情報システム概論（第13回1/22）

## 情報システム概論（第13回1/22） --- ### 情報セキュリティ・ネットワークセキュリティとは * 情報セキュリティに関わる用語(JIS Q 27001) リスク (risk) https://ja.wikipedia.org/wiki/リスク・企業が守るべき情報資産に対して、危害や影響が与えられる状態。・「脅威」と「脆弱性」の2つの要素がある。・外部又は内部における脅威がシステムの脆弱性を攻撃した際に、情報資産が損害を被る事態につながってしまう。 https://www.somu-lier.jp/column/information-security-risk/ * 脆弱性 (vulnerability) 情報資産そのものや情報システムに内在する弱点。 * ソフトウェアやハードウェア等の欠陥・システム内部に存在しているバグなどが含まれる。・ソフトウェアの安全性は経年劣化することはないが、脅威としての新しい攻撃手段などが生まれることで脆弱性が露呈することがある。・常に最新の状態に保つ→システムの安全性を確保 * 情報システムの運用が不適切な状態脅威に対する対策が不十分である場合や、組織におけるルールの不備、情報システムを扱う従業員のリテラシーの低さなど https://www.somu-lier.jp/column/information-security-risk/ 脅威 (threat) https://ja.wikipedia.org/wiki/脆弱性　脅威とは、組織の外部又は内部から、情報資産に損害や影響を与える可能性がある潜在的な要素を指す。脅威はその主体によって、以下の2つに分類される。 * 人為的脅威人間によって引き起こされる、悪意を持った攻撃（不正アクセス、ウイルス、盗聴、なりすまし、など）や人為的ミス（紛失、操作ミス、SNSによる流出など）、障害（システム障害、ネットワーク障害、など） * 環境的脅威地震、洪水、台風、落雷、火事など、様々な災害によって損害を与えられる恐れのある脅威のこと https://www.somu-lier.jp/column/information-security-risk/ 情報セキュリティインシデント(information security incident) →セキュリティにおける事故や事件のこと　ex)第三者による不正アクセス・コンピュータウイルスへの感染・パソコンや記録媒体の紛失による情報の消失・盗難 ○対策方法　ネットワークシステムをすぐ復旧できるような環境作り　業務のペーパーレス化　(2018年度の情報漏洩経路第一位は紙媒体　※日本ネットワークセキュリティ協会による） ○リンク　https://www.softbanktech.co.jp/special/blog/it-keyword/2020/0019/ 　https://www.otsuka-shokai.co.jp/solution/keyword/security/security-incident/ 情報セキュリティ事象 https://ja.wikipedia.org/wiki/情報セキュリティマネジメントシステム →情報セキュリティ方針への違反、もしくは管理策の不具合の可能性、またはセキュリティに関係し得る未知の状況を示す、システム、サービス若しくはネットワークの状態に関連する事象　情報セキュリティ方針：企業や組織が実施する情報セキュリティに対する基本的な方針 ○リンク　https://activation-service.jp/iso/terms/2985 　https://activation-service.jp/iso/terms/3685 リスク対応 (risk treatment) https://ja.wikipedia.org/wiki/リスクマネジメント　リスク特定によって発見されたリスクを分析（リスク分析）し、リスク基準にもとづいてリスク評価を行い、その評価をもとにリスクを修正すること。　リスク対応には以下のような内容が含まれる。・リスクを生じさせる活動を，開始又は継続しないと決定することによって，リスクを回避すること・ある機会を追求するために，リスクをとる又は増加させること・リスク源を除去すること・起こりやすさを変えること・結果を変えること・一つ以上の他者とリスクを共有・外部委託すること（契約及び保険などのリスクファイナンシングを含む。）〈リスクファイナンシング・・・発生してしまったリスクに対して金銭的な補填をすること〉・情報に基づいた選択によって，リスクを保有すること（リスク受容）ー引用リンク