ファイナンス、情報通信技術のスキル・アグリゲーション・サイト
情報セキュリティ・キーワード 2016 ① 情報セキュリティマネジメント編
組織が情報セキュリティ対策を実施するにあたり、それが場当たり的な対策となってしまっては、それは十分な対策とはいえません。PDCAサイクルによる組織の中長期的な取り組みのもとで情報セキュリティレベルを維持し、向上を図ります。
また、組織のリスクマネジメントによる情報セキュリティ対策であっても、すべてのリスクを完全に取り除くことや、あらゆるインシデントを未然に防ぐことは困難です。事象が発生した場合や、兆候が見られる場合の体制や対応手順をあらかじめ取り決めておく、インシデント管理も重要となっています。
『JIS Q 27000:2014 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語』を中心に、用語の定義や説明を確認します。
1.情報セキュリティの概要
1ー1.情報セキュリティとは
情報セキュリティ とは、「情報の機密性,完全性及び可用性を維持すること。」と説明されています。
「情報の機密性,完全性及び可用性」は、 情報セキュリティの三大要件 といわれるほか、 CIA という略語もよく用いられます。
たとえば、コンピュータネットワーク上の情報サービスにおいて、大切な情報が外部に漏れたり、データが壊されたり、サービスが急に使えなくなったりしないようにすることです。
|
機密性 (confidentiality) | 認可されていない個人,エンティティ又はプロセスに対して,情報を使用させず,また,開示しない特性。 |
|
完全性 (integrity) | 正確さ及び完全さの特性。 |
|
可用性 (availability) | 認可されたエンティティが要求したときに,アクセス及び使用が可能である特性。 |
情報セキュリティ は、「情報の機密性,完全性及び可用性」と、「さらに,真正性,責任追跡性,否認防止,信頼性などの特性を維持すること」を含めることもあるとしています。
情報セキュリティの機密性、真正性、完全性、否認防止の対策のひとつである、 アクセス制御 (access control)は、「資産へのアクセスが,事業上及びセキュリティの要求事項に基づいて認可及び制限されることを確実にする手段。」、 認証 (authentication)は、「エンティティ(情報を使用する組織及び人,情報を扱う設備,ソフトウェア及び物理的媒体など)の主張する特性が正しいという保証の提供。」と、説明されています。
|
真正性 (authenticity) | エンティティは,それが主張するとおりのものであるという特性。 |
|
否認防止 (non-repudiation) | 主張された事象又は処置の発生,及びそれを引き起こしたエンティティを証明する能力。 |
|
信頼性 (reliability) | 意図する行動と結果とが一貫しているという特性。 |
| 責任追跡性 |
あるエンティティの動作が,その動作から動作主のエンティティまで一意に追跡できることを確実にする特性。 |
1-2.情報セキュリティリスクとは
情報セキュリティリスク は,「脅威が情報資産のぜい弱性又は情報資産グループのぜい弱性に付け込み,その結果,組織に損害を与える可能性に伴って生じる。」と、説明されています。「ISMS の文脈においては,情報セキュリティリスクは,情報セキュリティ目的に対する不確かさの影響として表現することがある。」とも、説明されています。
情報セキュリティに対する意図的な脅威である、 攻撃 (attack)は、「資産の破壊,暴露,改ざん,無効化,盗用,又は認可されていないアクセス若しくは使用の試み。」と説明されています。
脆弱性については、コンピュータシステムにおけるソフトウェアのバグ、ハードウェアやネットワークのセキュリティホールなどのほか、機密情報の管理体制が整っていないなど、人為的脆弱性も重要視されています。
|
リスク (risk) | 目的に対する不確かさの影響。 |
|
脅威 (threat) | システム又は組織に損害を与える可能性がある,望ましくないインシデント(事態)の潜在的な原因。 |
|
ぜい弱性 (vulnerability) | 一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策(リスクを修正する対策)の弱点。 |
1-3.情報セキュリティ評価
情報セキュリティ評価の手法には、 PCI DSS や CVSS があります。
PCI DSS (Payment Card Industry Data Security Standards)は、 クレジットカードの加盟店やサービスプロバイダにおいて、カード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。
2013年11月に PCI DSS バージョン 3.0 がリリースされた後、新たに脆弱性が発見されるなどの対応により、2015年4月に PCI DSS バージョン 3.1 がリリースされています。
PCI DSS の特徴は、カード会員データの安全な取り扱いや保護のために、6 の情報セキュリティに関する目標と、それらに関係する 12 の要件を定めて、さらにその要件ごとに詳細化された項目が示されている点です。
- I 安全なネットワークの構築・維持
