ファイナンス、情報通信技術のスキル・アグリゲーション・サイト

' . iseeit.jp 情報通信技術 . '
 

情報セキュリティ・キーワード 2016 ③ 情報セキュリティ管理策編

『JIS Q 27002:2014 情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範(ISO/IEC 27002:2013 Information technology - Security techniques - Code of practice for information security controls)』は、組織が ISMS を構築し、情報セキュリティ対策を実施するたの規範(ベストプラクティス)がまとめられた規格です。情報セキュリティ管理策(Information Security Controls)の実践規範(Code of Practice)が記されています。

1.管理策とは

JIS Q 27000:2014 において、 管理策 (control)は、「リスクを修正(modifying)する対策」と定義されています。「管理策には,リスクを修正するためのあらゆるプロセス,方針,仕掛け,実務及びその他の処置を含む」ものですが、「常に意図又は想定した修正効果を発揮するとは限らない」ことにも留意が必要です。

JIS Q 27001:2014 の「6.1.3 情報セキュリティリスク対応」では、組織が管理策を決定するにあたって、「リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する」、「選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する」(組織が「必要な管理策を設計」するか,「任意の情報源の中から管理策を特定」する)、「附属書 A に示す管理策と比較し,必要な管理策が見落とされていないことを検証する」、などを示しています。

JIS Q 27001:2014 の「附属書 A」は,管理目的及び管理策の包括的なリストです。必要な管理策の見落としがないことを確実にするために,参照することが求められています。なお、附属書 A に規定した管理目的及び管理策は,全てを網羅してはいないため,追加の管理目的及び管理策が必要な場合があります。

JIS Q 27002:2014 では、「この規格は,情報セキュリティ管理策について,14 の箇条で構成し,そこに,合計で 35 のカテゴリ及び 114 の管理策を規定している。」( 4 規格の構成 ) と説明されています。

「各管理策のカテゴリには,次の事項が含まれる。」( 4.2 管理策のカテゴリ )

  • a)達成すべきことを記載した「管理目的」
  • b)管理目的を達成するために適用できる一つ以上の管理策

管理策の記載は,次のように構成する。

管理策

管理目的を満たすための特定の管理策を規定する。

実施の手引

管理策を実施し,管理目的を満たすことを支持するためのより詳細な情報を提供する。手引は,必ずしも全ての状況において適していない又は十分でない可能性があり,組織の特定の管理策の要求事項を満たせない可能性がある。

関連情報

考慮が必要と思われる関連情報(法的な考慮事項,他の規格への参照など)を提供する。考慮が必要な更なる情報がない場合は,この部分は削除される。

2.情報セキュリティ管理策(抜粋)

JIS Q 27002:2014 の 14 の箇条(管理分野)からそれぞれ、情報セキュリティ管理策の記載を抜粋して参照していきます。

なお、「9 アクセス制御」では、利用者認証技術や生体認証技術の種類について補足したほか、特に、「11 物理的及び環境的セキュリティ」の記載に重点をおいていきます。

「5 情報セキュリティのための方針群」

目的

情報セキュリティのための経営陣の方向性及び支持を,事業上の要求事項並びに関連する法令及び規制に従って提示するため。( 5.1 情報セキュリティのための経営陣の方向性 )

管理策

情報セキュリティのための方針群は,これを定義し,管理層が承認し,発行し,従業員及び関連する外部関係者に通知することが望ましい。( 5.1.1 情報セキュリティのための方針群 )

実施の手引

方針群のより低いレベルでは,情報セキュリティ方針は,トピック固有の個別方針によって支持されることが望ましい。このトピック固有の個別方針は,情報セキュリティ管理策の実施を更に求めるもので,一般に組織内の対象となる特定のグループの要求に対処するように,又は特定のトピックを対象とするように構成されている。