https://activation-service.jp/iso/terms/2995#:~:text=%E3%83%AA%E3%82%B9%E3%82%AF%E5%AF%BE%E5%BF%9C%E3%81%A8%E3%81%AF%E3%80%81%20%E3%83%AA%E3%82%B9%E3%82%AF%E7%89%B9%E5%AE%9A%20%E3%81%AB%E3%82%88%E3%81%A3%E3%81%A6%E7%99%BA%E8%A6%8B%E3%81%95%E3%82%8C%E3%81%9F%E3%83%AA%E3%82%B9%E3%82%AF%E3%82%92%E5%88%86%E6%9E%90%EF%BC%88%20%E3%83%AA%E3%82%B9%E3%82%AF%E5%88%86%E6%9E%90%20%EF%BC%89%E3%81%97%E3%80%81,%E3%83%AA%E3%82%B9%E3%82%AF%E5%9F%BA%E6%BA%96%20%E3%81%AB%E3%82%82%E3%81%A8%E3%81%A5%E3%81%84%E3%81%A6%20%E3%83%AA%E3%82%B9%E3%82%AF%E8%A9%95%E4%BE%A1%20%E3%82%92%E8%A1%8C%E3%81%84%E3%80%81%E3%81%9D%E3%81%AE%E8%A9%95%E4%BE%A1%E3%82%92%E3%82%82%E3%81%A8%E3%81%AB%E3%83%AA%E3%82%B9%E3%82%AF%E3%82%92%E4%BF%AE%E6%AD%A3%E3%81%99%E3%82%8B%E3%81%93%E3%81%A8%E3%80%82%20%E3%83%AA%E3%82%B9%E3%82%AF%E5%AF%BE%E5%BF%9C%E3%81%AB%E3%81%AF%E4%BB%A5%E4%B8%8B%E3%81%AE%E3%82%88%E3%81%86%E3%81%AA%E5%86%85%E5%AE%B9%E3%81%8C%E5%90%AB%E3%81%BE%E3%82%8C%E3%82%8B%E3%80%82%20%E4%B8%80%E3%81%A4%E4%BB%A5%E4%B8%8A%E3%81%AE%E4%BB%96%E8%80%85%E3%81%A8%E3%83%AA%E3%82%B9%E3%82%AF%E3%82%92%E5%85%B1%E6%9C%89%E3%83%BB%E5%A4%96%E9%83%A8%E5%A7%94%E8%A8%97%E3%81%99%E3%82%8B%E3%81%93%E3%81%A8%EF%BC%88%E5%A5%91%E7%B4%84%E5%8F%8A%E3%81%B3%E4%BF%9D%E9%99%BA%E3%81%AA%E3%81%A9%E3%81%AE%E3%83%AA%E3%82%B9%E3%82%AF%E3%83%95%E3%82%A1%E3%82%A4%E3%83%8A%E3%83%B3%E3%82%B7%E3%83%B3%E3%82%B0%E3%82%92%E5%90%AB%E3%82%80%E3%80%82 ・https://www.newton-consulting.co.jp/bcmnavi/glossary/risk_treatment.html * コンピュータ・セキュリティとは https://ja.wikipedia.org/wiki/コンピュータセキュリティ * 物理的セキュリティ https://ja.wikipedia.org/wiki/コンピュータセキュリティ#コンピュータシステムの物理的セキュリティの確保 →情報を管理しているPCや設備のような実体があるものに対して行うセキュリティ対策　ex)大事な情報が入った金庫に鍵をかける・監視カメラの設置・パソコンに対してセキュリティワイヤーを使用する ○リンク　https://dmji.co.jp/media/what-is-physical-security/ 　https://wa3.i-3-i.info/word17126.html * サーバセキュリティサーバーをサイバー攻撃から守るシステムファイアウォール、IDS/IPS、 https://www.kagoya.jp/howto/engineer/infosecurity/server-security/ * ネットワークセキュリティサイバー攻撃を検知し情報を守るシステム　アクセス権限の適切な付与と制限（2要素認証など）、USBなど外部接続機器の使用禁止または制限、クラウドサービスへのアクセス制限や監視など WiFi接続時に要求されるパスワードのこと https://tokiocyberport.tokiomarine-nichido.co.jp/cybersecurity/s/column-detail02 https://www.doracoon.net/navi/solutions/solutions-2434/ https://ja.wikipedia.org/wiki/ネットワーク・セキュリティコンピュータネットワークのインフラの規定、無資格者のアクセスからネットワークとネットワークからアクセスできる資源を守るためにネットワーク管理者によって導入される方針、および一貫した継続的な監視とその効果（場合によっては欠陥）の評価 * データセキュリティデータセキュリティとは、承認されていないアクセスからデータを保護し、データの機密性、整合性、可用性を維持するために採用される保護手段 https://www.oracle.com/jp/security/database-security/what-is-data-security/ https://www.oracle.com/jp/security/database-security/what-is-data-security/