情報セキュリティとは―知識を整理。IPAの情報処理試験の問題など

トップ 情報処理の知識体系 テクノロジ系 技術要素 情報セキュリティ

情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

▲記事トップへ

目次

この記事の目次です。

1. 情報セキュリティとは
2. 情報セキュリティ管理
3. セキュリティ技術評価
4. 情報セキュリティ対策
5. セキュリティ実装技術

もっと知識を広げるための参考
更新履歴

1. 情報セキュリティとは

情報セキュリティとは、企業や組織の重要な財産（資産）である情報（情報資産）のセキュリティを確保し、維持することです。

以下では、情報セキュリティとは何か詳しく理解していくための知識をまとめています。IPAの情報処理試験の問題の解説も各所に記載しています。

情報セキュリティの概念

情報セキュリティの基本的な概念についてです。

サイバー空間

サイバー空間とは、コンピューターやネットワークによって構築された仮想的な空間を指します。 代表的なサイバー空間としては、インターネットが挙げられます。

サイバー攻撃

サイバー攻撃とは、企業、組織、個人のコンピュータや情報システムに対し、ネットワークを介して侵入したり、不正なプログラムやコマンド、パケットを送りつけたりして、 情報窃取、改ざん、破壊、サービス妨害等の攻撃や不正行為をすることをいいます。

情報セキュリティの意味、定義

情報セキュリティということばの意味の定義ですが、ISMS 27000およびJIS Q 27000では、情報セキュリティを 「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追及性、否認防止、信頼性などの特性を維持することを含めることである」 と定義しています。

情報セキュリティの目的と考え方

情報セキュリティの目的は、情報の機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）を確保、 維持することによりさまざまな脅威から情報システム及び情報を保護し、情報システムの信頼性を高めることです。

詳細

情報セキュリティの重要性

社会のネットワーク化に伴い、企業にとって情報セキュリティの水準の高さが企業評価の向上につながること、情報システム関連の事故が事業の存続を脅かすことから、情報セキュリティは重要です。

情報資産

企業を形作り動かすための基本要素として、「人」「物」「金」が挙げられ、「経営資源」と呼ばれます。 情報は第4の経営資源とも呼ばれ、情報資産は企業にとって大事な要素です。 企業における情報資産の代表的な種類として、顧客情報、営業情報、知的財産関連情報、人事情報などがあります。

脅威

情報セキュリティを考えるうえで、まずは、どのような脅威があるか理解しておく必要があります。

脅威の種類、マルウェアとコンピュータウイルスの種類を見ていきます。 またPCやスマホの感染時の駆除方法も補足していきます。

詳細

脆弱性

脆弱性とは、もろくて弱い性質や性格を意味する言葉です。 読み方は「ぜいじゃくせい」、英訳は「vulnerability」です。 特に情報セキュリティでよく使われる言葉です。 情報セキュリティにおける脆弱性の意味、種類についてまとめています。

情報システムの情報セキュリティに関する欠陥、企業、組織、個人に対する行動規範の不徹底、未整備という脅威に対する不備などの脆弱性に関する知識について見ていきます。

詳細

不正のメカニズム

不正行為が発生する要因、内部不正による情報セキュリティ事故・事件の発生を防止するための環境整備が必要です。

詳細

攻撃者の種類、攻撃の動機

サイバーテロリズムなど悪意をもった攻撃者の種類および攻撃者が不正・犯行・攻撃を行う主な動機についてみていきます。

詳細

攻撃手法

情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。

詳細

情報セキュリティに関する技術

情報セキュリティに関する技術をテーマに、共通鍵暗号方式、指紋認証など、暗号／認証技術を解説していきます。

暗号技術

脅威を防止するために用いられる暗号技術の活用、暗号化の種類、代表的な暗号方式の仕組み、特徴など、暗号技術についてまとめています。

詳細

認証技術

XMLデジタル署名、メッセージ認証符号、チャレンジレスポンス認証方式など、 認証の種類、仕組み、特徴、脅威を防止するためにどのような認証技術が用いられるか、認証技術が何を証明するかなど、認証技術についてまとめています。

詳細

利用者認証

アクセス管理、samlの読み方、リスクベース、マトリックス認証など利用者認証についてまとめています。

詳細

生体認証技術

生体認証（英語でBiometric authentication）は、別名バイオメトリックス認証といいます。 生体認証とはどのような認証か、種類や特徴、ディメリットなどをまとめています。