個別方針のトピックの例を,次に示す。

  • a)アクセス制御(箇条 9 参照)
  • b)情報分類(及び取扱い)(8.2 参照)
  • c)物理的及び環境的セキュリティ(箇条 11 参照)
  • d)次のような,エンドユーザ関連のトピック
    • 1)資産利用の許容範囲(8.1.3 参照)
    • 2)クリアデスク・クリアスクリーン(11.2.9 参照)
    • 3)情報転送(13.2.1 参照)
    • 4)モバイル機器及びテレワーキング(6.2 参照)
    • 5)ソフトウェアのインストール及び使用の制限(12.6.2 参照)
  • e)バックアップ(12.3 参照)
  • f)情報の転送(13.2 参照)
  • g)マルウェアからの保護(12.2 参照)
  • h)技術的ぜい弱性の管理(12.6.1 参照)
  • i)暗号による管理策(箇条 10 参照)
  • j)通信のセキュリティ(箇条 13 参照)
  • k)プライバシー及び個人を特定できる情報(以下,PII という。)の保護(18.1.4 参照)
  • l)供給者関係(箇条 15 参照)

「6 情報セキュリティのための組織」

目的

組織内で情報セキュリティの実施及び運用に着手し,これを統制するための管理上の枠組みを確立するため。( 6.1 内部組織 )

管理策

相反する職務及び責任範囲は,組織の資産に対する,認可されていない若しくは意図しない変更又は不正使用の危険性を低減するために,分離することが望ましい。( 6.1.2 職務の分離 )

実施の手引

認可されていない状態又は検知されない状態で,一人で資産に対してアクセス,修正又は使用ができないように注意することが望ましい。

… など。

「テレワーキングとは,オフィス以外で行うあらゆる作業形態をいう。これには,“コンピュータ端末を用いた在宅勤務(telecommuting)”,“柔軟な作業場(flexible workplace)”,“遠隔作業”及び“仮想的な作業”の環境のような,従来とは異なる作業環境を含む。」

目的

モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため。( 6.2 モバイル機器及びテレワーキング )

管理策

モバイル機器を用いることによって生じるリスクを管理するために,方針及びその方針を支援するセキュリティ対策を採用することが望ましい。( 6.2.1 モバイル機器の方針 )

実施の手引

モバイル機器の方針で,個人所有のモバイル機器の使用が許されている場合は,その方針及び関連するセキュリティ対策において,次の事項も考慮することが望ましい。

a)機器の私的な使用と業務上の使用とを区別する。このような区別を可能とし,個人所有の機器に保存された業務データを保護するためのソフトウェアの使用も含む。

… など。

管理策

テレワーキングの場所でアクセス,処理及び保存される情報を保護するために,方針及びその方針を支援するセキュリティ対策を実施することが望ましい。( 6.2.2 テレワーキング )

実施の手引

テレワーキング活動を許可する組織は,テレワーキングを行う場合の条件及び制限を定めた方針を発行することが望ましい。法令が適用され,これによって認可されるとみなされる場合には,次の事項を考慮することが望ましい。

d)個人所有の装置で情報を処理及び保管できないようにする仮想デスクトップへのアクセスの提供

… など。

「7 人的資源のセキュリティ」

目的

従業員及び契約相手が,情報セキュリティの責任を認識し,かつ,その責任を遂行することを確実にするため。( 7.2 雇用期間中 )

管理策

組織の全ての従業員,及び関係する場合には契約相手は,職務に関連する組織の方針及び手順についての,適切な,意識向上のための教育及び訓練を受け,また,定めに従ってその更新を受けることが望ましい。( 7.2.2 情報セキュリティの意識向上,教育及び訓練 )

実施の手引

情報セキュリティの教育及び訓練には,例えば,次のような一般的な側面も含めることが望ましい。

d)情報セキュリティに関する基本的な手順(例えば,情報セキュリティインシデントの報告)及び基本的な管理策(例えば,パスワードのセキュリティ,マルウェアの制御,クリアデスク)

