人生100年時代。社会人を対象に、楽しく学んで資格取得を目指します。資格を活かして、生涯現役で社会貢献しましょう。
IT系情報セキュリティマネジメント試験対策(24)リスクマネジメント(4)「リスク対応」
リスク対応の手段リスク分析によって得られた結果 (潜在的なリスク) を顕在化させないために、リスク回避、リスク低減 (最適化)、リスク移転、リスク保有などの手段が講じられる。これらを総称してリスク対応とよぶ。また、リスク回避とリスク低減はリ...
IT系情報セキュリティマネジメント試験対策(23)リスクマネジメント(3)「リスク評価」
リスクの識別リスクアセスメントに先立ってリスクの識別を実施する。リスクの分析を行うためには、リスクが識別されている必要がある。識別されないリスクは分析から漏れるため、リスク識別は網羅的に行う。リスクの識別も含めてリスクアセスメントという場合...
IT系情報セキュリティマネジメント試験対策(22)リスクマネジメント(2)「手法の決定」
リスクアセスメントとは情報資産に対して、脅威や脆弱性が存在することでリスクは顕在化する。 経営活動を安全に行うためには、次の三つの手続きが不可欠である。現存するリスクを評価できる組織として許容できるリスクの水準を知る1と2の間にギャップが存...
IT系情報セキュリティマネジメント試験対策(21)リスクマネジメント(1)リスクマネジメントとは
リスクとはリスク=脅威 × 脆弱性 × 資産価値リスクは脅威と脆弱性から発生するが、その危険度は個別のリスクによって変化する。危険度の高いリスクには、重点的に経営資源を投入し、危険度の低いリスクにはあまり経営資源を配分しないなど、メリハリの...
IT系情報セキュリティマネジメント試験対策(20)認証(6)「PKI」
デジタル署名の弱点デジタル署名は、メッセージ送信者が、受信者のもつ公開鍵とペアになる秘密鍵をもっていることを証明する。しかし、この秘密鍵をもっている人物が必ずしも本人ということにはならない。そもそも秘密鍵もそれとペアになる公開鍵も最初から偽...
IT系情報セキュリティマネジメント試験対策(19)認証(5)「デジタル署名」
デジタル署名とは暗号化が盗聴リスクへの対策であったのに対し、デジタル署名はなりすましと改ざんリスクへの対策である。デジタル署名は、公開鍵暗号の技術を応用することでなりすましと改ざんを検出する。公開鍵暗号では、一対の暗号化鍵と復号鍵を用いて、...
IT系情報セキュリティマネジメント試験対策(18)認証(4)「 バイオメトリクス」
バイオメトリクス認証バイオメトリクス認証(生体認証) では、複製が困難な人間の生体情報を用いて本人認証を行う。 指紋などの生体情報は個々人ごとに特徴があり、本人を識別できることが知られている。また、これらの情報は置き忘れや盗難の心配がないた...
IT系情報セキュリティマネジメント試験対策(17)認証(3)「パスワードの欠点」
パスワード認証の運用パスワード認証では知識という実体のないものを利用して認証を行うため、管理が困難である特徴がある。そのため、パスワードでは以下のようなリスクに注意しなければならない。ユーザの不注意によりパスワードが漏えいする。辞書攻撃など...
IT系情報セキュリティマネジメント試験対策(16)認証(2)「ワンタイムパスワード」
ワンタイムパスワードログインするごとにパスワードを変更する認証方式である。チャレンジレスポンス方式では、使い捨てのチャレンジコードを利用したが、ワンタイムパスワードはパスワードそのものを使い捨てにする。盗聴などにより、パスワードが漏えいした...
IT系情報セキュリティマネジメント試験対策(15)認証(1)「認証の基本」
識別=どのユーザか。認証 = そのユーザは本物か。 認可 (権限管理)=そのユーザに何をさせていいかハッシュ値を使うことで、パスワードや鍵を送信せずに認証できる。 ハッシュ関数は一方向関数PKI=デジタル署名の公開鍵の真正性を、 第三者機関...