今回は第4章の残りです。何やらアクセス数が異様な数字になっているのが気になりますが、それとは無関係に黒猫のお勉強は続いていきます。
36 情報セキュリティポリシー基本方針の記述内容
情報セキュリティポリシー基本方針の記述内容には特に決まりはないが、情報セキュリティポリシーそのものの位置づけ、構成のほか、目的、適用範囲、適用対象者など、ポリシーそのものの基本事項を記述していくのが一般的である。 . . . 本文を読む
今回は、第4章の前半です。情報セキュアドの勉強もようやく折り返し時点に到達しましたが、試験日程を考えるともう少しペースを上げなくては・・・。
30 情報セキュリティポリシー策定の目的
情報セキュリティポリシーとは、組織の情報資産を守るための方針や基準を明文化したものである。IT技術の飛躍的な発展の中、既にコンピュータウイルスへの対策や、インターネット接続に伴うファイアウォールや暗号化技術の導 . . . 本文を読む
今回は第3章の続きです。
27 詳細リスク分析の手順
詳細リスク分析には、正式に決められた手順や、分析過程で作成される文書類の書式などは存在しないため、分析者によって進め方や成果物は異なることになる。
詳細リスク分析では、分析の対象となる組織や情報システムにおける情報資産、脅威、脆弱性を洗い出し、それらの関連性からリスクを洗い出し、その大きさ(リスク強度)を分析するステップを踏むことになる . . . 本文を読む
今回は、情報セキュリティにおけるリスク分析とリスクマネジメントに関する解説の前半部分です。複雑な専門用語が少ないので、比較的とっつきやすい分野ですね。
20 投機的リスクと純粋リスク
リスクとは、何らかの事態が発生することに関する不確実性のことであり、リスクには投機的リスク(利益及び損失の双方をもたらす可能性のあるリスク)と純粋リスク(損失のみをもたらす可能性のあるリスク)の2種類がある。情 . . . 本文を読む
今回は第2章の最後です。情報セキュリティにおける脅威のうち、嫌がらせやシステムの破壊・改ざんなどを目的とした攻撃手法について解説しています。
18 サービス妨害や嫌がらせを目的とした手法
(1)サービス不能攻撃(Dos攻撃)
Dos攻撃とは、ターゲットとなるサイトに対して、コンピュータのシステム資源(CPU、メモリ、ハードディスクなど)を過負荷状態に陥らせたり、大量のパケットを送りつけてネッ . . . 本文を読む
今回は第2章の続き。法律家にはなじみの薄い、複雑な専門用語が多用されているいやな分野です。
第2章は2回に分けるつもりでしたが、侵入・攻撃の手法があまりに多種多様で説明文も長くなるので、結局3回に分けることになりました。
16 情報収集を主な目的とした侵入・攻撃の手法
(1)pingスイ―プ(アドレススキャン)
Pingスイ―プとは、ターゲットサイトで稼動しているホストを確認するために、指 . . . 本文を読む
今回は情報セキュリティの第2章、「情報セキュリティにおける脅威」の前半部分です。具体的な侵入・攻撃の方法については、後半に回しています。
6 発生源からみた脅威の分類とは?
脅威とは、情報セキュリティを脅かし、損害を発生させる直接の原因となるものであるが、発生源から脅威を分類すると、災害による脅威・障害による脅威・人による脅威がある。
7 災害による脅威とは?
災害による脅威は、地震・火 . . . 本文を読む
突然ですが、黒猫は来月情報セキュリティアドミニストレータ(通称「セキュアド」)の試験を受験することになりました。
司法試験に合格して資格の道に目覚めて以来、これまで最低年に1個くらいは何かの資格を取っていたのですが、今年は公認会計士の勉強に専念するつもりで他の資格を受け控えていたところ、病気でそれもだめになり、このままだと今年の取得資格はゼロになりそうなので、急遽受験を決めたわけです。
決し . . . 本文を読む