- 要件1:カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
- 要件2:システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと
- II カード会員データの保護
- 要件3:保存されたカード会員データを安全に保護すること
- 要件4:公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
- III 脆弱性を管理するプログラムの整備
- 要件5:アンチウィルス・ソフトウェアを利用し、定期的に更新すること
- 要件6:安全性の高いシステムとアプリケーションを開発し、保守すること
- IV 強固なアクセス制御手法の導入
- 要件7:カード会員データへのアクセスを業務上の必要範囲内に制限すること
- 要件8:コンピュータにアクセスする利用者毎に個別のID を割り当てること
- 要件9:カード会員データへの物理的アクセスを制限すること
- V 定期的なネットワークの監視およびテスト
- 要件10:ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
- 要件11:セキュリティ・システムおよび管理手順を定期的にテストすること
- VI 情報セキュリティ・ポリシーの整備
- 要件12:情報セキュリティに関するポリシーを整備すること
CVSS (Common Vulnerability Scoring System:共通脆弱性評価システム)は、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSS を用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。
CVSSでは、 基本評価基準 (Base Metrics)、 現状評価基準 (Temporal Metrics)、 環境評価基準 (Environmental Metrics)の3つの基準で脆弱性を評価します。
①基本評価基準(Base Metrics)は、脆弱性そのものの特性を評価する基準です。情報システムに求められる 「情報の機密性,完全性及び可用性」 に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS 基本値(Base Score)を算出します。ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。
②現状評価基準(Temporal Metrics)は、脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS 現状値(Temporal Score)を算出します。ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。
③環境評価基準(Environmental Metrics)は、ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。脆弱性の対処状況を評価し、CVSS 環境値(Environmental Score)を算出します。ユーザが脆弱性への対応を決めるために評価する基準です。
1-4.脆弱性検査
脆弱性検査は、コンピュータシステムやネットワークに存在する脆弱性を発見・検出することで、対策の実施を促します。
脆弱性検査ツールは、実際に攻撃に用いられる手法をもとに、擬似攻撃を行うツール群がひとつにまとめられています。効率的な検査が可能である反面、誤検出(False Positive)や未検出(False Negative)の課題もあります。脆弱性検査ツールの種類には、Webサイト・Webアプリケーション脆弱性検査ツールとネットワーク脆弱性検査ツールがあります。
1-5.ペネトレーションテスト
ペネトレーションテスト(penetration test)は、ネットワークに接続されたコンピューターに実際に攻撃を仕掛け、侵入を試みることから、コンピューターやネットワークの脆弱性を検証するテスト手法です。「侵入実験」あるいは「侵入テスト」などと呼ばれます。また、ペネトレーションテストを「ペンテスト」と略すこともあります。
2.リスクマネジメントの概要
2-1.リスクマネジメントとは
リスクマネジメント (risk management)は、「リスクについて,組織を指揮統制するための調整された活動。」と定義されています。
リスク (risk)は、「達成する結果」( 目的 )に対して、「ある一連の周辺状況の出現又は変化」( 事象 )や、「目的に影響を与える事象の結末」( 結果 )、また、「何かが起こる可能性」( 起こりやすさ )に関する「情報,理解又は知識が,たとえ部分的にでも欠落している状態」( 不確かさ )により、「期待されていることから,好ましい方向又は好ましくない方向にかい(乖)離すること」( 影響 )とします。
リスクマネジメントプロセス (risk management process)は、「コミュニケーション,協議及び組織の状況の確定の活動,並びにリスクの特定,分析,評価,対応,モニタリング及びレビューの活動に対する,運用管理方針,手順及び実務の体系的な適用。」 と説明されています。
ISO/IEC 27005 においては,リスクマネジメント全体を示すために “プロセス(process)” という用語を用いています。リスクマネジメントプロセス内の要素は,“活動(activities)” と呼ばれます。
