# 情報セキュリティマネジメント試験についての勉強

情報セキュリティマネジメント試験は 2016 年(平成 28 年)から経済産業省が認定した国家試験です。試験レベルは2に相当し、毎年8万くらいの人が試験を受けています。試験は IT パスポートとは違って春と秋に年2回しかできません。春季4月第3日曜日、秋季 10 月第 3 日曜日に例年実施する予定です。

# 試験について

試験時間

午前 午後
試験時間 9:30 ~ 11:00(90 分) 2:30 ~ 14:00(90 分)
出題形式 四肢択一 多肢選択式
出題数 出題数:50 問 出題数:3 問

詳細はIPA 情報処理推進機構 (opens new window)
試験要綱・シラバス など (opens new window)

過去問題

過去問題(問題冊子・配点割合・解答例・採点講評) (opens new window)

# JISQ27001:2014(情報セキュリティマネジメントシステムー要求事項)

トップマネジメントがマネジメントレビューで考慮する必要なこと

  • 前回までのレビュー結果処置の状況 (いままでの状況)
  • ISMS(情報セキュリティマネジメントシステム)に関連する外部内部の課題の変化 (ルール変更のありなし)
  • 不適合や測定結果に関連するフィードバック (不具合関連フィードバック)
  • 利害関係者からのフィードバック (関係者フィードバック)
  • リスクアセスメントの結果及びリスク対応計画の状況 (現状把握)
  • 継続的に改善する機会 (これからどうする)

# JPCERT コーディネーションセンター

JPCERT/CC(ジェーピーサート/シーシー)は、一般社団法人 JPCERT コーディネーションセンター」の略称。
JPCERT(Japan Computer Emergency Response Team)長くて覚えにくいけど、日本コンピューター緊急対応チームの意味

JPCERT/CC は、「一般社団法人 JPCERT コーディネーションセンター」の略称。 コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人。 (opens new window)

インシデント対応、インシデント依頼、インシデント?わからない

コンピュータセキュリティインシデントとは、「情報および制御システムの運用におけるセキュリティ上の問題として捉えられる事象」です。JPCERT/CC では「インシデント」と呼んでいます。 (opens new window)

# CSIRT(Computer Security Incident Response Team)

CIRT とも呼ばれる(Cyber Incident Response Team)
コンピュータセキュリティインシデントに対応するための専門チーム

CSIRT とは、コンピュータやネットワーク上で何らかの問題が起きていないかどうか監視すると共に、万が一問題が発生した場合にその原因解析や影響範囲の調査を行ったりする組織の総称。 CSIRT 以外に CIRT()という略称が使われることもある。 (opens new window)

# CSIRT は6種類がある

  • 組織内
     一般的の定義で組織内のセキュリティ対応

  • 国際連携
     国を代表する形の活動

  • コーディネーションセンター
     協力する CSIRT と連携

  • 分析センター
     インシデントの傾向分析、マルウェア解析など

  • ベンダチーム
     自社製品の脆弱性に対応パッチ作成

  • インシデントレスポンスプロバイダ
      CSIRT 機能の一部を有償で請け負う事業者

# TPMOR(Two Person Minimum Occupancy Rule)

最小限二人部屋にいないといけない仕組み。最初の入室者と最後の退室者に対して 2 人同時の入室・退室

# IDS(Intrusion Detection System) & IPS(Intrusion Prevention System)

IDS は不正侵入検知システム、事前に登録されているシグネチャという検出ルールとマッチングすることで不正なアクセスを検出する方法です。
IPS は不正侵入防止システム、異常な通信があれば、管理者へ通知するだけでなく、その通信をブロックするところまで動作します。

# NISC(National center of Incident readiness adn Strategy for Sybersecurity)

内閣サイバーセキュリティセンターの略 英語のイニシャルとあまり関係ないけど、覚えにくい

# セキュリティバイデザイン(Security By Design)

英語のまま、設計段階からセキュリティを意識しながら取り込むこと

# インシデント(Incident)

Incident 事件・出来事の意味する英語
サービスマネジメントシステムへの要求事項を定めた JISQ20000:2011 に定義してある
サービスの中断など、異常事態や現象

# RFP(Request For Proposal) && RFI(Request For Information)

RFP は提案提供依頼書の意味で、RFI は情報提供依頼書の意味する

# SaaS(Software as a Service)

クラウド経由で提供するサービスの意味。サブスクリプション型継続課金が多い

# 情報セキュリティ監査報告書について

役割

  • 監査報告書は、監査の結果を関係者に伝達する手段
  • 監査報告書は、監査人が自身の役割と責任を明確する手段

注意事項

  • 監査目的に応じて監査人が必要事項を記載
  • 報告書に記載した事項は、監査人が全面的に責任を負う

記載区分

  • 導入区分(監査対象など)
  • 概要区分(監査内容など)
  • 意見区分(保証意見または助言意見)
  • 特記区分(必要事項など)

