インシデントにおける最近の流れとして、 ①重要インフラや( )を狙い ②( )を悪用して ③( )を感染させ ④不正に情報・金銭を得る

紙文書や電子情報、ハードウェア、ソフトウェアなどのことを( )という。

情報セキュリティのCIAとは、日本語で( )、( )、( )の略である。

情報セキュリティのCIAとは、英語で( )、( )、( )の略である。

情報セキュリティにおける、維持する3つの要素(機密性、完全性、可用性)を情報セキュリティの( )という。

資産にアクセスできる権限のあるものだけがアクセスでき、それ以外の者には公開されないことを( )といい、( )ということもある。

( )を確保することができる例として、 ・正しいパスワードをもつ利用者のみが利用できるようにすること ・管理者のみにファイルやデータベースの操作権限を与えること ・通信データを暗号化し、盗聴されないようにすること などが挙げられる。

資産の正確さを維持すること。また、破壊、改ざん、消去されていない状態を確保することを( )という。

完全性を確保する例として、 ・( )によってデータの改ざんが行われていないことを保証すること ・( )で信頼性を確保すること ・ウイルス対策ソフトをインストールしてウイルスによる破壊・改ざん・消去を予防すること などが挙げられる。

( )を確保する例として、 ・電子署名によってデータの改ざんが行われていないことを保証すること ・誤り訂正符号で信頼性を確保すること ・ウイルス対策ソフトをインストールしてウイルスによる破壊・改ざん・消去を予防すること などが挙げられる。

アクセス権限のある者が要求したときには、いつでもその資産にアクセスできることを( )という。

( )を確保する例として、 ・適切な処理時間で認証・暗号化などを可能にすること ・障害が発生したときでも稼働可能なシステムを構築すること(HA(High Availability)による機器の二重化など) などが挙げられる。

真正性は、英語で( )とよばれる。

Authenticityとは、日本語で( )のことである。

動体の主体や資産が、そのものであることを確実にすることを( )という。

真正性を確保する例として、 ・( )の( )により、なりすましが行われていないことを保証すること ・生体認証技術を導入して、対象が本人であることを保証すること などが挙げられる。

( )を確保する例として、 ・認証局の電子証明書により、なりすましが行われていないことを保証すること ・生体認証技術を導入して、対象が本人であることを保証すること などが挙げられる。

責任追跡性を英語で( )という。

Accountabilityとは、日本語で( )のことである。

責任の所在を追求することが可能となっていることを( )という。

責任追跡性を確保する例として、 ・ログを保存することで処理を行った主体・日時などを明確にしておくこと ・( )によって、送信者がメッセージの作成を否認できないようにすること などが挙げられる。

( )を確保する例として、 ・ログを保存することで処理を行った主体・日時などを明確にしておくこと ・電子署名によって、送信者がメッセージの作成を否認できないようにすること などが挙げられる。

否認防止を英語で( )という。

Non-repudiationは日本語で( )のことである。

行った処理についてあとから否認されないようにすることを( )という。

( )を確保する例として、 ・利用者の認証についてログを採取し、行った結果について、後で否認されないようにすること ・文書にタイムスタンプを付し、作成日付について、あとで否認されないようにすること などが挙げられる。

信頼性を英語で( )という。

Reliabilityは日本語で( )のことである。

意図した動作と結果が一致することを( )という。

( )を確保する例として、 ・システムを冗長化し、誤り訂正機能を持たせること が挙げられる。

資産の機密性・可用性などを脅かす存在・脆弱性を利用してリスク(risk)を現実化させる手段を( )という。

資産の( )・( )などを脅かす存在・( )を利用して( )を現実化させる手段を脅威という。

( )の例として、 ・ユーザーID、パスワードを不正に入手される ・ネットワークへの侵入者によって重要なデータベースファイルを破壊される ・インターネット上で、通信データを盗み見される ・電子メールにおいて、本来の通信相手でない人間になりすまされる ・膨大なデータを組織の外部から送りつけられ、業務を妨害される ことなどが挙げられる。

脅威は、( )や( )の阻害要因である。

( )は、機密性や可用性の阻害要因である。

脅威の種類には、 人間の脅威による( )、環境による脅威である( )、サイバー攻撃などの( )がある。

人的脅威には2種類あり、人間の故意などを原因とする( )的な脅威と、人間のミスなどを原因とする( )的な脅威がある。

( )脅威における( )的なものの例として、 ・攻撃者が電子メールを盗聴すること ・「動機」「機会」「正当化」により不正が起こること(「機会」は対策可能) などが挙げられる。

( )脅威における( )的なものの例として、 ・従業員の入力ミスが引き起こすシステムダウン が挙げられる。

( )的脅威の例として、 ・地震や火事などの災害によるシステム停止 が挙げられる

資産が持つ弱みや弱点を( )という。

脆弱性の例として、 ・電子メールでは、メールの内容を他人に盗聴される可能性がある ・Webを利用したアプリケーションでは、ユーザが入力するフォームから悪意のあるコードを送り込まれる可能性がある(( )など) ・無線LANでは、通信データを容易に傍受される可能性がある ・「セキュリティホール」は脆弱性のひとつ などが挙げられる。

(①)の例として、 ・電子メールでは、メールの内容を他人に盗聴される可能性がある ・Webを利用したアプリケーションでは、ユーザが入力するフォームから悪意のあるコードを送り込まれる可能性がある(クロスサイトスクリプティングなど) ・無線LANでは、通信データを容易に傍受される可能性がある ・「セキュリティホール」は(①)のひとつ などが挙げられる。

脅威を英語で( )という。

threatは日本語で( )のことである。

脆弱性を英語で( )という。

vulnerabilityは日本語で( )のことである。

( )とは、脅威が現れ、脆弱性が攻撃されること(攻撃の可能性がリスク)により発生する事象(=リスクの顕在化)のことである。

情報セキュリティインシデントとは、( )が現れ、( )が攻撃されること(攻撃の可能性が(①))により発生する事象(=(①)の顕在化)のことである。

( )とは、脅威によって情報資産が損なわれる可能性のことである。

( )とは、実際に情報資産が損なわれた状態のことをいう。