３.情報セキュリティ管理

52問 • 1年前

m y

通報

問題一覧

事業継続マネジメントにおける懸念の1つで、災害などによる被害から回復措置や、被害を最小限に抑えるための予防措置などのこと

ディザスタリカバリ

SCAPの標準仕様で、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法

CVSS

災害発生時からどれくらいの時間以内にシステムを再稼働しなければならないかを示す指標

RTO

システムが再稼働したときに、災害発生前のどの時点の状態までデータを復旧しなければならないかを示す指標

RPO

装置にとってのライフラインに対する管理策

サポートユーティリティ

情報資産とその機密性や重要性、分類されたグループなどをまとめたもの

情報資産台帳

リスクを生じさせる力を持っている要素

リスク源

リスクの運用管理に権限をもつ人

リスク所有者

組織を脅かすリスクの種類として、火災リスクや地震リスク、盗難リスクなど、会社の財産を失うリスク

財産損失

組織を脅かすリスクの種類として、信用やブランドを失った結果、収入が減少するリスク

収入減少

組織を脅かすリスクの種類として、製造物責任や知的財産権侵害などで賠償責任を負うリスク

責任損失

組織を脅かすリスクの種類として、労働災害や新型インフルエンザなど、従業員に影響を与えるリスク

人的損失

保険に加入していることにより、リスクを伴う行動が生じること

モラルハザード

リスクに対して対策を実施するかどうかを判断する基準

リスク受容基準

リスク特定、リスク分析、リスク評価を行うプロセス全体のこと

リスクアセスメント

既存の標準や基準をベースラインとして組織の対策基準を策定し、チェックしていくリスク分析手法

ベースラインアプローチ

コンサルタントや担当者の経験や判断により行うリスク分析手法

非形式的アプローチ

情報資産に対し、資産価値、脅威、脆弱性、セキュリティ要件などを詳細に識別し、リスク評価していくリスク分析手法

詳細リスク分析

複数のアプローチを併用するリスク分析手法

組み合わせアプローチ

リスク対応として、技術的な対策など、なんらかの行動によって対応すること

リスクコントロール

リスク対応として、資金面で対応すること

リスクファイナンシング

リスク対応後に残るリスク

残留リスク

リスクに関する正確な情報を企業の利害関係者（ステークホルダ）間で共有し、相互に意思疎通を図ること

リスクコミュニケーション

組織の中における、情報セキュリティ管理責任者（CISO）をはじめとした経営層の意思決定組織

情報セキュリティ委員会

セキュリティ監視を行う拠点

SOC

主にセキュリティ対策のためにコンピュータやネットワークを監視し、問題が発生した際にはその原因の解析や調査を行う組織

CSIRT

CSIRTのうち、日本全体で、国内のコンピュータセキュリティインシデントに関する報告の受付、対応支援、発生状況の把握、手口の分析、再発防止策の検討や助言などを行う特定の政府機関や企業から独立した組織

JPCERTコーディネーションセンター

IPAが作成した中小企業向けのガイドラインに沿って情報セキュリティ対策に取り組むことを中小企業にが自己宣言する制度

SECURITY ACTION

JPCERT/CCとIPAが共同で運営している、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供する脆弱性対策情報ポータルサイト

JVN

サイバーセキュリティ法に基づき内閣官房に設置され、サイバーセキュリティ戦略の立案と実施の推進を行う組織

NISC

電子政府推奨番号の安全性を評価・監視し、暗号技術の適切な実装法や運用法を調査・検討するプロジェクト

CRYPTREC

IPAがサイバー攻撃による被害の拡大を防止するために、経済産業省の協力を得て、重工、重電など重要インフラで利用される機器の製造業者を中心に、情報共有と早期対応の場として発足させた取り組み

J-CSIP

アメリカ合衆国の国立研究所で、コンピュータセキュリティ関係のレポートであるSP800シリーズや情報セキュリティ関連の文書となるFIPSなどを発行している機関

NIST

IPAとJPSERTコーディネーションセンターが連携して整備した、脆弱性関連情報の円滑な流通や対策を普及するためのガイドライン

情報セキュリティ早期警戒パートナーシップガイドライン

コンピュータやネットワークに関する高い技術をもつハッカーと呼ばれる人のうち、その技術を善良な目的に生かす人

ホワイトハッカー

情報セキュリティマネジメントではなくセキュリティ技術を評価する規格

ISO/IEC15408

ISO/IEC15408が掲げる概念

コモンクライテリアが掲げる概念で、利用者が自分の要求仕様を文書化したセキュリティ基本設計書のこと

コモンクライテリアが掲げる概念で、製品の保証要件を示したもので、製品やシステムのセキュリティレベルを客観的に評価するための指標

EAL

クレジットカード会員のデータを安全に取り扱うことを目的に、JCB、AMEX、Discover、MasterCard、VISAの5社が共同で策定した、クレジットカード業界におけるセキュリティ標準

PCIDSS

NISTが開発した、情報セキュリティ対策の自動化と標準化を目指した技術仕様

SCAP

個別製品中の脆弱性対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子

CVE

SCAPの標準仕様である、システム設定情報に対する共通の識別番号

CCE識別番号

SCAPの標準仕様で、ハードウェア、ソフトウェアなどの情報システムを構成するものを識別するための共通の名称基準

CPE

SCAPの標準仕様で、セキュリティチェックリストやベンチマークなどを記述するための仕様言語

XCCDF

SCAPの標準仕様で、コンピュータセキュリティ設定状況を検査するための仕様

OVAL

ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための共通の基準として、共通脆弱性タイプ一覧

CWE

脆弱性検査の手法で、システムに実際に攻撃して侵入を試みることで脆弱性検査を行う手法

ペネトレーションテスト

脆弱性検査の手法で、Webサーバで稼働しているサービスを列挙して、不要なサービスが稼働していないことを確認するツール

ポートスキャナ

脆弱性検査の手法で、ソフトウェア製品において、開発者が認知していない脆弱性を検出する検査手法

ファジング

IPAセキュリティセンターがWeb上で提供している、情報セキュリティ対策の状況を診断できる仕組み

情報セキュリティ診断サイト

情報セキュリティ対応で作成される、必要な管理策及びそれらの管理策を含めた理由と、それらの管理策を実施しているか否かを含んだ文書

適用宣言書

１.情報セキュリティとは

m y · 51問 · 1年前