… など。

「8 資産の管理」

目的

媒体に保存された情報の認可されていない開示,変更,除去又は破壊を防止するため。( 8.3 媒体の取扱い )

管理策

組織が採用した分類体系に従って,取外し可能な媒体の管理のための手順を実施することが望ましい。( 8.3.1 取外し可能な媒体の管理 )

実施の手引

取外し可能な媒体の管理のために,次の事項を考慮することが望ましい。

a)再利用可能な媒体を組織から移動する場合に,その内容が以後不要であるならば,これを復元不能とする。

… など。

「9 アクセス制御」

目的

情報及び情報処理施設へのアクセスを制限するため。( 9.1 アクセス制御に対する業務上の要求事項 )

管理策

アクセス制御方針は,業務及び情報セキュリティの要求事項に基づいて確立し,文書化し,レビューすることが望ましい。( 9.1.1 アクセス制御方針 )

実施の手引

アクセス制御は,論理的かつ物理的(箇条 11 参照)なものであり,この両面を併せて考慮することが望ましい。

… など。

関連情報

アクセス制御方針を方向付けるために用いられることが多い二つの原則を,次に示す。

a)知る必要性(Need to know)  各人は,それぞれの職務を実施するために必要な情報へのアクセスだけが認められる(職務及び/又は役割が異なれば知る必要性も異なるため,アクセスプロファイルも異なる。)。

b)使用する必要性(Need to use)  各人は,それぞれの職務,業務及び/又は役割を実施するために必要な情報処理施設(IT 機器,アプリケーション,手順,部屋など。)へのアクセスだけが認められる。

… など。

目的

システム及びサービスへの,認可された利用者のアクセスを確実にし,認可されていないアクセスを防止するため。( 9.2 利用者アクセスの管理 )

管理策

秘密認証情報の割当ては,正式な管理プロセスによって管理することが望ましい。( 9.2.4 利用者の秘密認証情報の管理 )

実施の手引

正式な管理プロセスには,次の事項を含むことが望ましい。

e)仮の秘密認証情報は,一人一人に対して一意とし,推測されないものとする。

… など。

関連情報

パスワードは,一般に用いられている秘密認証情報の一つで,利用者の本人確認の一般的な手段である。

その他の秘密認証情報には,認証コードを作成するハードウェアトークン(例えば,スマートカード)に保管された暗号鍵及びその他のデータがある。

目的

利用者に対して,自らの秘密認証情報を保護する責任をもたせるため。( 9.3 利用者の責任 )

管理策

秘密認証情報の利用時に,組織の慣行に従うことを,利用者に要求することが望ましい。( 9.3.1 秘密認証情報の利用 )

実施の手引

全ての利用者に,次の事項を実行するように助言することが望ましい。

b)秘密認証情報を,例えば,紙,ソフトウェアのファイル,携帯用の機器に,記録して保管しない。ただし,記録がセキュリティを確保して保管され,その保管方法が承認されている場合には,この限りではない[例えば,パスワード保管システム(password vault)]。

… など。

関連情報

シングル サインオン(SSO)又はその他の秘密認証情報管理ツールを用いると,利用者に保護を求める秘密認証情報が減り,これによって,この管理策の有効性を向上させることができる。しかし,秘密認証情報の漏えいの影響も大きくなり得る。

目的

システム及びアプリケーションへの,認可されていないアクセスを防止するため。( 9.4 システム及びアプリケーションのアクセス制御 )

管理策

アクセス制御方針で求められている場合には,システム及びアプリケーションへのアクセスは,セキュリティに配慮したログオン手順によって制御することが望ましい。( 9.4.2 セキュリティに配慮したログオン手順 )

実施の手引

強い認証及び識別情報の検証が必要な場合には,パスワードに代えて,暗号による手段,スマートカード,トークン,生体認証などの認証方法を用いることが望ましい。

… など。

【補足】情報セキュリティ技術(利用者認証、ログイン )

