ISMSISMS
情報セキュリティマネジメントシステム(ISMS:Information Security Management System)は、企業の情報セキュリティを管理するもの。経営陣を頂点として、組織全体で取り組む。
また、PDCAサイクルを繰り返して、継続的に実施するよ。
0 / 04
情報セキュリティ委員会は、ISMSを推進する企業に置かれる組織。
情報セキュリティポリシ
情報セキュリティポリシは、企業で実施する情報セキュリティ対策の方針や行動指針のこと。次の3つで構成されるよ。
| 情報セキュリティ基本方針 | 対策基準や実施手順を定めるためのトップマネジメントの意思を示す。 情報セキュリティの目標や目標達成のために取るべき行動を定めるよ。 |
| 情報セキュリティ対策基準 | 基本方針に基づいて、適用する規則、範囲、対象者などを定める。 |
| 情報セキュリティ実施手順 | 対策基準に基づいて、どのように実施するか具体的な手順を定める。 |
情報セキュリティ
情報セキュリティは、企業の情報資産(顧客情報、営業情報、人事情報など)の安全を確保すること。
そのために、次の7つを維持することが求められるよ。
| 機密性(Confidentiality) | 許可された者だけがアクセスできる。 |
| 完全性(Integrity) | データを最新かつ正しい状態にする。 |
| 可用性(Availability) | 安定して稼働できる、必要なときにアクセスできる。 |
| 真正性(Authenticity) | 本物であり間違っていない。 |
| 責任追跡性(Accountability) | 誰が行ったか分かる。 |
| 否認防止(Non-Repudiation) | ある人物がある行為を行なったことを、後になって否定できないようにする。 |
| 信頼性(Reliability) | 要求された機能を提供できる。 |
不正のトライアングル
不正のトライアングルでは、下の3つの要素が揃ったとき、不正行為が発生すると考えられている。
0 / 03
情報セキュリティの脅威
情報セキュリティの脅威には、次の3つがある。
物理的脅威
物理的に損害を受ける脅威。地震、火災、停電、故障、破壊、盗難など。
技術的脅威
技術を使った脅威。マルウェア、Dos攻撃、盗聴、改ざん、スパムメール、フィッシング、クロスサイトスクリプティングなど。
人的脅威
人が原因である脅威。誤操作、紛失、ソーシャルエンジニアリングなど。
サイバーキルチェーン
サイバーキルチェーンは、サイバー攻撃を7段階に分けて、攻撃者の考え方や行動を表したもの。
サイバーキルチェーンのいずれかの段階で断ち切ることができれば、被害の発生を防ぐことができるよ。
STEP
01
偵察(Reconnaissance)
標的となる個人や組織を調査する。例えば、インターネットやメールへの潜入が挙げられる。
STEP
02
武器化(Weaponization)
攻撃のためのエクスプロイトやマルウェアなどを作成する。
STEP
03
デリバリー(Delivery)
マルウェアや悪意あるリンクを添付したメールを送る。また、標的のシステムへアクセスする。
STEP
04
エクスプロイト(Exploitation)
標的にエクスプロイトやマルウェアを実行させる。
STEP
05
インストール(Installation)
エクスプロイトが成功し、標的がマルウェアに感染する。これでマルウェアが実行可能となる。
STEP
06
C&C(Command and Control)
マルウェアとC&Cサーバーが通信できるようになり、標的の遠隔操作が可能となる。
STEP
07
目的の実行(Actions on Objectives)
情報漏洩、盗聴、改ざん、データ破壊、サービス停止など攻撃者の目的が実行される。
脆弱性利用型不正プログラム(エクスプロイト)は、ソフトウェアの脆弱性やセキュリティ上の欠陥を利用するコードのこと。脆弱性があるコンピュータで、不正な操作の実行や感染活動ができるようにする。通常、マルウェアに組み込まれているよ。
C&Cサーバーは、不正なコマンドを遠隔で送信するために使うサーバのこと。