監査意見種別
情報セキュリティ監査の目的・契約内容によって、以下の報告書を作成

  • 助言型
  • 保証型

参考: 情報セキュリティ監査制度とは (opens new window)

# ホワイトボックス・グレーボックス・ブラックボックステスト

ホワイトボックステスト
内部構造などわかった上でその構造に基づき行うテスト

グレーボックステスト
内部構造などわかった上で、外部から攻めるテスト

ブラックボックステスト
構造など一切考慮せず、いろんな方面からテスト

# エンデミック・エピデミック・パンデミック

感染流行規模で分けられる
パンデミック(大規模)>エピデミック(流行)>エンデミック(地域流行)

# C&C サーバ

コマンド&コントロールサーバの略です。ボットネットや感染コンピュータのネットワークに対し、不正なコマンドを遠隔で送信するために利用されるサーバのこと。

# AES

米国では政府標準の共通鍵暗号が選定されている。これまで標準とされていた DES (Data Encryption Standard, 1977)に代わって、新しい標準となる AES(Advanced Encryption Standard)が 2000 年に選定された。

AES の暗号強度

  • AES では複数候補の中から Rijndael(ラインダール)という暗号アルゴリズムが採用されている。
  • 現在のところ Rijndael に対する有効な攻撃は見つかっていない。

OSS への実装状況

  • SSH プロトコルの OSS 実装である OpenSSH など、様々な OSS で利用されている。

# CVSS (Common Vulnerability Scoring System) 共通脆弱性評価システム

情報システムの脆弱性に対する汎用的な評価手法で、脆弱性の深刻レベル定量的に比較することができる

# 深刻度

CVSS 脆弱性深刻度評価レベルが0.0 ~ 10.0まで

# 3 つの評価基準

  • 基本評価基準 (Base Metrics)
  • 現状評価基準 (Temporal Metrics)
  • 環境評価基準 (Environmental Metrics)

# 基本 Base

機密性 完全性 可用性に対する影響評価スコアを算出

# 現状 Temporal

現在の脅威と対策情報に対する評価、ベンダーや脆弱性の公表により変化

# 環境 Environmental

想定される脅威に対し、利用環境、二次被害に応じて評価

共通脆弱性評価システム CVSS 概説 (opens new window) IPA 情報処理推進機構

# WBS (Work Breakdown Structure) 作業分解構成図

プロジェクトを細かく分解した構造図のこと

# Arrow Diagram (アローダイアグラム)

矢線図・日程計画図

# EVM (Earned Value Management)

プロジェクト進捗・コストを把握するためのチャート図

# トップマネージメントが ISMS に関するリーダーシップおよびコミットメントの8つの事例

  1. セキュリティ方針と目的の確立
  2. 組織のプロセスに ISMS 要求事項を統合
  3. 必要な資源を確認する
  4. セキュリティの重要性を伝達する
  5. 成果達成するために努力
  6. 人々を指揮し、支援する
  7. 持続的改善を促進
  8. 管理層の役割を支援

# CSIRT マテリアル

インシデント対応体制「組織内 CSIRT」支援するために作成されたガイドライン

# マルウェア解析の 3 つの方法 動的解析 静的解析 表層解析

  • 表層解析 (マルウェアを動作させずに解析)
  • 動的解析 (マルウェアを動作させ、その挙動をモニタリングして解析)
  • 静的解析 (マルウェアのファイルをリバースエンジニアリングして、プログラムのコードを読み解き)

# 個人情報保護法 要考慮個人情報とは

# 該当するもの

  • 人種
  • 信条
  • 社会的身分
  • 病歴
  • 犯罪経歴
  • 犯罪により害をかぶった事実
  • 健康診断の結果など

IT・情報セキュリティ 要配慮個人情報とは (opens new window)

# 該当しないもの

  • 本籍地
  • 国籍
  • 反社会勢力
  • 運転免許証の条件・臓器提供確認欄
  • 労働組合への加盟
  • 介護にかんする情報

# 情報セキュリティ事象とインシデントの違い

情報セキュリティ事象(Information Security Event)英語でイベントという

事象(イベント)
情報セキュリティ方針への違反もしくは管理策の不具合の可能性、またはセキュリティに関係しうる未知の情報を示す、システム、サービスまたはネットワークの状態に関連する事象

インシデント
望まない単独もしくは一連の情報セキュリティ事象、または予期しない単独もしくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの

