セキュアド合格講座 http://su.afinax.com/ 情報セキュリティにおける脅威の認識情報セキュリティアドミニストレータは、情報セキュリティに関して、現代社会に対する脅威の情報を広く収集し、分析、整理しなければなりません。 1. 環境的脅威：地震、火災、落雷など。 2. 偶発的脅威：データの誤削除、入力ミス、設定の間違いなど。 3. 意図的脅威：不正アクセス、コンピュータウイルス、盗聴、改竄など。人為的脅威脅威の分類にはさまざまな観点があり、1.技術的脅威、2.物理的脅威、3.人的脅威の 3 つに分類する場合などがあります。いずれの場合でも、保護すべき情報資産（情報システム、データ、人材、ドキュメントなど）を整理し、ヒアリングなどを通じて、情報資産の価値（重要度、致命度）を、情報セキュリティの観点から明らかにしておく必要があります。リスクの識別  投機リスク：利益が出る可能性と同時に、損失が発生する可能性もあるリスクのこと。動態的リスク。例えば株式投資など。  純粋リスク：損失が発生する可能性だけがあるリスク。静態的リスク。ISMS は、この純粋リスクのみを対象としています。情報セキュリティアドミニストレータ試験【平成 18 年午前問 37 改】セキュリティの概念及びモデルにおいて、情報資産に対する脅威を、環境的脅威、偶発的脅威、意図的脅威の 3 つに分類した場合、偶発的脅威に分類されるものはどれか。ア盗聴イコンピュータウイルスウ入力の誤りエ地震偶発的脅威は、ウの入力の誤りや設定ミス、マシントラブルのような物理的な事故が含まれます。アとイは意図的脅威、エは環境的脅威です。 Page 1/8 Copyright © Kanya Ishikawa All Rights Reserved. セキュアド合格講座 http://su.afinax.com/ 分類脅威対策例技術的脆弱性物理的脆弱性人的脆弱性コンピュータウイルス地震内部犯不正アクセス火災オペレータの過失プログラムエラーなど落雷などサボタージュウイルス対策ソフトの利用コンティンジェンシープラン策定セキュリティリテラシの向上認証システムの設置クリアデスク、クリアスクリーンフールプルーフ設計の導入品質管理基準の導入など UPS（無停電電源装置）などセキュリティ教育など  コンティンジェンシープラン：危機管理計画。緊急時（contingency）の対応計画。  セキュリティリテラシ：リスクに関する認識や脅威への対応などの基本的な知識。literacy とは読み書き能力のことです。  フールプルーフ：操作ミスや故障が発生したときでも危険を避けるような設計。例えば「加熱中の電子レンジのドアを開けると停止する」など。情報セキュリティアドミニストレータ試験【平成 17 年午前問 27】セキュリティ対策の“予防”に該当するものはどれか。アアクセスログをチェックし、不正なアクセスがないかどうかを監視する。イコンティンジェンシープランを策定し、訓練を実施する。ウ重要ファイルのバックアップ処理を定期的に行う。エセキュリティに関する社内教育を実施し、個人の意識を高める。セキュリティ教育は脅威に対する予防策になるので、エが正解です。他の選択肢は予防ではなく事後の対策になります。 Page 2/8 Copyright © Kanya Ishikawa All Rights Reserved. セキュアド合格講座 http://su.afinax.com/ リスクマネジメント  リスクアセスメント：リスク分析、リスク因子の特定、リスク算定などにより、リスクを評価して、リスクを受容できる水準を把握することです。  リスク対応：リスク回避とリスク最適化の「リスクコントロール」、リスク移転、リスク保有の「リスクファイナンス」などの対応が考えられます。  リスク受容：リスク対応で処理できない残存リスクを承知した上で、リスクを受け入れることです。  リスクコミュニケーション：利害関係者も含めてリスクに関する情報を共有したり、情報交換をしたりすることです。数多くあるリスクを整理して把握し、リスクが発生する確率を推定するとともに、発生時の情報資産の損害額や復旧費用を算定しておきます。リスクを軽減する対策と、その対策に掛かるコストのバランスを考えて、リスクを受け入れるという経営判断もあります。リスクコントロールは、リスクの現実化を防ぐための対策で、例えば「ソフトウェアの脆弱性を修正する」などの対応があります。リスクファイナンスは、リスクが現実化した場合の対策で、例えば「保険に入る」ことは、リスクを保険会社に請け負わせる（リスク移転）という考え方になります。リスク分析  ALE（Annual Loss Exposure）：米国商務省標準局が策定したリスク分析の手法。1.潜在的損失の見積り、2.脅威の分析、3.年間損失額の測定、4.救済手段の選択、5.セキュリティ対策の実施を規定しています。  CRAMM（CCTA Risk Analysis and Management Method）: 英国大蔵省及び英国規格協会が策定。1.保護対象である情報資産の識別と評価、2.保護対象の脅威と脆弱性の 5 段階評価、3.リスク対策の実施およびリスクマネジメントという手順を規定しています。  JRAM（JIPDEC Risk Analysis Method）：日本情報処理開発協会（JIPDEC）が策定。