リスクアセスメント (risk assessment)は、「リスク特定,リスク分析及びリスク評価のプロセス全体。」と説明されています。
|
リスク特定 (risk identification) | リスクを発見,認識及び記述するプロセス。 リスク特定には,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれるほか、過去のデータ,理論的分析,情報に基づいた意見,専門家の意見及びステークホルダのニーズを含むことがある。 |
|
リスク分析 (risk analysis) | リスクの特質を理解し,リスクレベルを決定するプロセス。 リスク分析は,リスク評価及びリスク対応に関する意思決定の基礎を提供し、リスクの算定を含む。 |
|
リスク評価 (risk evaluation) | リスク及び/又はその大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセス。 リスク評価は,リスク対応に関する意思決定を手助けする。 |
|
リスクレベル (level of risk) | 結果とその起こりやすさの組合せとして表現される,リスクの大きさ。 |
|
リスク基準 (risk criteria) | リスクの重大性を評価するための目安とする条件。 リスク基準は,組織の目的,外部状況及び内部状況に基づいたものである。規格,法律,方針及びその他の要求事項から導き出されることがある。 |
2-2.リスク分析手法
リスク分析手法 については、 ISO/IEC TR 13335(GMITS)に4つのアプローチが示されています。
①ベースラインアプローチ(Baseline Approach)は、一般的な情報セキュリティに関する基準・標準・ガイドラインなどを参照し、一定の確保すべきセキュリティレベルを設定し、チェックしていく方法です。
②非形式的アプローチ(Informal Approach)は、コンサルタントや組織、担当者の知識と経験、判断によって行われる方法です。
③詳細リスク分析(Detail Risk Analysis)は、情報資産に対し、資産価値、脅威、脆弱性やセキュリティ要件を識別し、評価する方法です。
④組み合わせアプローチ(Combined Approach)は、リスク分析の範囲が広いなど、すべての情報資産に対して詳細リスク分析が実施できない場合に、ベースラインアプローチを全体に、詳細リスク分析を重点部分に、実施を組み合わせる方法です。
2-3.リスク対応
リスク対応 では、リスク評価をもとに、どのような対処を、いつまでに行うかを明確にします。対処の方法には、大きく分けて「リスク低減」「リスク保有」「リスク回避」「リスク移転」の4つがあります。
①リスク低減は、脆弱性に対して脅威発生の可能性を下げる情報セキュリティ対策を講じることです。
②リスク保有は、情報セキュリティ対策を行わず、許容範囲内として受容することです。許容できるリスクのレベルを超えるものの、現状において実施すべき情報セキュリティ対策が見当たらない場合や、コストに見合ったリスク対応の効果が得られない場合などに、リスクを受容します。
③リスク回避は、脅威発生の要因を停止する、あるいは全く別の方法に変更することにより、リスクが発生する可能性を取り去ることです。得られる利益よりも、保有しているリスクの方が極端に大きな場合などに有効です。
④リスク移転は、リスクを他社などに移すことです。ただし、リスクがすべて移転できるとは限りません。多くの場合、金銭的なリスクなど、リスクの一部のみが移転できます。
|
リスク対応 (risk treatment) | リスクを修正するプロセス。 リスク対応には,次の事項を含むことがある。
|
|
残留リスク (residual risk) | リスク対応後に残っているリスク。 残留リスクには,特定されていないリスクが含まれ得る。“保有リスク” ともいう。 |
|
リスク受容 (risk acceptance) | ある特定のリスクをとるという情報に基づいた意思決定。 リスク対応を実施せずにリスク受容となることも,又はリスク対応プロセス中にリスク受容となることもある。 |
3.情報セキュリティマネジメントの概要
3-1.情報セキュリティマネジメントの PDCA サイクル
情報セキュリティ対策は一度行なったら終わりではありません。環境の変化などに合わせて絶えず、見直しと改善が求められます。組織の情報セキュリティレベルを継続的に維持改善するために、Plan(計画)、Do(実施)、Check(点検・監査)、Act(見直し・改善)という PDCA サイクルを繰り返します。
- Plan フェーズ: 情報セキュリティポリシー策定(基本方針・基本ポリシー、 対策基準・スタンダート、実施手順書・プロシージャ)
- Doフェーズ: 情報セキュリティ対策の実施・運用(物理・環境的対策、システム・ネットワーク対策、教育、人的対策)
- Checkフェーズ: セルフチェック、 内部監査、 外部監査
- Actフェーズ: 見直し・改善
3-2.情報セキュリティポリシー
Plan フェーズにおいて、(1)組織・体制を確立し、(2)基本方針を策定し、(3)守るべき情報資産を把握、分類し、(4)その情報資産のリスクアセスメントを行い、それにより自身の情報セキュリティにおける脅威と脆弱性とリスクを見極め、(5)それに応じた導入対策(管理策)を取捨選択し、(6)対策基準を策定し、(7)対策基準の周知徹底を行なうとともに、(8)実施手順を策定します。
