これから【情報セキュリティマネジメント試験】を学ばれる方向けにゆるく解説していきます。
「テキストを見てると眠くなる」
「カタカナが出てくるとイラっとする」
そんな方大歓迎です!
セキュリティの基本概念
情報セキュリティマネジメントといえば、
まず知っておきたいのは、
「情報セキュリティのCIA」です。
情報セキュリティマネジメントの
一丁目一番地です!
ちょっと古いかな。
具体的には
・気密性(Confidentiality)
→怪しい人には使わせないよ
「例えば、社員の給与情報を無関係な社員が閲覧できないようにすること。」
・完全性(Integrity)
→情報は確かだよ
「例えば、取引先の銀行口座情報が誤って変更されないように保護すること。」
・可用性(Availability)
→使いたいときに使えるよ
「例えば、オンラインショップが24時間アクセス可能であること。」
利用する人や団体のことを
「エンティティ」と言います。
頭文字をとってCIAです。
さらに、
・真正性・・・名乗ってる人は本人で間違いないよ
・責任追跡性・・・誰が?いつ?何した?を追うよ
・信頼性・・・そのシステムちゃんと動いてるよ
・否認防止・・・やっぱ違うなんて言わせないよ
以上7つの性質を基本特性と覚えておきましょう。
脅威と脆弱性
漢字が出てきてもイラっとするんだけどねぇ(#)
難しい言葉を使いますが、この2つの言葉はこれから何度も出てきますので、覚えちゃいましょう。
脅威・・・攻撃のこと(ウイルスやサイバー攻撃)
脆弱性・・弱点のこと(欠陥やセキュリティホール)
※セキュリティホール→「システムの欠陥や弱点のこと。」
そして脅威よる影響をインシデント、
そのインシデントが起きる可能性をリスク
といいます。
リスクは何となくわかるけど、インシデントは聞きなれないな。
ポリデントなら知ってるけど…
ポリデントは一旦つけ置きして、
もうちょっと進みましょう!!
その脅威は大きく3つに分かれます。
| 物理的脅威 | 物が壊れるとか盗まれるとか、物理的に被害が及ぶこと 例:オフィスに侵入され、パソコンが盗まれた |
| 技術的脅威 | 何らかのシステム障害とかで、IT環境で被害が及ぶこと 例:ランサムウェアによるシステム障害が発生 |
| 人的脅威 | 人による誤操作とかが原因で、人による被害が及ぶこと 例:社員がフィッシングメールに騙され、機密情報を漏洩 |
情報資産
もう分からなくなってきたよ↓
この項目が最後ですから、根性見せましょうよ↑
個人情報やパスワードなどの機密情報まで、脅威から守るもののことを情報資産と呼び、
次のような種類に分類されます。
| 情報 | 個人情報や機密情報など |
| ソフトウェア資産 | 表計算ソフトやワープロソフトなど |
| 物理的資産 | PC本体やプリンタ、USBなど |
| サービス | 保守サービスや通信サービスの他に暖房、照明、電源、空調なども含まれます。 |
| 人的資産 | 人、人がもつ資格、技術、経験など人に関わるもの |
| 無形資産 | 評判やイメージ、ブランドなど |
まとめ
お疲れさまでした。
もう心折れそう…
ここまで学習したことを整理するために、マインドマップに落としてみましょう。
うーん、最初は眺めるところから始めてみよう
マインドマップについては、前回のコラムを参照ください。
コメント