IC カード

IC チップモジュールが埋め込まれ、認証情報などを記録する。スマートカード (smart card) やチップカード (chip card) とも呼ばれる。

PIN コード

( Personal Identification Number )

個人を識別するための番号。暗証番号。4桁から8桁の数字の組み合わせが用いられる。

ワンタイムパスワード

ログイン時のパスワードに、その場限りで有効な文字列を生成して用いられる。使い捨てパスワード。パスワードの生成には、セキュリティトークンや、ハードウェアトークンと呼ばれる専用装置が使用されるほか、スマートフォンのアプリで提供される場合も多い。

多要素認証

(Multi Factor Authentication)

複数の要素を併用する認証方式。

シングルサインオン

一回の利用者認証で複数のアプリケーションやサービスなどを利用できるようにする。

CAPTCHA

( Completely Automated Public Turing test to tell Computers and Humans Apart )

歪んだ文字や数字が埋め込まれた画像を表示して、その入力の一致を確認して、コンピュータでないことを確認するために使われる。

パスワードリマインダ

パスワードを本人が忘れてしまった時に、登録時に本人確認を行ったメールアドレスへ専用ページを案内したり、あらかじめ設定した「秘密の質問」に回答させたりして、再設定を行えるようにする機能。

【補足】情報セキュリティ技術(生体認証技術)

指紋認証

指の指紋

静脈パターン認証

手のひらや指などの静脈血管

虹彩認証

目の中の虹彩

声紋認証

発せられた声の波形の特徴

顔認証

顔のいくつかの特徴

網膜認証

目の網膜の毛細血管

署名認証

筆記時の軌跡・速度・筆圧の変化などの癖

「10 暗号」

目的

情報の機密性,真正性及び/又は完全性を保護するために,暗号の適切かつ有効な利用を確実にするため。( 10.1 暗号による管理策 )

管理策

情報を保護するための暗号による管理策の利用に関する方針は,策定し,実施することが望ましい。( 10.1.1 暗号による管理策の利用方針 )

実施の手引

暗号による管理策は,様々な情報セキュリティ目的を達成するために,例えば,次のように利用できる。

a)機密性  保管又は伝送される,取扱いに慎重を要する情報又は重要な情報を守るための,情報の暗号化の利用

b)完全性・真正性  保管又は伝送される,取扱いに慎重を要する情報又は重要な情報の完全性・真正性を検証するための,ディジタル署名又はメッセージ認証コードの利用

c)否認防止  ある事象又は活動が,起こったこと又は起こらなかったことの証拠を提供するための,暗号技術の利用

d)認証  システム利用者,システムエンティティ及びシステム資源へのアクセスを要求している,又はこれらとやり取りしている,利用者及びその他のシステムエンティティを認証するための,暗号技術の利用

… など。

管理策

暗号鍵の利用,保護及び有効期間(lifetime)に関する方針を策定し,そのライフサイクル全体にわたって実施することが望ましい。( 10.1.2 鍵管理 )

実施の手引

方針には,暗号鍵の生成,保管,保存,読出し,配布,使用停止及び破壊を含むライフサイクル全体にわたって,暗号鍵を管理するための要求事項を含めることが望ましい。

全ての暗号鍵は,改変及び紛失から保護することが望ましい。さらに,秘密鍵及びプライベート鍵は,認可されていない利用及び開示から保護する必要がある。鍵の生成,保管及び保存のために用いられる装置は,物理的に保護されることが望ましい。

秘密鍵及びプライベート鍵をセキュリティを保って管理することに加え,公開鍵の真正性についても考慮することが望ましい。この認証プロセスは,認証局によって通常発行される公開鍵証明書を用いて実施される。この認証局は,要求された信頼度を提供するために適切な管理策及び手順を備えている,認知された組織であることが望ましい。

… など。

「11 物理的及び環境的セキュリティ」

目的

組織の情報及び情報処理施設に対する認可されていない物理的アクセス,損傷及び妨害を防止するため。( 11.1 セキュリティを保つべき領域 )

