今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は1.2章:情報セキュリティの三つの特性のCheck問題です。
【Q1】情報セキュリティの三つの特性とは何か。
機密性(confidentiality)
完全性(integrity)
可用性(availability)
【Q2】三つの特性を適切に確保・維持する上で考慮すべき点は何か。
・機密性を確保する方法
アクセス制御や認証、暗号化などのセキュリティ技術を使用する。
・完全性を確保する方法
データのチェックや改ざんを検知する仕組みを組み込む
・可用性を確保する方法
システムやネットワークの二重化、システムリソースの確保、データのバックアップ、定期保守の実施など。
【Q3】情報セキュリティの付加的な特性には何があるか。
真正性(authenticity)
責任追跡性(accountability)
否認防止(non-repudiation)
信頼性(reliability)
【Q4】付加的な特性を適切に確保・維持する上で考慮すべき点は何か。
・真正性を確保する方法
メッセージ認証などを行う。複数の要素(パスワード・ICカード・生体情報・ディジタル証明書など)を使用し高めることができる。
・責任追跡性を確保する方法
情報資産の取扱状況に関する記録、物理区画への入退室記録、ネットワークのログなどを確実に取得する。
・否認防止を確保する方法
真正性と責任追跡性を管理すると共に、その証跡の完全性を確保する。
・信頼性を確保する方法
信頼性の高い機器や部品を用いてシステムを構築し、そのレベルを維持できるよう保守点検を確実に行う。
【Q5】情報セキュリティ対策における機能を挙げよ。
抑止・抑制
予防・防止
検知・追跡
回復
【Q6】外部からのサイバー攻撃に対してはどのような機能を高めるのが有効か。
予防・防止・検知・追跡
【Q7】内部犯罪に対してはどのような機能を高めるのが有効か。
抑止・抑制・予防・防止・検知・追跡
【Q8】情報セキュリティ対策を検討する前に行うべきことは何か。
リスクアセスメント(想定されるリスクに対して分析・評価)する必要がある。
【Q9】最小権限の原則とは何か。
情報資産にアクセスする人間、プロセス、プログラムなどに対して常に必要最小限の権限のみを付与するように徹底すること。また、付与する権限の有効期間も必要最小限とするように徹底する。
【Q10】責務の分離(職務分離)の原則とは何か。
同一の者に関連する複数の業務を行う権限を与えると、確認不足によるミスや不正行為などを発生させる原因となるため、実務ごとに担当を適切に分離する。単に分離するのみでなく、各業務の実施状況を別の担当者や第三者に監視・監査させると、けん制機能を働かせる効果がある。
私が使っているのは2022年版のテキストですが、2023年版も出ています。