【目標】
・人的,技術的,物理的セキュリティの側面から情報セキュリティ対策を検討し,担当する事項に適用する。
- 情報セキュリティ対策の種類
a. 人的セキュリティ対策
人的セキュリティ対策として,人的ミス, 不正行為,盗難, ソーシャルエンジニアリングなどのリスクを軽減するための教育と訓練,事件や事故に対して被害を最小限にするための対処などがあることを理解する。
【用語例】
組織における内部不正防止ガイドライン, 情報セキュリティ啓発(教育, 資料配布, メディア活用),情報セキュリティ訓練(標的型メールに関する訓練, レッドチーム演習ほか),パスワード管理, 利用者アクセスの管理(アカウント管理,特権的アクセス圏の管理, need-to-know(最小権限)ほか),ログ管理,監視
b. 技術的セキュリティ対策
技術的セキュリティ対策として,ソフトウェア,データ,PC, サーバ, ネットワークなどに技術的対策を実施することによって,システム開発,運用業務などに被害が発生することを防ぐことを理解する。
【用語例】
クラッキング対策,不正アクセス対策,情報漏えい対策,マルウェア, 不正プログラム対策(マルウェア対策ソフトの導入,マルウェア定義ファイルの更新ほか), マルウェア検出手法(ビヘイビア法ほか),出口対策, 入口対策, 多層防御, 暗号処理,秘匿化, アクセス制御,脆弱性管理(OSアップデート, 脆弱性修正プログラム(セキュリティパッチ)の適用ほか), ネットワーク監視,ネットワークアクセス圏の設定, 侵入検知,侵入防止,DMZ(非武装地帯),検疫ネットワーク,電子メール・Webのセキュリティ対策(スパム対策,URLフィルタリング, コンテンツフィルタリング), 携帯端末(携帯電話,スマートフォン,タブレット端末ほか)のセキュリティ,クラウドサービスのセキュリティ, IoTのセキュリティ, 制御システムのセキュリティ, 電子透かし, ディジタルフォレンジックス(証拠保全ほか)
[セキュリティ製品・サービス]
マルウェア対策ソフト, SIEM (Security Information and Event Management), ファイウォール, WAF (Web Application Firewall), IDS (Intrusion Detection System:侵入検知システム), IPS (Intrusion Prevention System:侵入防止システム), UTM (Unified Threat Management:統合脅威管理), ホワイトリスト, ブラックリスト, フォールスネガティブ, フォールスポジティブ, SSL/TLS アクセラレータ, MDM (Mobile Device Management)
c. 物理的セキュリティ対策
物理的セキュリティ対策として,外部からの侵入,盗難,水害,落雷,地震,大気汚染,爆発,火災などから情報システムを保護することによって,情報システムの信頼性,可用性を確保することを理解する。
【用語例】
RASIS ( Reliability ,Availability , Serviceability , Integrity , Security ) ,RAS技術,耐震耐火設備,UPS, 多重化技術, ストレージのミラーリング, 監視カメラ,セキュリティゲート, 施錠管理,入退室管理,クリアデスク・クリアスクリーン, 遠隔バックアップ,USB キー, セキュリティケーブル