JRAM 質問票を試用して、関係者へのインタビューに基づく脆弱性の主観的な評価と、JRAM 事故分析を用いた実際の障害や事故分析による実態的な評価を併せることによって、適切なリスク処理方法を選択し、実行する手法が規定されています。 Page 3/8 Copyright © Kanya Ishikawa All Rights Reserved. セキュアド合格講座 http://su.afinax.com/ ISMS 情報セキュリティの評価制度 ISMS は Information Security Management System の頭文字です。日本語では「情報セキュリティマネジメントシステム」になります。 ISMS の標準化としては、イギリス規格協会が策定した BS7799 という規約を基に、ISO(国際標準化機構)が ISO 17799 として国際的に標準化されました。国内では同規格に沿ったガイドラインが 2002 年に JIS X 5080 として標準化されています。日本では、日本情報処理開発協会（JIPDEC）が、企業の ISMS が ISO/IEC 17799 に準拠していることを認証する ISMS 適合性評価制度を運用しています。この認証審査に合格すると「ISMS 認証取得事業者」と称することができるので、情報セキュリティへの取り組みをアピールできます。 ⇒「BS7799」、「ISO 17799」、「JIS X 5080」、「ISMS 適合性評価制度」といった ISMS に関するキーワードを理解しておきましょう。日本情報処理開発協会は ISMS を「IISMS とは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することである」とし、さらに「組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが ISMS の要求する主なコンセプトである」と定義しています。情報セキュリティアドミニストレータ試験【平成 15 年午前問 35】 ISMS 適合性評価制度における詳細管理策の基となった国際規格はどれか。ア ISO 9001 イ ISO 14001 ウ ISO 15408 エ ISO 17799 ISMS 適合性評価制度における詳細管理策の基となったのは、エの ISO 17799 です。アの ISO 9001 は品質マネジメントシステム、イの ISO 14001 は環境マネジメントシステム、ウの ISO 15408 は情報技術セキュリティ評価基準に関する規格になります。 Page 4/8 Copyright © Kanya Ishikawa All Rights Reserved. セキュアド合格講座 http://su.afinax.com/ CIA と RASIS 頭文字英単語日本語定義 C Confidentiality 機密性アクセス権を持つ者だけが、情報にアクセスできることを確実にすること I Integrity 完全性情報および処理方法が正確であることおよび完全であることを保護すること A Availability 可用性認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること上記の 3 つの中では「可用性」が少々わかりにくいかもしれません。簡単に言えば、可用性とは、権限のある人が必要なときに必要な情報に確実にアクセスできることです。試験では「アベイラビリティ」などとカタカナで出てくることもあります。システムの信頼性設計の要素に RASIS という考え方もあります。RASIS は、信頼性（Reliability）、可用性（Availability）、保守性（Serviceability）、保全性（Integrity）、機密性（Security）頭文字です。似たような用語ですので、試験では混同しないようにしましょう。情報セキュリティアドミニストレータ試験【平成 16 年午前問 31】インテグリティを脅かす攻撃はどれか。ア Web ページの改ざんイシステム停止をねらう DoS 攻撃ウシステム内に保管されているデータの不正取得エ通信内容の盗聴インテグリティ(完全性)を脅かす攻撃はアです。イは可用性、ウとエは機密性を脅かす攻撃に分類されます。 DoS(Denial of Services)攻撃とは、攻撃対象に不正なデータを送信して故意にエラーを発生させてシステムを停止させたり、トラフィックを極度に増大させて相手のサーバをダウンさせたりする攻撃のことです。 Page 5/8 Copyright © Kanya Ishikawa All Rights Reserved. セキュアド合格講座 http://su.afinax.com/ クロスサイトスクリプティング Web ページに入力データをそのまま返して表示している部分があると、Web ページ内に悪意のスクリプトを埋め込んで、ユーザとサーバの両方に被害を及ぼす手口です。クロスサイトスクリプティングの手順は下記のようになります。 1. 悪意ある Web サイトを偶然に閲覧する 2. 悪意あるスクリプトと転送命令を出力させる 3. 脆弱性のある標的 Web サイトへスクリプトが転送される 4. 