アーシの毎日インプット

毎日1つ以上学習する。学習した内容を公開する。を目標に自分のスキルアップを目指します。

セキスペCheck:情報セキュリティ及びITサービスに関する規格と制度

スポンサードリンク

今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。

 

勉強に使ったのはこちら

章の終わりにあるCheck問題に私なりの答えで解答していきます。

 

今回は9.1章:情報セキュリティ及びITサービスに関する規格と制度のCheck問題です。

 

【Q1】ISO/IEC 15408では何を評価・認証の対象としているか。

IT関連製品のセキュリティ品質。

 

【Q2】ST、PPとは何か。

ST(Security Target)とは評価対象に関するセキュリティ仕様書のことで、概説・適合主張・セキュリティ課題定義・セキュリティ対策方針・拡張コンポーネント定義・セキュリティ要件・TOE要約仕様などを定義する。
PP(Protection Profile)は同一分野の製品で共通して使用可能な汎用化された共通のセキュリティ要求仕様書。
STを作成する際にPPへ準拠する旨を示すことで記述を省略することができる。

 

【Q3】セキュリティ機能要件とは何か。

製品やシステムに対し、セキュリティ対策として実装すべき機能に関する要件。以下の11の機能クラスが既定されている。
①セキュリティ監査
 セキュリティ事象に関連した情報の認識、記録、保存分析に関する要件
②通信
 データ通信への参加者の識別を保証する否認防止に関する要件
③暗号サポート
 暗号鍵生成/配付/失効の管理、データの暗号化/復号、ディジタル署名の生成/検証などの暗号操作に関する要件
④利用者データ保護
 アクセス制御、情報フロー制御、利用者データのインポート/エクスポート時のセキュリティ属性保護、利用者データ転送時の機密情報保護などに関する要件
⑤識別と認証
 利用者のアイデンティティを確立し検証する要件
⑥セキュリティ管理
 セキュリティ属性や、セキュリティ機能に関連するデータなどの管理に関連するデータなどの管理に関する要件
⑦プライバシー
 他社によるアイデンティティの発見と悪用の防止に関する要件
⑧TSFの保護
 セキュリティ機能を提供するメカニズムと内部データの正当性及び保護に関する要件
⑨資源利用
 資源の耐障害性、優先度制御、資源割当てに関する要件
TOEアクセス
 ユーザセッション確立の制御に関する要件
⑪高信頼パス/チャネル
 利用者とTOEとの間の高信頼性通信路に関する要件

 

【Q4】セキュリティ保証要件とは何か。

機能要件が正しく実装されていることを保証するための8項目の要件であり、保証クラスと呼ばれる。
①プロテクションプロファイル評価
 PPが一貫したセキュリティポリシを持ち、登録に必要な情報を含むための要件。STから参照される部分に関してはSTの要件。
②セキュリティターゲット評価
 STに記述されている情報に基づき評価の開始を可能とするための要件。STは、想定する脅威や利用環境、脅威への対策方針、機能要件、機能仕様概要と、それぞれに関する充足性を論じる記述を含まなければならない。
③開発
 STに記述された機能が正しく実装にブレークダウンされているかを保証するために、保証レベルに応じて必要な仕様書とその内容に関する要件。評価者は仕様書の内容を検査するとともに、STに記述された機能要件を仕様書上に追跡する。
④ガイダンス文書
 開発者により提供されるマニュアルに関する要件。管理者または利用者が安全にTOEを利用するために、セキュリティに関する記述が容易に理解可能であるための文書の範囲、安全性への要件。
⑤ライフサイクルサポート
 TOE開発と保守における手順のルールと制御への要件。開発環境におけるセキュリティ対策、ライフサイクルモデルの規定、さらに開発ツールの定義などを規定。評価者は、開発者が示した手順が実際に運用されているかも検査する。
⑥テスト
TOEの動作がセキュリティ機能要件を満たすことを実証するテストが実施されていることを保証するために、適切なテスト計画のもとに分析・設計されたテストを実施することに関する要件。評価者は、開発者から提出されたテストの分析・設計・実施文書をもとにテストを分析し、一部のテストや追加のテストを実施する。
脆弱性評定
想定される攻撃に対する脆弱性、誤使用の可能性、隠れチャネルの存在に対して抵抗可能であることを証明するために、開発者は脆弱性分析書を提出する。評価者は、他のすべての評価の結果を活用して脆弱性を分析し、さらに侵入テストを実施する。
⑧統合
統合TOEが、すでに評価されたソフトウェア、ファームウェア、ハードウェアコンポーネントが提供するセキュリティ機能性に依存する場合にセキュアに動作するという信頼を提供するために策定された保証要件を特定する。

