1回限りのパスワード

チャレンジレスポンス方式 S/Key方式

固定式パスワードにワンタイムパスワードを加える 受け取った乱数+自身のパスワードから ハッシュ値を計算

パスワードそのものを アクセスの度に計算で変更する

ワンタイムパスワードの発行や表示を行うための専用機器

参照のみ_Read 読み書き可能_Update 追加_Write 削除_Delete

1度認証されると 関連システム/サイトへのログインが省略

タブレット端末などへ筆記されたサインについて 座標/筆圧を測定し、照合

人の生体情報を利用

1.本人拒否率 2.他人受入率

身体的特徴 行動的特徴

セキュリティポリシーを定め 継続したセキュリティ対策のための基準の制定

情報 ソフトウェア資産 物理的資産 サービス 人的資産 無形資産

企業や組織が利用している ファイル/データベース/マニュアル等

システムを構成するソフトウェアや アプリケーションソフト、開発ツール等

コンピュータやネットワーク設備等

情報サービス、通信サービスなど

人そのものと、保有する技能/資格/経験等

社会的信頼/ブランド力

企業のセキュリティ対策に関する 恒久的な指針

策定したセキュリティポリシーに沿わない事柄

情報セキュリティ事象のうち セキュリティを脅かす可能性の高いもの

情報資産が存在 驚異が存在する 脅威を助長する脆弱性が存在

リスク ＝ 予想損失額 × 発生確率

リスクの特定 リスク分析と評価 リスク対応

セキュリティ上の重要度を検証するために作られた 情報資産の一覧のこと

オペレーショナルリスク サプライチェーンリスク 外部サービス利用のリスク SNSによる情報発信のリスク

通常業務において損失を引き起こす可能性のあるリスク ミスや不正行為、災害や故障

部品の流通、製品の販売など サプライチェーンの要因で損失が起こるリスク

業務委託先のシステム障害、業務不履行 データ漏えいや消失

社会的批判を浴びたり 情報やプライバシーの漏えいに該当するなど

財産損失 責任損失 純利益の損失 人的損失

リスクに繋がる直接的原因

ペリルを損失の発生に繋げ 損失を増大させる要因

道徳1倫理観の欠如を表す

リスクコントロールにかかる費用のこと

リスク特定 →リスク分析 →リスク評価 の流れ

あるリスクに対して どの程度であれば対策を行うかの基準

定性的リスク分析 定量的リスク分析

リスク登録簿などを元に 対応すべきリスクの優先度を決定

定性分析で優先度が高いものを モデル化/シミュレーションでさらに分析

リスクコントロール リスクファイナンシング

リスクを未然に防いだり 軽減するための方策をとること

リスク軽減 リスク回避 リスク分散 リスク集中

リスクの予想サイズに応じて できる限り少なくする方法

リスク発生可能性のある業務を行わないなど リスクから分離する

大きなリスク/同時多発リスクが発生しないよう 業務や情報資産を分離する

リスクとなる要因を集中させて 重点的に管理

リスク発生時の損失を抑える

リスク移転 リスク保有

保険などをかけて リスクを他へ移転する

リスク少なく、発生しても影響が小さい時 あえてリスク対策を行わず 代わりにかかる費用を算入

リスク対応を行っても 発生をゼロにはできないリスク

対応することが決定したリスクに対する対応計画

リスクの影響を受ける可能性のある個人/組織に対して意思疎通を図ること

災害対応計画のこと

不測の事態発生時、事業の継続/早期復旧を目指す手段

どのような情報資産をどう守るかの基本的な指針

情報セキュリティ方針 情報セキュリティ目的 情報セキュリティ対策基準

情報セキュリティに対する基本的な方針 取り組み姿勢を示すことが目的

情報セキュリティを守るために達成すべき目標

情報セキュリティ方針に沿うこと 実行可能な目的の場合には測定可能であること リスクアセスメントや対応結果が反映されること

セキュリティ確保のために順守すべき行為、判断などの基準

実施の具体的な内容

緊急時対応計画 緊急事態の際の対応方策を規定

個人情報保護方針 収集した個人情報をどのように扱うかの規範

組織がセキュリティを保つための仕組み/取り組み

機密性 完全性 可用性

ISMSをどこまでの業務/組織/場所/資産/技術などに適用するのか。

ISMSで運用/計画しているセキュリティ管理が適切かどうかを評価する

情報セキュリティ委員会 CSIRT SOC

セキュリティ管理/ISMSのために企業内に設けられる組織

インシデントに対応する組織。 緊急対応/攻撃に対する情報収集/分析/対策検討を行う

システムやネットワークを監視し、サイバー攻撃/社内の不正を検知し対応

第三者機関がセキュリティレベルを評価

ISO/IEC15408

脆弱性評価 CVSS ベネトレーションテスト

ソフトやシステムに脆弱性がないかどうかをチェックする検査

共通脆弱性評価システム 脆弱性を要化する汎用的な手法

侵入テスト 実際に攻撃をして侵入を試みる

ソフトやアプリに脆弱性を見つけたときにIPAに連絡すると 確認検証のうえ、運営者に通知してくれる制度

サーバーテロなどを防ぐ為に内閣に置かれた組織

セキュリティインシデントについて報告を受け付け 技術的立場から対応支援/再発防止の助言を行う組織

システムの内部構造や記憶データの解析の困難度を表す指標

企業や個人に対する災害や脅威に対し 個別に対応を行うこと

人によるミスや盗難、不正行為を防ぐこと

業務に被害が出ないよに様々な方策を講じること

セキュリティホールをふさぐ バックドアを作らせない

ファイアウォールの設置 侵入検知システム セキュリティパッチ

標的型攻撃や内部不正を脅威とする対策

悪意をもったソフトウェア全般

ウイルスが疑われるファイルを サンドボックス内で実際に実行して見つけ出す

既知のマルウェアの特徴をデータベース化しておき それと比較することで検出を行う

電子メールの添付ファイル ホームページの閲覧 外部からのファイルの持ち込み

マルウェア対策ソフトの導入

ネットワークから切り離す システム管理者に連絡する

マルウェアの行動を登録してチェックする方法

脆弱性修正プログラム

情報漏洩などの犯罪捜査時に 電子機器に残された電子記録を収集/解析し証拠とすること