管理策

取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために,物理的セキュリティ境界を定め,かつ,用いることが望ましい。( 11.1.1 物理的セキュリティ境界 )

実施の手引

物理的セキュリティ境界について,次の事項を,必要な場合には,考慮し,実施することが望ましい。

c)敷地又は建物への物理的アクセスを管理するための有人の受付又はその他の手段を備える。敷地及び建物へのアクセスは,認可された要員だけに制限する。

… など。

管理策

セキュリティを保つべき領域は,認可された者だけにアクセスを許すことを確実にするために,適切な入退管理策によって保護することが望ましい。( 11.1.2 物理的入退管理策 )

実施の手引

この管理策の実施については,次の事項を考慮することが望ましい。

d)全ての従業員,契約相手及び外部関係者に,何らかの形式の,目に見える証明書の着用を要求する。

… など。

管理策

オフィス,部屋及び施設に対する物理的セキュリティを設計し,適用することが望ましい。( 11.1.3 オフィス,部屋及び施設のセキュリティ )

実施の手引

オフィス,部屋及び施設のセキュリティを保つために,次の事項を考慮することが望ましい

c)施設は,秘密の情報又は活動が外部から見えたり聞こえたりしないように構成する。該当する場合,電磁遮蔽も考慮する。

… など。

管理策

自然災害,悪意のある攻撃又は事故に対する物理的な保護を設計し,適用することが望ましい。( 11.1.4 外部及び環境の脅威からの保護 )

実施の手引

火災,洪水,地震,爆発,暴力行為,及びその他の自然災害又は人的災害からの損傷を回避する方法について,専門家の助言を得ることが望ましい。

目的

資産の損失,損傷,盗難又は劣化,及び組織の業務に対する妨害を防止するため。( 11.2 装置 )

管理策

装置は,環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し,保護することが望ましい。( 11.2.1 装置の設置及び保護 )

実施の手引

装置を保護するために,次の事項を考慮することが望ましい。

g)情報処理施設の運用に悪影響を与えることがある環境条件(例えば,温度,湿度)を監視する。

… など。

管理策

データを伝送する又は情報サービスをサポートする通信ケーブル及び電源ケーブルの配線は,傍受,妨害又は損傷から保護することが望ましい。( 11.2.3 ケーブル配線のセキュリティ )

実施の手引

ケーブル配線のセキュリティのために,次の事項を考慮することが望ましい。

a)情報処理施設に接続する電源ケーブル及び通信回線は,可能な場合には,地下に埋設するか,又はこれに代わる十分な保護手段を施す。

… など。

管理策

構外にある資産に対しては,構外での作業に伴った,構内での作業とは異なるリスクを考慮に入れて,セキュリティを適用することが望ましい。( 11.2.6 構外にある装置及び資産のセキュリティ )

実施の手引

構外にある装置の保護のために,次の事項を考慮することが望ましい。

c)在宅勤務,テレワーキング及び一時的サイトのような構外の場所についての管理策を,リスクアセスメントに基づいて決定し,状況に応じた管理策(例えば,施錠可能な文書保管庫,クリアデスク方針,コンピュータのアクセス制御,セキュリティを保ったオフィスとの通信)を適切に適用する。

… など。

管理策

記憶媒体を内蔵した全ての装置は,処分又は再利用する前に,全ての取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去していること,又はセキュリティを保って上書きしていることを確実にするために,検証することが望ましい。( 11.2.7 装置のセキュリティを保った処分又は再利用 )

実施の手引

秘密情報又は著作権のある情報を格納した記憶媒体は,物理的に破壊することが望ましく,又はその情報を破壊,消去若しくは上書きすることが望ましい。消去又は上書きには,標準的な消去又は初期化の機能を利用するよりも,元の情報を媒体から取り出せなくする技術を利用することが望ましい。

