システムの企画・設計段階から、個人情報保護の仕組みを組み込んでおこうという考え方

キーボードの入力履歴を不正に記録し、利用者IDやパスワードを盗み出す

離席時に画面をロックすること

リスクアセスメントにおいて、リスクの発生確率と影響度から、リスクの大きさ(リスクレベル)を算定する

情報セキュリティにおいて、情報・処理方法が、正確・完全であるという特性

情報セキュリティにおいて、偽造やなりすましでなく、主張する通りの本物であるという特性

リスクの大きさとリスク受容基準を比較して、リスク対応が必要かどうか判断する。必要な場合、リスクの大きさによって優先順位をつける

組織のトップが、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言するもの

画面を覗き見して機密情報を入手すること

情報セキュリティにおいて、認可された者が要求した時に、いつでもアクセス・使用ができるという特性

組織で扱う個人情報の扱い方について規定を設けるため定めるもの

資産として価値のある情報

リスク対応において、リスクを第三者へ移転・転嫁する

悪意を持って作成された不正なプログラムの総称

情報セキュリティにおいて、だれが、どのように関与したのかを追跡できる特性

リスク対応において、リスクの損失額や発生確率を低く抑える

書類が盗まれてもすぐにわかるように机を整頓しておくこと

ゴミ箱に捨てられた紙から機密情報を入手すること

リスク対応において、損失を補填するために金銭的な手当をする方法

リスク対応において、影響度が小さいため、許容範囲として保有・受容する

組織内の情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書

不正行為が行われる3つの条件

リスクを組織的に管理していくこと

利用者の意図に反してPCにインストールされ、利用者の個人情報やアクセス履歴などの情報を収集する

勝手にPCのファイルを暗号化して読めなくし、戻すためのパスワードと引き換えに金銭を要求する

情報資産や管理策に内在している弱点

情報セキュリティにおいて、後で「私じゃない」と否定されないようにする特性

災害による機器の故障、侵入者による物理的破壊や妨害行為などによる脅威

リスクアセスメントにおいて、保護すべき情報資産から組織に存在するリスクを洗い出すこと

災害などの予期せぬ事態によって、特定の業務が停止・中断した場合に、事業全体に与える影響度を分析・評価すること

情報漏洩、データ破壊、盗聴、改ざん、なりすまし、消去など、コンピュータウイルスやサイバー攻撃などのIT技術を使った脅威

ウイルスに感染したPCを、インターネットなどのネットワークを通じて外部から操る。

ワープロや表計算ソフトなどのマクロ機能を悪用する

システムの企画・設計段階から、情報セキュリティ対策を組み込んでおこうという考え方

情報セキュリティにおいて、意図した通りの結果が得られるという特性

リスク対応において、リスクの発生確率やリスクの大きさを小さくする方法

操作ミス、紛失、内部関係者による不正使用、怠慢など、人による脅威

組織における情報セキュリティに対する取り組みに対して、ISMS認定基準の評価事項に適合していることを特定の第三者が審査して認定する制度

企業や官公庁などに設けるセキュリティチーム。セキュリティ事故の防止や被害の最小化のため

情報資産に対して攻撃や危害を加えて、業務遂行に好ましくない影響を与える原因となるもの

情報資産に対するリスクを分析し・評価し、リスク受容基準に照らして対応が必要かどうかを判断していくこと

リスク評価を受け、実際にどのようなリスク対応を選択するか決定すること

人的脅威のうち、人の心理の隙をついて機密情報を入手すること

情報セキュリティにおいて、認可された者だけが、情報をアクセス・使用できるという特性

経済産業省が策定した、情報セキュリティマネジメントの基本的な枠組みと具体的な管理項目が規定されているもの

ネットワークやリムーバブルメディア(USBなど持ち運べる記憶媒体)を媒介として、自ら感染を広げる自己繁殖機能を持つ

リスク対応において、リスクの原因を除去する

組織の情報資産の脆弱性を突く脅威によって、組織が損失を被る可能性

有益なソフトウェアと見せかけてユーザにインストールさせ、特定の条件になるまで活動をせずに待機した後、悪意のある動作をする

バックドアを作り、侵入の痕跡を隠蔽するなどの機能を持つ不正なプログラムやツール