情報セキュリティマネジメント試験の対策を書いていこうと思います。
今回の情報セキュリティマネジメント試験の目的は、情報セキュリティのプログラミングができるエンジニア向けではなく、非エンジニア向けの試験です。具体的な対策方法などはなく考え方が問題の内容になります。
普段からセキュリティに対して危機意識を持っている人間ならば、合格は容易ではないかと思います。ただし、コンピュータの基礎についても問われますのでITパスポート程度の試験は合格しておいたほうがいいでしょう。
■情報セキュリティの目的
情報セキュリティの目的は、情報セキュリティの最も一般的な規格であるJIS Q 17002(ISO/IEC 27002)によって次の3つに規定されています。
1.事業継続を確実にすること
2.事業リスクを最小限にすること
3.投資に対する見返り及び事業機会を最大限にすること
情報は大切な資産であり、会社、組織から守るものであるというのが情報セキュリティの目的です。
■情報セキュリティの定義
JIS Q 27002(ISO/IEC 27002)に、情報の機密性、完全性及び可用性を維持することと定義されています。
機密性、完全性、可用性とは・・・
機密性
認可されていない個人、エンティティまたはプロセスに対して、情報を使用不可または非公開にする特性
※許可した人以外には情報を見られないようにすること。暗号化などで情報を隠すことなどが機密性です。
完全性
資産の正確さ及び完全さを保護する特性
※完全性とは情報を書き換えられないようにすることです。ページや情報の改ざん防止が該当します。
可用性
認可されたエンティティが要求した時にアクセス及び使用が可能である特性
※可用性とは、許可されたユーザーが要求した時に情報が閲覧できるようすることです。サーバのダウン防止などが該当します。
次の4つも情報セキュリティにおいて重要な定義なのでおさえてください。
真正性
主体または資源が、主張どおりであることを確実にする特性
責任追跡性
あるエンティティの動作が、一意に追跡できる特性
否認防止
ある活動または事象が起きたことを、後になって否認されないように証明する能力
信頼性
意図した動作及び結果に一致する特性
セキュリテイに置いて重要なことは組織全体でセキュリティを守らなければいけないという取り組みと組織体制作りです。社員全員で取り組むことが重要です。
もちろん技術的にセキュリティに取り組むのは大事です。ファイアウォールの設定など常識ですし、データベースに対してもセキュリティ対策を取ることは当たり前です。しかし、一般社員にとってはそんなことは「何を言っているのかわからない。」なんです。
それを明文化し、ルール化し、PDCAで回転させる、それが情報セキュリティマネジメントの目的になります。
情報セキュリティとは、機密性、完全性、可用性を守ること
組織で情報セキュリティマネジメントを実践し、PDCAサイクルを構築すること
以上を覚えておいてください。
次回は、「情報セキュリティの重要性」について記載します。