標的 Web サイトがスクリプトを閲覧者であるユーザに転送する 5. ユーザのブラウザでスクリプトが実行されてしまう 1.閲覧 2.出力 Web 3.転送先閲覧 5.実行 4.転送 Web 情報セキュリティアドミニストレータ試験【平成 18 年午前問 28】クロスサイトスクリプティングによる攻撃へのセキュリティ対策はどれか。ア OS のセキュリティパッチを適用することによって、Web サーバへの侵入を防止する。イ Web アプリケーションで、クライアントに入力データを再表示する場合、情報内のスクリプトを無効にする処理を行う。ウ Web サーバに SNMP プログラムを常駐稼働させることによって、攻撃を検知する。エ許容範囲を超えた大きさのデータの書込みを禁止し、Web サーバへの侵入を防止する。クロスサイトスクリプティングによる攻撃は、入力されたデータのうち HTML のタグの一部を無効にするなどの処理を施すことで防ぐことができるのでイが正解です。アはソフトウェアの脆弱性、ウは SNMP（Simple Network Management Protocol ネットワーク監視プロトコル）の脆弱性、エはバッファオーバーフロー（メモリ領域を溢れさせて誤動作をさせること）を狙った攻撃に対する対策になります。 Page 6/8 Copyright © Kanya Ishikawa All Rights Reserved. セキュアド合格講座 http://su.afinax.com/ ソーシャルエンジニアリングソーシャルエンジニアリング(Social Engineering)は、ソーシャルハッキング、ソーシャルクラッキングとも呼ばれ、ソフトウェアのセキュリティホールなどの脆弱性ではなく、人の脆弱性を突いて情報セキュリティを脅かす方法です。盗聴、詐取、ショルダーハッキング（肩越しに盗み見ること）、スキャベンジング(scavenging ごみ箱をあさること)などの手段が挙げられます。情報セキュリティアドミニストレータ試験【平成 16 年午前問 32】コンピュータ犯罪の手口に関する記述のうち、適切なものはどれか。アサラミ法とは、不正行為が表面化しない程度に、多数の資産から少しずつ詐取する方法である。イスキャベンジング(ごみ箱あさり)とは、回線の一部に秘密にアクセスして他人のパスワードや ID を盗み出してデータを盗用する方法である。ウトロイの木馬とは、プログラム実行後のコンピュータ内部又はその周辺に残っている情報をひそかに探索して、必要情報を入手する方法である。エなりすましとは、ネットワークを介して送受信されている音声やデータを不正に傍受することである。選択肢アは「サラミ法」と呼ばれる犯罪の正しい説明になっています。ウは「トロイの木馬」ではなく｢スキャベンジング｣の説明として適切です。トロイの木馬とは、有益なプログラムに見せかけて標的の PC に入り込んで、ファイルを破壊したりデータを不正に送信したりするコンピュータウイルスのことです。エは「なりすまし」ではなく、｢スニファ｣と呼ばれるデータ盗聴の方法です。 Page 7/8 Copyright © Kanya Ishikawa All Rights Reserved. セキュアド合格講座 http://su.afinax.com/ さまざまな攻撃方法  テンペスト技術：コンピュータや周辺機器が発する電磁信号を傍受して解読しようとする技術のことです。  キーボードロギング：キーボードの操作を記録するプログラムを稼動させてキータイプから ID やパスワードなどを盗み取る行為です。  ログインシミュレータ、フィッシング：偽のログインページを設置した Web サイトによって ID やパスワードなどを盗み取る行為です。  パケットスニファリング：プロトコルアナライザなどを使って、ネットワークを流れるデータ（パケット）を盗聴する行為。  なりすまし：別人のふりをして不正アクセスなどを試みる行為。IP アドレスを偽装する IP スプーフィングと呼ばれる手法もあります。情報セキュリティアドミニストレータ試験【平成 18 年午前問 29】テンペスト技術の説明とその対策として、適切なものはどれか。アディスプレイなどの機器から放射される電磁波を傍受し、内容を観察する技術であり、電磁波遮断が施された部屋に機器を設置することによって対抗する。イデータ通信の途中でパケットを横取りし、内容を改ざんする技術であり、ディジタル署名による改ざん検知の仕組みを実装することによって対抗する。ウマクロウイルスに対して使われる技術であり、ウイルス対策ソフトを導入し、最新の定義ファイルを適用することによって対抗する。エ無線 LAN の信号から通信内容を傍受し、解析する技術であり、通信パケットを暗号化することによって対抗する。選択肢アは、テンペスト技術と対策の正しい説明になっています。イは、スニファまたはパケットスニファリングと呼ばれる行為に該当します。エのように無線 LAN の通信パケットを暗号化するセキュリティ技術に WEP（Wired Equivalent Privacy）や WPA（Wi-Fi Protected Access）などがあります。 Page 8/8 Copyright © Kanya Ishikawa All Rights Reserved.