基本方針 は、組織の経営者が、情報セキュリティの目標と、その目標を達成するために組織がとるべき行動を社内外に宣言するものです。「なぜセキュリティが必要か」という「Why」について規定し、何をどこまで守るのか(対象範囲)、誰が責任者かを明確にします。また、業界標準、該当する法令、政府規制への準拠を宣言する場合があります。
対策基準 は、基本方針の内容を受けて、「何を実施しなければならないか」という「What」について記述します。対策基準を策定する際には、多くの管理策の中から、①どの管理策を最適な雛形として選ぶか、そしてそれを②どのようにカスタマイズするか、が重要なポイントとなります。 組織の実情にあわせて、実効性のある対策を選択するために、リスクアセスメントが行われます。
|
管理策 (control) | リスクを修正(modifying)する対策。 管理策には,リスクを修正するためのあらゆるプロセス,方針,仕掛け,実務及びその他の処置を含む。管理策が,常に意図又は想定した修正効果を発揮するとは限らない。 |
|
管理目的 (control objective) | 管理策を実施した結果として,達成することを求められる事項を記載したもの。 |
実施手順 は、対策基準で定めた規程を実施する際に、「どのように実施するか」という「How」について記述します。マニュアルなど文書であり、詳細な手順を記述します。
情報セキュリティポリシーは、企業や組織の状況、新たな脅威、新しい法律の施行など社会的な状況によっても、定期的に見直さなければなりません。
4.ISMS とは
4-1.ISMS 適合性評価制度について
http://www.isms.jipdec.or.jp/
「近年、IT 化の進展に伴い、不正アクセスやコンピュータウイルスによる被害、及び内部不正者や外注業者による情報漏えい事件など、情報資産を脅かす要因が著しく増加しており、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMS の構築・運用が必須事項となっている。」
「ISMS とは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。」
「ISMS が達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMS を、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。」
4-2.JIS Q 27001:2014 とは
ISO/IEC 27001 は、組織が ISMS を構築するための要求事項をまとめた国際規格です。 2005年に第1版が発行され、その後改訂作業が行われ2013年10月に第2版が発行されました。JIS Q 27001:2014 は、これを受けて発行されました。
4-3.JIS Q 27001:2014 改正の主なポイント
ISO MSS(Management System Standard)共通要素を適用。その上で、情報セキュリティに不可欠なISMS固有の要求事項が規定されています。
リスクアセスメント及びリスク対応のプロセスは、ISO 31000:2009(JIS Q 31000:2010)との整合を考慮。情報セキュリティ方針及び情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にしなければなりません。
5.インシデント管理の概要
情報セキュリティインシデント管理 (information security incident management)は、「情報セキュリティインシデントを検出し,報告し,評価し,応対し,対処し,更にそこから学習するためのプロセス。」と説明されています。
情報セキュリティインシデント (information security incident)は、「望まない単独若しくは一連の情報セキュリティ事象,又は予期しない単独若しくは一連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。」と説明されています。
情報セキュリティ事象 (information security event)は、「情報セキュリティ方針への違反若しくは管理策の不具合の可能性,又はセキュリティに関係し得る未知の状況を示す,システム,サービス又はネットワークの状態に関連する事象」と説明されています。
事象 (event)は、「ある一連の周辺状況の出現又は変化。」と定義されています。事象は、「発生が一度以上であることがあり,幾つかの原因をもつこと」があります。「事象は,“事態(incident)” 又は “事故(accident)” と呼ばれることがある。なお,“事態”は,“インシデント”とも表現される。」と説明されています。
6.情報処理技術試験の過去問題
試験問題の全文は、
平成24年度秋期SC試験午前Ⅱ問題 問 9
平成27年度秋期SC試験午前Ⅱ問題
問 7 特定の情報資産の漏えいに関するリスク対応のうち, リスク回避に該当するものはどれか。
- ア 外部の者か侵人できないように, 人退室をよリ厳重に管理する。
- イ 情報資産を外部のデータセンタに預託する。
- ウ 情報の新たな収集を禁止し, 収集済みの情報を消去する。