詳細

公開鍵基盤

公開鍵基盤とは、PKI（Publuic Key Infrastructure）ともいい、公開鍵暗号技術に基づき、電子証明書（ディジタル証明書）やCAによって実現される相互認証の基盤です。 電子証明書とは何か、PKIの仕組み、特徴、活用場面について見ていきます。

詳細

2. 情報セキュリティ管理

組織の情報セキュリティ対策を包括的かつ継続的に実施するための情報セキュリティ管理の考え方、保護対象である情報資産について見ていきます。

リスクマネジメント

リスクマネジメントは「リスクについて，組織を指揮統制するための調整された活動」と定義される活動です。

リスクマネジメントの流れ

リスクマネジメントは、リスクの特定・分析・評価・対応という流れで実施されます。

事故などが発生した際の準備も必要

事故などが発生した際に対処するために、対応マニュアルの整備や教育・訓練などの準備が必要です。

リスクアセスメント

情報セキュリティ対策の効果を高めるためには、リスク分析によって組織に内在する様々な情報リスクを洗い出すとともに、その影響度を分析・評価し、有効な対策を導き出す必要があります。 この一連の取り組みがリスクアセスメントです。

リスク特定

リスク特定は、リスクを発見、認識及び記述するプロセスです。

リスク分析

リスク分析は、リスクの特質を理解し、リスクレベルを決定するプロセスです。

リスク評価

リスク評価は、文字通りリスクを評価するプロセスです。

リスク対応

リスク対応には、リスク回避、リスク共有、リスク移転、リスク分散などの対応があります。

リスク回避

リスク回避は、リスクを生じさせる要因そのものを取り除きます。

リスク軽減

リスク軽減は、リスクの発生可能性を下げる、もしくはリスクが顕在した際の影響の大きさを小さくする、または、それら両方の対策をとります。

リスク共有

リスク共有は、リスクを他者に移転・他者と分割することをいいます。

リスク移転

リスク移転は、リスクを他の事業者などに移転することをいいます。

リスク分散

リスク分散は、リスクを他の事業者などと分配することをいいます。

リスク保有

リスク保有は、リスクを受け入れることです。

情報セキュリティ管理

組織の情報セキュリティ対策を包括的かつ継続的に実施するために、情報セキュリティ管理の考え方、保護対象である情報資産を理解する必要があります。

詳細

リスク分析と評価

情報セキュリティリスクアセスメントの評価シートなど、リスク分析と評価に関連した情報をまとめています。

詳細

情報セキュリティ諸規程（情報セキュリティポリシを含む組織内規程）

情報セキュリティ諸規程について見ていきます。

詳細

情報セキュリティマネジメントシステム（ISMS）

ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。 ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。

詳細

情報セキュリティ組織・機関

不正アクセスによる被害受付の対応、再発防止のための提言、セキュリティに関する啓発活動などを行うセキュリティ機関があります。 jvn、cryptrec暗号リスト、サイバー情報共有イニシアティブなど情報セキュリティ組織・機関についてまとめています。

詳細

3. セキュリティ技術評価

セキュリティ技術評価の目的、考え方、適用方法について見ていきます。

セキュリティ評価基準

FIPS PUB 140-2、EDSA認証、CVE、CWE、CVSSなどセキュリティ評価基準について、 情報資産の不正コピーや改ざんなどを防ぐセキュリティ製品の、セキュリティ水準を知るためのセキュリティ技術評価の目的、考え方、適用方法についてまとめています。

PCI DSS

PCI DSSは、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。

詳細

CVSS

CVSS（ITのセキュリティ用語）は脆弱性の特徴とインパクトを採点するための共通脆弱性評価システムです。基本値（ベーススコア）などの解説をまとめています。

詳細

CWE

CWEは、Common Weakness Enumerationを省略したもので、脆弱性の種類を識別するための共通基準です。

CWEでは、SQLインジェクション、クロスサイトスクリプティングなど、脆弱性の種類、脆弱性タイプの一覧を体系化して提供しています。

CVE

CVEは、Common Vulnerabilities and Exposuresを省略したもので、製品に含まれる脆弱性を識別するための識別子です。

CVEは米国政府の支援を受けた非営利団体のMITRE社が採番されおり、JVNなどの脆弱性対策情報ポータルサイトで採用されています。

CVEに関連したIPA情報処理試験の過去問題

以下ではCVEに関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年秋 問2 CVE―情報処理安全確保支援士（SC）午前Ⅱ
• 平成27年春 問7 CVE―情報セキュリティスペシャリスト試験（SC）午前Ⅱ