管理策

書類及び取外し可能な記憶媒体に対するクリアデスク方針,並びに情報処理設備に対するクリアスクリーン方針を適用することが望ましい。( 11.2.9 クリアデスク・クリアスクリーン方針 )

クリアデスクとは,机上に書類を放置しないことをいう。また,クリアスクリーンとは,情報をスクリーンに残したまま離席しないことをいう。

実施の手引

この管理策の実施については,次の事項を考慮することが望ましい。

b)コンピュータ及び端末は,離席時には,ログオフ状態にしておくか,又はパスワード,トークン若しくは類似の利用者認証機能で管理されたスクリーン及びキーボードのロック機能によって保護している。また,利用しないときは,施錠,パスワード又は他の管理策によって保護している。

… など。

「12 運用のセキュリティ」

目的

情報及び情報処理施設がマルウェアから保護されることを確実にするため。( 12.2 マルウェアからの保護 )

管理策

マルウェアから保護するために,利用者に適切に認識させることと併せて,検出,予防及び回復のための管理策を実施することが望ましい。( 12.2.1 マルウェアに対する管理策 )

実施の手引

マルウェアからの保護は,マルウェアに対する検出・修復ソフトウェア,情報セキュリティに対する認識,及びシステムへの適切なアクセス・変更管理についての管理策に基づくことが望ましい。この管理策の実施については,次の事項を考慮することが望ましい。

b)認可されていないソフトウェアの使用を防止又は検出するための管理策の実施(例えば,アプリケーションのホワイトリスト化)

c)悪意のあるウェブサイトであると知られている又は疑われるウェブサイトの使用を,防止又は検出するための管理策の実施(例えば,ブラックリスト)

… など。

目的

データの消失から保護するため。( 12.3 バックアップ )

管理策

情報,ソフトウェア及びシステムイメージのバックアップは,合意されたバックアップ方針に従って定期的に取得し,検査することが望ましい。( 12.3.1 情報のバックアップ )

実施の手引

災害又は媒体故障の発生の後に,全ての重要な情報及びソフトウェアの回復を確実にするために,適切なバックアップ設備を備えることが望ましい。

… など。

「13 通信のセキュリティ」

目的

組織の内部及び外部に転送した情報のセキュリティを維持するため。( 13.2 情報の転送 )

管理策

あらゆる形式の通信設備を利用した情報転送を保護するために,正式な転送方針,手順及び管理策を備えることが望ましい。( 13.2.1 情報転送の方針及び手順 )

実施の手引

情報転送のために通信設備を利用するときに従う手順及び管理策は,次の事項を考慮することが望ましい。

a)転送する情報を,盗聴,複製,改ざん,誤った経路での通信及び破壊から保護するために設計された手順

… など。

管理策

電子的メッセージ通信に含まれた情報は,適切に保護することが望ましい。( 13.2.3 電子的メッセージ通信 )

実施の手引

電子的メッセージ通信のための情報セキュリティには,次の事項を考慮することが望ましい。

f)公開されているネットワークからのアクセスを制御する,より強固な認証レベル

… など。

「14 システムの取得,開発及び保守」

目的

試験に用いるデータの保護を確実にするため。( 14.3 試験データ )

管理策

試験データは,注意深く選定し,保護し,管理することが望ましい。( 14.3.1 試験データの保護 )

実施の手引

PII又はその他の秘密情報を含んだ運用データは,試験目的に用いないことが望ましい。PII 又はその他の秘密情報を試験目的で用いる場合には,取扱いに慎重を要する詳細な記述及び内容の全てを,消去又は改変することによって保護することが望ましい。

… など。

「15 供給者関係」

目的

供給者がアクセスできる組織の資産の保護を確実にするため。( 15.1 供給者関係における情報セキュリティ )

管理策

組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について,供給者と合意し,文書化することが望ましい。( 15.1.1 供給者関係のための情報セキュリティの方針 )