 

【Q5】EALの概要について述べよ。

EAL(Evaluation Assurance Level)と呼ばれる評価保証レベルが以下の7段階で規定される。
EAL1:機能テスト
EAL2:構造化テスト
EAL3:方式的テスト、およびチェック
EAL4:方式的設計、テスト、およびレビュー
EAL5:準形式的設計、およびテスト
EAL6:準形式的検証済み設計、およびテスト
EAL7:形式的検証済み設計、およびテスト

 

【Q6】CMMIは何を目的としているか。

CMMI(Capability Maturity Model Integration)は能力成熟度モデル統合版とも呼ばれ、システム開発を行う組織がプロセス改善を行うためのガイドラインであり、組織の品質を確保することが目的である。

 

【Q7】CMMI(バージョン1.3)の二つの評価モデルの概要を述べよ。

段階表現(成熟度レベル)と連続表現(能力レベル)の2つがあり、成熟度レベルは段階的にプロセス改善に取り組むことを前提としたレベルで、能力レベルは個々のプロセス改善の達成度を評価する場合に用いられる。

 

【Q8】ISO/IEC 15408とCMMI-DEVはそれぞれどのような特徴があり、どのような用途に用いるべきか。

ISO/IEC 15408はITセキュリティの評価・認証に関する規格で、則ることで国際的に通用するセキュリティ品質をもった製品の出荷が可能になる。
また、ユーザ側は製品の購入やシステム導入の際にISO/IEC 15408認証を受けた製品を選定することでセキュリティ面の不安を軽減できる。
CMMI(Capability Maturity Model Integration)-DEV(for Development)はソフトウェア開発組織のためのCMMI(能力開発成熟度モデル)。
レベル1~5で定義される段階表現と、レベル0~3で定義される連続表現がある。

 

【Q9】PCI DSSの概要について述べよ。

Payment Card Industry Data Security Standardの略で、クレジットカードの情報や取引情報の保護を目的として国際ブランド5社(MasterCard, VISA, JCB, American Express, Discover)が共同で策定したセキュリティ基準。

 

Q10PCI DSSの主な要件と、その特徴について述べよ。

次の12の要件から構成される。
■安全なネットワーク構築と維持
要件1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持する。
要件2:システムパスワード及び他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない。
■カード会員データの保護
要件3:保存されるカード会員データを保護する。
要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する。
脆弱性管理プログラムの維持
要件5:すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェア又はプログラムを定期的に更新する。
要件6:安全性の高いシステムとアプリケーションを開発し、保守する。
■強固なアクセス制御手法の導入
要件7:カード会員データへの物理アクセスを制限する。
要件8:システムコンポーネントへのアクセスを識別・認証する。
要件9:カード会員データへの物理アクセスを制限する。
■情報セキュリティポリシーの維持
要件10:ネットワークリソース及びカード会員データへのすべてのアクセスを追跡及び監視する。
要件11:セキュリティシステム及びプロセスを定期的にテストする。
■情報セキュリティポリシーの維持
要件12:すべての担当者の情報セキュリティに対応するポリシーを維持する。

 

【Q11】PCI DSSに基づく認定プログラムの概要について述べよ。

認定を受けるのは加盟店、カード発行会社、加盟店契約会社、カード決済処理代行会社など、クレジットカード関連の業務を受ける組織。
認定プログラムごとに年間の取引件数やトランザクション量に応じて認定対象者のレベル分けや要求事項が決められ、認定対象者が受けなくてはならないセキュリティ診断の種類や頻度が定められる。

 

【Q12】ITSMSとは何か。

ITサービスマネジメントシステムのこと。

 

【Q13】ITILとは何に関する書籍群か。

ITサービスマネジメントにおける業務プロセスや管理手法を体系的に整理した書籍群。

 

【Q14】EDSA認証の概要について述べよ。

Embedded Device Security Assuranceのことで、組み込み機器の制御装置を評価対象とした認証制度。

 

【Q15】NIST CSFにおける5つの分類について述べよ。

NIST CSFは『重要インフラのサイバーセキュリティを向上させるためのフレームワーク』のことで、特定・防御・検知・対応・復旧の5つの分類がある。

 

私が使っているのは2022年版のテキストですが、2024年版も出ています。

【アーシの原点】

【頭を鍛える迷路集】


スポンサードリンク