今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は2.1章:脅威の分類と概要のCheck問題です。
【Q1】情報セキュリティにおける脅威はどのように分類できるか。
| 脅威の種類 | 具体例 | |
| 環境 | 災害 | 地震・落雷・風害・水害 |
| 障害 | 機器の故障・ソフトウェア障害・ネットワーク障害 | |
| 人間 | 意図的 | 不正アクセス・盗聴・情報の改ざん |
| 偶発的 | 操作ミス・書類やPCの紛失・物理的な事故 | |
【Q2】災害は情報資産にどのような影響を及ぼすか。
軽微な地震などの自然災害では実害を受けることは少ないが、大地震などの広域災害が発生した場合には、設備からデータに至るまで情報システム全体に致命的な被害を及ぼすことがある。
【Q3】災害への対策にはどのようなものがあるか。
①防火設備・防水設備などで災害発生時の被害を最小限に抑える。
②設備・機器・回線・データなどのバックアップを確保しておく。
③災害発生時の復旧手順を明確にし訓練しておく。
【Q4】障害にはどのような種類があるか。
| 障害の種類 | 具体例 |
| 設備障害 | 停電、瞬断、空調機の故障、入退室管理装置の故障、監視カメラの故障 |
| ハードウェア障害 | メモリ障害、ディスク障害、CPU障害、電源装置障害、ケーブル劣化、メモリやディスクの容量オーバー |
| ソフトウェア障害 | OSやアプリケーションプログラムの潜在的なバグや過負荷などによる異常終了・処理異常 |
| ネットワーク障害 | 回線障害、通信事業者障害、クラウドサービス障害、通信機器障害、構内配線障害 |
【Q5】障害は情報資産にどのような影響を及ぼすか。
障害の発生個所や規模、システム構成などにより影響は大きく異なる。
情報システム全体に被害を及ぼすこともある。
【Q6】障害への対策にはどのようなものがあるか。
| 対策の種類 | 具体例 |
| 設備障害への対策 | 設備保守の実施、バックアップ設備の確保 |
| ハードウェア障害への対策 | ハードウェア保守の実施、バックアップ機器・交換部品の確保 |
| ソフトウェア障害への対策 | バージョンの最新化、パッチの適用、過負荷や異常値などによるテストの実施、脆弱性検査の実施、プログラムやデータのバックアップの確保 |
| ネットワーク障害への対策 | 回線・通信機器保守の実施、バックアップ回線の確保 |
【Q7】人の脅威にはどのようなものがあるか。
「偶発的に引き起こされるもの」と「意図的に引き起こされるもの」に大別される。
■偶発的な脅威の例
・コンピュータの操作ミスやプログラミングのミスによって、処理異常やデータ破壊が発生する
・電子メールの送信ミスから機密情報が外部に漏洩する
・社員が持ち込んだ個人端末やUSBメモリから社内にマルウェアが進入する
・社員が公開セグメントに設置した無防備なサーバがサイバー攻撃を受ける
■意図的な脅威の例
・社員が金銭目的で社内の機密情報を持ち出す
・退職した社員や過去にシステム構築に関わった社外の要員がシステム構成や設定に関する情報を利用して社内システムに侵入し、機密情報を盗み出す
・会社に恨みを持つものが嫌がらせ目的でその会社のサイトに侵入して改ざんしたり、DoS攻撃を仕掛けたりする
・セキュリティホールをもつWebアプリケーションが攻撃を受け、個人情報が漏洩する
【Q8】人は情報資産にどのような影響を及ぼすか。
人の脅威には多くの種類があり、その影響も軽微な物から企業の存続をも脅かしかねない重大なものまで様々である。特に意図的な脅威は何通りも考えられるうえに、その発生頻度や発生個所を予測することは困難である。
【Q9】人の脅威への対策にはどのようなものがあるか。
偶発的な脅威についてはシステムの使用方法やセキュリティに関する規定やマニュアル類の整備、教育・訓練の実施、罰則の適用を行う。
意図的な脅威については、権限やルールを明確化し、それに基づいたアクセス制御・教育・監査を行い、同時にホストの要塞化・通信の暗号化・監査システムの導入などを行う。
【Q10】J-CSIPについて述べよ。
サイバー情報共有イニシアティブ。
サイバー攻撃による被害拡大防止のため、独立行政法人情報処理機構(IPA)は、経済産業省の協力のもと、2011年に発足された。
各参加機関間で非開示契約(NDA)を締結したうえで、検知されたサイバー攻撃などの情報をIPAに集約し、IPAによる分析情報を付加したうえで情報を共有することで、高度なサイバー攻撃対策に繋げる取り組みを行う。
【Q11】STIXについて述べよ。
脅威情報構造化記述形式(Structured Threat Information eXpression)
マルウェアをはじめとした各種サイバー攻撃活動に関する情報を記述するための標準仕様。サイバー空間における脅威や攻撃の分析、サイバー攻撃を特徴づける事象の特定、サイバー攻撃活動の管理、サイバー攻撃に関する情報共有などを目的として開発された。
以下の8つの情報群から構成される。
①サイバー攻撃活動
②攻撃者
③攻撃手口
④検知指標
⑤観測事象
⑥インシデント
⑦対処処置
⑧攻撃対象
私が使っているのは2022年版のテキストですが、2023年版も出ています。