実施の手引

組織は,供給者による組織の情報へのアクセスに具体的に対処するため,方針において情報セキュリティ管理策を特定し,これを義務付けることが望ましい。

… など。

「16 情報セキュリティインシデント管理」

目的

セキュリティ事象及びセキュリティ弱点に関する伝達を含む,情報セキュリティインシデントの管理のための,一貫性のある効果的な取組みを確実にするため。( 16.1 情報セキュリティインシデントの管理及びその改善 )

管理策

16.1.1 責任及び手順  情報セキュリティインシデントに対する迅速,効果的かつ順序だった対応を確実にするために,管理層の責任及び手順を確立することが望ましい。( 16.1.1 責任及び手順 )

実施の手引

情報セキュリティインシデント管理の目的について,経営陣が同意していることが望ましく,また,情報セキュリティインシデント管理について責任ある人々が,組織が決めた情報セキュリティインシデントの取扱いの優先順位を理解していることを確実にすることが望ましい。

… など。

「17 事業継続マネジメントにおける情報セキュリティの側面」

目的

情報処理施設の可用性を確実にするため。( 17.2 冗長性 )

管理策

情報処理施設は,可用性の要求事項を満たすのに十分な冗長性をもって,導入することが望ましい。( 17.2.1 情報処理施設の可用性 )

実施の手引

既存のシステムアーキテクチャを利用しても可用性を保証できない場合には,冗長な構成要素又はアーキテクチャを考慮することが望ましい。 該当する場合,一つの構成要素から別の構成要素への切替え(failover)が意図したとおりに動作することを確実にするために,冗長な情報システムを試験することが望ましい。

… など。

「18 順守」

目的

情報セキュリティに関連する法的,規制又は契約上の義務に対する違反,及びセキュリティ上のあらゆる要求事項に対する違反を避けるため。( 18.1 法的及び契約上の要求事項の順守 )

管理策

プライバシー及び PII の保護は,関連する法令及び規制が適用される場合には,その要求に従って確実にすることが望ましい。( 18.1.4 プライバシー及び個人を特定できる情報(PII)の保護 )

実施の手引

プライバシー及び PII の保護に関する組織の方針を確立して実施することが望ましい。この方針は,PIIの処理に関与する全ての者に伝達することが望ましい。

… など。

3.情報処理技術試験の過去問題

試験問題の全文は、https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html をご覧ください。


平成27年度春期共通試験午前Ⅰ問題
問12 バスワードに使用できる文字の種類の数を M, パスワードの文字数を n とするとき, 設定できるパスワードの理論的な総数を求める数式はどれか。

  • ア Mn
  • M!
    (M-n)!
  • M!
    n!(M-n)!
  • (M+n-1)!
    n!(M-n)!

正解 ア


平成25年度秋期共通試験午前Ⅱ問題
問 7 テンベスト技術の説明とその対策として, 適切なものはどれか。

  • ア ディスプレイなどから放射される電磁波を傍受し, 表示内容などを盗み見る技術であり, 電磁波を遮断することによって対抗する。
  • イ データ通信の途中でパケットを横取りし, 内容を改ざんする技術であり, ディジタル署名を利用した改ざん検知によって対抗する。
  • ウ マクロウイルスにおいて使われる技術であり, ウイルス対策ソフトを導入し, 最新の定義ファイルを適用することによって対抗する。
  • エ 無線 LAN の信号を傍受し, 通信内容を解析する技術であり, 通信パケットを暗号化することによって対抗する。

正解 ア


平成24年度秋期SC試験午前Ⅱ問題
問20 HTTP の認証機能を利用するクライアント側の処理として, 適切なものはどれか。

  • ア ダイジェスト認証では, 利用者 ID とパスワードを “:" で連結したものを, MD5 を使ってエンコードし Authorization ヘッダで指定する。
  • イ ダイジェスト認証では, 利用者 ID とパスワードを “:" で連結したものを, SHA を使ってエンコードし Authorization ヘッダで指定する。
  • ウ ベーシック認証では, 利用者 ID とパスワードを “:” で連結したものを, BASE64 でエンコードし Authorization へッダで指定する。
  • エ ベーシック認証では, 利用者 ID とパスワードを “:" で連結したものを, エンコードせずに Authorization ヘッダで指定する。

