が保証されない
b.1ヶ所の侵入が全てのVPNに影響する
Aリモートアクセスの脅威
漏えい・・・不正アクセス、ダウンロードされたデータ、プリントアウトされた紙
改ざん・・・不正アクセス
消去
7.ウイルス対策
1)定義
次の3つのうち、1つでも該当すればウイルス
a.発病機能
b.自己伝染機能
c.潜伏機能
2)ウイルス発生の原因と対策
@パターンファイルが自動更新でない場合
対策)自動更新のワクチンソフトを導入
A常駐機能を切るユーザがいる
対策)常駐を切れない設定にする
8.情報システムの開発
ペネトレーション試験
外部から意図的に内部に攻撃を加えることにより、
@セキュリティコントロールレベルの妥当性を検証
A監査証跡(ログ)が性格に残っているかを検証
B"攻撃を加えられた"ことに管理者が気付くか
をテストする。
9.セキュリティマネージメント
取り組みに対する留意点
@基準 セキュリティポリシ
A組織 体制
B教育 教育
C経営 経営者の意識
Dリソース 資源
10.セキュリティコントロール
4要素
@予防
A抑止
B検出
C回復
11.セキュリティ対策
1)技術面
@暗号化
Aファイアウォール
2)運用面
@利用者への教育
A管理者への訓練
B管理簿
Cマニュアル
3)ポリシ面
@セキュリティポリシについて
規則、組織、体制
ポリシにあれば見直し、遵守。なければ策定
11-1 暗号化
暗号化して有効なのは?
T盗聴防止
Uなりすまし防止
V改ざん防止(改ざん検知)
W否認防止
公開鍵暗号方式と共通鍵暗号方式
公開鍵暗号方式
(イ)公開鍵と秘密鍵で1SET
(ロ)Hash関数を使ってMessageDigestを作成・・・Digest作成AlgorithmとしてMD5が有名
(ハ)RSAが有名 =>素因数分解の技術を使う。
共通鍵暗号方式
(イ)1対の共通鍵を使用
(ロ)DESが有名
(ハ)鍵の受け渡し方法を考えておく必要がある。
公開鍵暗号方式と、共通鍵暗号方式を比較して、、、
(イ)公開鍵暗号方式は暗号化、複合化に時間が掛かる。
(ロ)公開鍵暗号方式の方が、鍵の管理はラク
12.ISO/IEC 17799の6要素
@機密性
A完全性
B可用性
C責任追跡性
D真正性
E信頼性
13.法規
1)個人情報保護法
@5つの原則
a.利用目的による制限
b.適正な取得
c.正確性の確保
d.完全性の確保
e.透明性の確保
A5つの原則のキーワード
(利用目的による制限)
第四条 個人情報は、その利用の目的が明確にされるとともに、当該目的の達成に必要な
範囲内で取り扱われなければならない。
(適正な取得)
第五条 個人情報は、適法かつ適正な方法で取得されなければならない。
(正確性の確保)
第六条 個人情報は、その利用の目的の達成に必要な範囲内で正確かつ最新の内容に保た
れなければならない。
(安全性の確保)
第七条 個人情報の取扱いに当たっては、漏えい、滅失又はき損の防止その他の安全管理
のために必要かつ適切な措置が講じられるよう配慮されなければならない。
(透明性の確保)
第八条 個人情報の取扱いに当たっては、本人が適切に関与し得るよう配慮されなければ
ならない。
2)プライバシー保護法と個人データの国際流通についてのガイドラインに関する理事会勧告(OECD:経済協力開発機構)
@8つの基本方針
a. 収集制限の原則
b. データ内容の原則
c. 目的明確化の原則
d. 利用制限の原則
e. 安全保障の原則
f. 公開の原則
g. 個人参加の原則
h. 責任の原則
3)プライバシーマーク制度(JIPDEC:日本情報処理開発協会)
個人情報保護が適切に行われていることを認定
適合基準;
個人情報保護に関するコンプライアンスプログラムの要求事項(JIS
Q 15001)
広義には、個人情報保護を実践するためのマネージメントシステム、
狭義には、管理するための「運用、細則などが書かれたドキュメント」を現す。
3つの概念
@利用
収集方法の明確化、変更方法、廃棄タイミングなどを規定
要求時に開示できる情報と出来ない情報を規定
A提供
本人には、情報提供先に情報を提供した旨を明示し、同意を得て、
情報提供先には当該情報の利用制限と厳正化を求める
B預託
補充担当会社の安全対策に関して、必要に応じてシステム監査を実施できるようにし、
機密保持契約を締結する。
4)ISMS(情報セキュリティ管理)適合性評価制度(JIPDEC:日本情報処理開発協会)
セキュリティ管理の適切な運営を認定
5)民間部門における電機計算機処理に係る個人情報保護に関するガイドライン
民間企業等が取り扱う個人情報の適切な保護のため事業者団体がその構成員の事業の実情に応じた業種別の
ガイドラインを定める際の指針となる項目を定め、民間企業等がその活動の実態に応じた個人情報保護
のためのコンプライアンス・プログラム(実践遵守計画)を策定することを支援し、および促進することを目的とする。
|