情報システム概論（第10回12/3）

## 情報システム概論（第10回12/3） * 出席者前田知志川口綾花江頭涼弥中村翠輝塩屋園雪凜小黒普喜田中圭伴高根愛実 Mark Novak 毛利愛芽 --- ### 情報セキュリティ・ネットワークセキュリティとは * 情報セキュリティとは https://ja.wikipedia.org/wiki/情報セキュリティ * 近年の事例 https://xtech.nikkei.com/atcl/nxt/column/18/01157/012600079/ * JIS Q 27000 情報の機密性、完全性、可用性を維持すること * JIS Q 27001 * 情報セキュリティ (information security)： * 機密性 (confidentiality)：アクセスを認可された者だけが情報に確実にアクセスできること機密性とは、情報を外部に漏らさないようにアクセス制限などを徹底し、保護・管理することです。具体的には、情報には権限を持つ管理者のみがアクセスできるようになっていて、誰もが情報を参照できたり、取り扱えるような状態になっていないことを示します。この機密性が保持されていれば、第三者や権限のない者が重要情報を確認することはできません。個人にIDとパスワードを付与し、必要なユーザーや管理者のみにアクセスを制限することや情報参照や更新処理などの権限を厳重にすることで情報漏洩を防ぎます。 * 完全性 (integrity)：情報資産が完全な状態で保存され、内容が正確であること完全性とは、情報の改ざんや破損を許さないことを示します。情報は、あるべきかたちで最新かつ正しい状態が保持されていなければいけません。完全性を失うことで、その情報は価値が低くなってしまったり、偽の情報になってしまいます。近年のセキュリティ事故の一つとして、Web サイトの改ざんなどが大きな問題となっています。改ざんの被害に遭うことで情報の完全性が失われてしまい、信用の失墜につながるなど大きな損害が生じることがあります。 * 可用性 (availability)：情報資産が必要になったとき、利用できる状態にあること可用性とは、必要なときに必要な情報を参照したり、更新するなど、情報の利活用ができる状態を維持することです。非常時であっても情報が利用できるような施策が求められます。サイバー攻撃を受け、システムダウンなどの状況に追い込まれてしまうと、必要な情報を参照したり、更新することができなくなります。可用性を確保するためのデータバックアップ、システムの冗長構成、トラブルが起きたときの早急復旧などが求められます。引用先：https://www.icms.co.jp/iso27001.html https://siteguard.jp-secure.com/blog/what-is-information-security * JIS Q 27002　(定義の拡張) * 真正性 (authenticity)：それが本物であるという特性のこと →通信に正当な権限で情報の書き換えなどが行われずに通信ができているかどうかの確認(ログイン・暗号化など)によって真正性の有無が確保される https://activation-service.jp/iso/terms/2981 https://wa3.i-3-i.info/word15933.html * 責任追跡性 (accountability)：アクセスログ、イベントログ、エラーログなどを記録し、保存すること →誰が何をやったのかを追跡することが出来るか https://activation-service.jp/iso/column/3537 https://wa3.i-3-i.info/word16565.html * 否認防止 (non-repudiation)：情報システムの利用や操作、データの送信などに関連して、ある特定の人物が行なったことを後から証明できるようにする仕組みや技術 →否認防止のためのログは信頼性を維持できるものである必要 https://e-words.jp/w/%E5%90%A6%E8%AA%8D%E9%98%B2%E6%AD%A2.html https://activation-service.jp/iso/column/3597 * 信頼性 (reliability)：システムがいかに安定して稼働するかを表す指標　信頼性の向上はコストがかかる →停止することが許されないようなシステム(お金・医療関係など)はコストをかけて信頼性を向上 →停止時の影響が少ないようなシステムはコストを優先させる https://jeea.or.jp/course/contents/12109/ https://www.foresight.jp/fe/column/reliability/ https://www.softwarejobs.jp/media/000037 * 情報セキュリティに関わる用語(JIS Q 27001) リスク (risk) https://ja.wikipedia.org/wiki/リスク脆弱性 (vulnerability) 脅威 (threat) https://ja.wikipedia.org/wiki/脆弱性情報セキュリティインシデント(information security incident) 情報セキュリティ事象 https://ja.wikipedia.org/wiki/情報セキュリティマネジメントシステムリスク対応 (risk treatment) https://ja.wikipedia.org/wiki/リスクマネジメント * コンピュータ・セキュリティとは https://ja.wikipedia.org/wiki/コンピュータセキュリティ * 物理的セキュリティ https://ja.wikipedia.org/wiki/コンピュータセキュリティ#コンピュータシステムの物理的セキュリティの確保 * サーバセキュリティ * ネットワークセキュリティ https://ja.wikipedia.org/wiki/ネットワーク・セキュリティコンピュータネットワークのインフラの規定、無資格者のアクセスからネットワークとネットワークからアクセスできる資源を守るためにネットワーク管理者によって導入される方針、および一貫した継続的な監視とその効果（場合によっては欠陥）の評価 * データセキュリティ https://www.oracle.com/jp/security/database-security/what-is-data-security/