正解 ウ


平成21年度春期SC試験午前Ⅱ問題 問 3
平成22年度秋期SC試験午前Ⅱ問題 問 1
平成24年度秋期共通試験午前Ⅰ問題
問13 シングルサインオンの説明のうち, 適切なものはどれか。

  • ア クッキーを使ったシングルサインオンの場合, サーバごとの認証情報を含んだクッキーをクライアントで生成し, 各サーバ上で保存, 管理する。
  • イ クッキーを使ったシングルサインオンの場合, 認証対象のサーバを, 異なるインターネットドメインに配置する必要がある。
  • ウ リバースプロキシを使ったシングルサインオンの場合, 認証対象の Web サーバを, 異なるイン夕ーネッ トドメインに配置する必要がある。
  • エ リバースプロキシを使ったシングルサインオンの場合, 利用者認証においてパスワードの代わりにディ ジタル証明書を用いることができる。

正解 エ


平成23年度特別SC試験午前Ⅱ問題
問 8 サーバへのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策の組合せのうち, 適切なものはどれか。

辞書攻撃 スニッフィング ブルートフォース攻撃
パスワードを平文で送信しない。 ログインの試行回数に制限を設ける。 ランダムな値でパスワードを設定する。
ランダムな値でパスワードを設定する。 パスワードを平文で送信しない。 ログインの試行回数に制限を設ける。
ランダムな値でパスワードを設定する。 ログインの試行回数に制限を設ける。 パスワードを平文で送信しない。
ログインの試行回数に制限を設ける。 ランダムな値でパスワードを設定する。 パスワードを平文で送信しない。

正解 イ


平成23年度特別SC試験午前Ⅱ問題
問15 IC カードの耐タンパ性を高める対策はどれか。

  • ア IC カードと IC カードリーダとが非接触の状態で利用者を認証して, 利用者の利便性を高めるようにする。
  • イ 故障に備えてあらかじめ作成した予備の IC カードを保管し, 故障時に直ちに予備カードに交換して利用者が IC カードを使い続けられるようにする。
  • ウ 信号の読出し用プローブの取付けを検出すると IC チップ内の保存情報を消去する回路を設けて, IC チップ内の情報を容易に解析できないようにする。
  • エ 退職者の IC カードは業務システム側で利用を停止して, ほかの利用者が使用できないようにする。

正解 ウ


平成22年度秋期SC試験午前Ⅱ問題
問15 SSL の利用に関する記述のうち, 適切なものはどれか。

  • ア SSL で使用する個人認証用のディジタル証明書は IC カードなどに格納できるので, 格納場所を特定の PC に限定する必要はない。
  • イ SSL は Web サーバを経由した特定の利用者聞の通信のために開発されたブロトコルであり, Web サーパ提供者への事前の利用者登録が不可欠である。
  • ウ SSL を利用する Web サーバのディジ夕ル証明書には IP アドレスの組込みが必須なので' Web サーバの IP アドレスを変更する場合は, ディジタル証明書を再度取得する必要がある。
  • エ 日本国内では, SSL で使用する共通鍵の長さは 128 ビット未満に制限されている。

正解 ア

③情報セキュリティ管理策編を公開しました。

《アーカイブ》 情報セキュリティ試験直前対策メモ2006

第1回 無線LAN編

第2回 VPN編

第3回 暗号化編

(≪補足≫ 暗号・復号の基本フロー

第4回 認証編

第5回 PKI編

第6回 セキュリティプロトコル編

第7回 サーバセキュリティ編

第8回 脅威の実態編

第9回 アクセス監視編

最終回 規格編