脆弱性検査

脆弱性検査とは、その単語のとおりで、OSやアプリケーション、ネットワークを含めたサイト全体の脆弱性を検査することをいいます。 ペネトレーションテストの方法やツールなど脆弱性検査について見ていきます。

詳細

FIPS PUB 140-2

FIPS PUB 140-2の記述内容は暗号モジュールのセキュリティ要求事項です。

FIPS PUB 140-2に関連したIPA情報処理試験の過去問題

以下ではFIPS PUB 140-2に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年秋 問5 FIPS PUB 140-2―情報処理安全確保支援士（SC）午前Ⅱ

EDSA認証

EDSA認証は制御機器の認証制度です。 EDSA認証における評価対象と評価項目は以下です。

• 評価対象：組込み機器である制御機器
• 評価項目：組込み機器ロバストネス試験

EDSA認証に関連したIPA情報処理試験の過去問題

以下ではEDSA認証に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年秋 問8 EDSA認証における評価対象と評価項目―情報処理安全確保支援士（SC）午前Ⅱ

4. 情報セキュリティ対策

情報セキュリティ対策（英語でInformation security measures）は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。

詳細

5. セキュリティ実装技術

セキュリティ実装技術には、セキュアプロトコルや認証プロトコル、セキュアOSの仕組み、ネットワークセキュリティ、データベースセキュリティ、アプリケーションセキュリティなどがあります。

セキュアプロトコル

IPSec、SSL／TLS、SSHなど通信データの盗聴、不正接続を防ぐセキュアプロトコルについてまとめています。IPSecのトンネルモードやTLSハンドシェイクなどの情報も補足しています。

詳細

認証プロトコル

dnssecとは？SMTP-AUTH認証とは？など、なりすましによる不正接続、サービスの不正利用を防ぐ認証プロトコルについてまとめています。

詳細

セキュアOS

システムの開発、運用におけるセキュリティ対策やセキュリティを強化したOSである セキュアOSの仕組み、実装技術、効果などをまとめていきます。

セキュアブート

セキュアブートは、PCの起動時にOSやドライバのディジタル署名を検証し、 許可されていないものを実行しないようにすることによって、 OS起動前のマルウェアの実行を防ぐ技術です。

セキュアOSに関連したIPA情報処理試験の過去問題

以下ではセキュアOSに関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年秋 問43 セキュアブート―基本情報技術者 午前

ネットワークセキュリティ

VLAN、OP25B、ダイナミックパケットフィルタリングなどネットワークに対する不正アクセス、不正利用、サービスの妨害行為などの脅威に対するネットワークセキュリティの実装技術についてまとめています。

詳細

アプリケーションセキュリティ

アプリケーションセキュリティについて見ていきます。

Webシステムのセキュリティ対策

Webシステムのセキュリティ対策について見ていきます。

HTTPレスポンスヘッダのセキュリティ設定

HTTPレスポンスヘッダにセキュリティ対策用のパラメータがあります。 Set-Cookieのsecure、httplonlyなどHTTPレスポンスヘッダのセキュリティ設定一覧をまとめています。

詳細

脆弱性低減技術

脆弱性低減技術について見ていきます。

ファジング

ファジングは、ソフトウェアのデータの入出力に注目し、 問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける検査手法です。

脆弱性低減技術に関連したIPA情報処理試験の過去問題

以下では脆弱性低減技術に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成29年秋 問30 ファジング―情報セキュリティマネジメント試験 午前
• 平成30年秋 問43 ファジング―応用情報技術者 午前
• 平成30年春 問42 ファジング―応用情報技術者 午前
• 平成30年秋 問15 ファジング―情報処理試験（高度共通）
• 平成30年春 問14 ファジング―情報処理試験（高度共通）

もっと知識を広げるための参考

• テクノロジ系

  情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

更新履歴

• 2021/11/30 リスクマネジメントについて追記しました。
• 2021/11/27 情報資産について追記しました。
• 2021/11/26 情報セキュリティの概念について追記しました。
• 2019/10/3 ハイブリッド暗号方式の特徴について追記しました。
• 2019/7/16 情報セキュリティ諸規程について追記しました。
• 2019/6/25 不正のメカニズムについて追記しました。
• 2019/3/25 否認防止（NonRepudiation）について追記しました。
• 2018/12/28 セキュアOSについて追記しました。
• 2018/11/29 完全性の向上を目的とした取組みについて追記しました。
• 2016/7/26 記事をUPしました。

戻る