関係: 事象 > インシデント
事象はインシデントを含む

# サイバーセキュリティ戦略  5 つの基本原則

# 目的

  • 目指すべきサイバー空間
  • 戦略が寄与する政策領域
  • 戦略において目指す日本の姿

# 5 つの基本原則

  • 情報の自由な流通の確保
  • 法の支配
  • 開放性
  • 自律性
  • 多様な主体の連携

# CSIRT の 6 種類

CSIRT(Computer Security Incident Response Team)はサービス対照に対し 6 種類に分類されています。

  • Internal (組織内) 組織内に関わるインシデント対応
  • National (国際連携) 国や地域に関わるインシデント対応
  • Incident Response Provider (インシデントレスポンスプロバイダ) 契約によって外部組織のインシデント対応
  • Coordination Center (コーディネーションセンター) 報告されたインシデント対応
  • Analysis Center (分析センター) インシデントの脅威・脆弱性を調査分析
  • Vendor Team (ベンダーチーム) 自社製品の脆弱性対応

# SIEM (Security Information and Event Management) セキュリティ情報イベント管理

ログデータを分析し、異常の場合管理者に連絡する機能

大塚商会 SIEM とは (opens new window)

# CRYPTREC (Cryptography Research and Evaluation Committees)

電子政府推奨暗号技術の安全性を評価・監視、適切な実装法・運用法調査・検討するプロジェクト

# 電子政府推奨暗号リスト

  • 公開鍵暗号 電子署名・守秘・鍵共有
  • 共通鍵暗号 64 ビットブロック・128 ビットブロック・ストリーム
  • ハッシュ関数
  • 暗号利用モード
  • メッセージ認証コード
  • エンティティ認証

CRYPTREC (opens new window)

# システムライフサイクル

IPA 共通フレーム2013の概説 (opens new window)

  • 企画
  • 要件定義
  • 開発
  • 運用
  • 保守

# CEO・COO・CIO・CTO・CKO

  • CEO Chief Exective Office 最高経営責任者
  • COO Chief Operating Office 最高執行責任者
  • CIO Chief Information Officer 最高情報責任者
  • CTO Chief Technology Officer 最高技術責任者
  • CKO Chief Knowledge Officer 最高知識責任者

# CA (Certification Authority) 認証局

PKI 公開鍵基盤において、公開鍵の正当性を保証するためのディジタル証明書を発行する機関

# CP Certificate Policy  認証ポリシー

CA から発行した証明書の利用目的・用途などを定める規定

# CPS Certification Practice Statement 認証実施規定

CA の運用方法を定めた認証実施規定

# CRL (Certificate Revocation List) 証明書失効リスト

公開鍵基盤 PKI における失効した公開鍵証明書のリストのことで、認証局 CA (Certificaion Authority) によって発行

# 組織の管理下で働くひとは認識しなければならない 3 点

  • 情報セキュリティ方針
  • ISMS 有効性に対する自らの貢献
  • ISMS 要求事項に適合しないことの意味

# ディザスタリカバリ Disaster Recovery

災害時リカバリ、災害時損害を最小限に抑えるための予防措置や体制

# RPO Recovery Point Objective 目標復旧時点

障害発生時過去のどの時点まで状態復旧するかを示す目標値

# RTO Recovery Time Objective 目標復旧時間

障害発生後復旧まで時間目標値

# パスワードクラック

  • 類推攻撃
    • パスワードなし
    • password passcode admin
    • QWERTY JKLなどキーボードの列そのもの
    • ログイン ID と同じパスワード
    • 親戚・ペットの名前・誕生日
    • 車のナンバープレート
    • 電話番号
    • 上記のものに末尾に数字つけたり
  • 辞書攻撃
  • 総当り攻撃
  • スニッフィング (パッケージ盗聴)
  • ブルートフォース攻撃

# ハッシュ関数の特徴

  • 任意の長さのデータから固定長さの乱数を生成できる
  • 不可逆の一方向関数
  • 同じデータからは常に同じダイジェストが出力
  • データの内容が少し変わるとダイジェストが変わる
  • ダイジェストからの逆算は不可能

# ディジタル署名の構造

  1. 送信者は、送信者の秘密鍵でハッシュ化されたメッセージを暗号化
  2. 受信者は、送信者の公開鍵で複合し、ハッシュ化したメッセージと比較で改ざん検知

# PCI DSS って

クレジットカードデータを安全に取り扱うための業界セキュリティ基準

# 認定方法

  • 訪問審査
  • サイトスキャン
  • 自己問診

# SLA と OLA

SLA Service Level Agreement サービスレベル合意書
OLA Operational Level Agreement 運用レベル合意書
SLA は顧客ターゲットに提供するもので、OLA は内部運用のためのもの

2019-08-12
  • 試験

関連記事

中小企業の情報セキュリティガイドライン 3.0 について
内部不正防止ガイドラインについてのメモ
IT パスポート試験勉強
リユース検定試験勉強 第2章 ショップ運営の基本
リユース検定試験勉強 第1章 リユース業の意義
リユース検定試験 勉強&概要
リユース検定試験勉強 第4章 コンプライアンス営業
リユース検定試験勉強 第5章 特定商品の取引注意
リユース検定試験勉強 第3章 ショップ運営の実務