- エ 情報の重要性と対策費用を勘案し, あえて対策をとらない。
正解 ウ
平成26年度春期SC試験午前Ⅱ問題 問12
平成27年度秋期SC試験午前Ⅱ問題
問15 脆弱性検査で, 対象ホストに対してポートスキャンを行った。対象ポートの状態を判定する方法のうち, 適切なものはどれか。
- ア 対象ポー卜に SYN パケットを送信し, 対象ホストから “RST/ACK” パケットを受信するとき, 接続要求が許可されたと判定する。
- イ 対象ポートに SYN パケットを送信し, 対象ホストから “SYN/ACK" パケットを受信するとき, 接続要求が中断又は拒否されたと判定する。
- ウ 対象ポートに UDP パケットを送信し, 対象ホストからメッセ一ジ “port unreachable” を受信するとき, 対象ポートが閉じていると判定する。
- エ 対象ポートに UDP パケットを送信し, 対象ホストからメッセージ “port unreachable” を受信するとき, 対象ポートが開いていると判定する。
正解 ウ
平成27年度秋期共通試験午前Ⅰ問題
問15 ペネトレーションテストの目的はどれか。
- ア 暗号化で使用している暗号方式と鍵長が, 設計仕様と一致することを確認する。
- イ 対象プログラムの入力に対する出力結果が, 出力仕様と一致することを確認する。
- ウ ファイアウォールが単位時間当たりに処理できるセッション数を確認する。
- エ ファイアウォールや公開サーパに対して侵入できないかどうかを確認する。
正解 エ
平成25年度春期SC試験午前Ⅱ問題 問10
平成26年度秋期SC試験午前Ⅱ問題
問 7 基本評価基準, 現状評価基準, 環境評価基準の三つの基準で IT 製品のセキュリティ脆弱性の深刻さを評価するものはどれか。
- ア CVSS
- イ ISMS
- ウ PCI DSS
- エ PMS
正解 ア
平成21年度秋期共通試験午前Ⅰ問題 問14
平成25年度秋期共通試験午前Ⅰ問題
問14 ISMS において定義することが求められている情報セキュリティ基本方針に関する記述のうち, 適切なものはどれか。
- ア 重要な基本方針を定めた機密文書であり, 社内の関係者以外の目に触れないようにする。
- イ 情報セキュリティの基本方針を述ベたものであり, ビジネス環境や技術が変化しても変更してはならない。
- ウ 情報セキュリティのための経営陣の方向性及び支持を規定する。
- エ 特定のシステムについてリスク分析を行い, そのセキュリティ対策とシステム運用の詳細を記述する。
正解 ウ
平成24年度春期SC試験午前Ⅱ問題
問 9 PCI データセキュリティ基準 (PCI DSS Version 2.0) の要件のうち, 詳細要件の選択肢として, WAF の導入を含むものはどれか。
- ア 要件1 : 力ード会員データを保護するために, ファイアウォールをインストールして構成を維持すること
- イ 要件3 : 保存されるカード会員データを保護すること
- ウ 要件6 : 安全性の高いシステムとアプリケーションを開発し, 保守すること
- エ 要件7 : カード会員データへのアクセスを, 業務上必要な範囲内に制限すること
正解 ウ
平成22年度春期SC試験午前Ⅱ問題
問 6 情報漏えいに関するリスク対応のうち, リスク回避に該当するものはどれか。
- ア 外部の者が侵入できないように, 入退室をより厳重に管理する。
- イ 情報資産を外部のデータセンタに預託する。
- ウ 情報の重要性と対策用を勘案し, あえて対策をとらない。
- エ データの安易な作成を禁止し, 不要なデータを消去する。
正解 エ
平成21年度春期SC試験午前Ⅱ問題
問 7 リスク対策をリスクコントロールとリスクファイナンスに分けた場合, リスクファイナンスに該当するものはどれか。
- ア システムが被害を受けた場合を想定して保険をかけた。
- イ システム被害につながるリスクの発生を抑える対策に資金を投入した。
- ウ システムを復旧するのに掛かった費用を金融機関から借り入れた。
- エ リスクが顕在化した場合のシステム被害を小さくする対策に資金を投入した。
正解 ア
平成21年度春期SC試験午前Ⅱ問題
問 8 情報システムのリスク分析に関する記述のうち, 適切なものはどれか。
- ア リスクには, 投機的リスクと純粋リスクとがある。 情報セキュリティのためのリスク分析で対象とするのは, 投的リスクである。
- イ リスクの予想損失額は, 損害予防のために投入されるコスト, 復旧に要するコスト, 及びほかの手段で業務を継続するための代替コストの合計で表される。
- ウ リスク分析では, 現実に発生すれぱ損失をもたらすリスクが, 情報システムのどこに, どのように潜在しているかを識別し, その影響の大きさを測定する。
- エ リスクを金額で測定するリスク評価額は, 損害が現実のものになった場合の 1 回当たりの平均予想損失で表される。
正解 ウ
①情報セキュリティマネジメント編を公開しました。
情報セキュリティ・キーワード 2016
《アーカイブ》 情報セキュリティ試験直前対策メモ2006
第1回 無線LAN編
第2回 VPN編
第3回 暗号化編
(≪補足≫ 暗号・復号の基本フロー)
第4回 認証編
第5回 PKI編
第6回 セキュリティプロトコル編
第7回 サーバセキュリティ編
第8回 脅威の実態編
第9回 アクセス監視編
最終回 規格編
情報セキュリティスペシャリスト試験(SC)の過去の出題より
