操作
情報セキュリティアドミニストレータ¶
その傾向と対策
過去問・問題集¶
- 示現塾
- http://zigen.cosmoconsulting.co.jp/service/service_index.htm
- 解答例速報
- http://www.arkweb.co.jp/~aki2004/ss/ http://www.arkweb.co.jp/~aki2003/ss/ http://www.arkweb.co.jp/~aki2002/ss/ http://www.arkweb.co.jp/~aki2001/ss/
- kimura-kouichi.com 情報セキュリティアドミニストレータ試験情報
- http://www.kimura-kouichi.com/security/
- CareerCafe イムカ
- http://www.imca.co.jp/event/itexam/
- 0からはじめるIT資格
- http://0kara.org/
- Tomのネットワーク勉強ノート
- http://www.tomnetwork.net/
- KIKIの情報処理試験の部屋
- http://www.kikiroom.com/
- 特訓PDCA式で学ぼう情報セキュリティ(過去問題)
- http://sstokkun.web.infoseek.co.jp/
- セキュリティ関連法規
- http://sstokkun.web.infoseek.co.jp/gozen/houki.html
- ごたくWEB
- リンク切れ http://www.na.sakura.ne.jp/~taka/index.shtml
- The 模擬試験!
- http://www.media5.biz/pexa/index.html
勉強に役立つ参考URL¶
- 情報セキュリティアドミニストレータ 合格への道
- http://risky.cs.inf.shizuoka.ac.jp/~gs2053/
- 特訓PDCA式で学ぼう情報セキュリティ
- http://sstokkun.web.infoseek.co.jp/
- @IT Security&Trust
- http://www.atmarkit.co.jp/fsecurity/index/indexfiles/index-serial.html
- with a shade of curiosity [情報セキュリティアドミニストレータ-その傾向と対策]
- http://homepage1.nifty.com/togou/2shu/
- 情報セキュリティアドミニストレータ合格への近道
- http://www5f.biglobe.ne.jp/~pafu/goukaku/goukaku6.htm
- 情報セキュリティアドミニストレータ掲示板
- リンク切れ http://johobbs.lib.net/cgi-ss/index.htm
メールマガジン¶
試験に役に立つメールマガジンです。
- 特訓PDCA式で学ぼう情報セキュリティ
- http://sstokkun.web.infoseek.co.jp/
セキュリティ関連法/規格/ガイドライン¶
法律と規格と制度の関係¶
個人向けのアピール
↑
┌───────────────┐
│プライバシーマーク制度 │
┏━━━━━━━┳━━━━━━━━━━━━━┿━━━━━━━━━┓ │
┃個人情報保護法┃JIS Q 15001:2000 │ ┃ │
┃ ┃ │ ┃ │
┃ ┃ ┌──────────┐ │ ┃ │
┃ ┃ │個人情報保護方針 │ │☆コンプライアンス・プログラム│
┃ ┏┛ │プライバシーポリシー│ │ ┃ │
┃ ┃ └──────────┘ └─────────╂─────┘
┃ ┃ ┃
┃ ┏┛ ┃
┃ ┃ ┃
┃ ┃ ┃
┃ ┏┛ ┃
┃ ┃ ┃
┃ ┃ ┃
┃ ┏┛ ┌────────────╂─────┐
┃ ┃ │ ┃ │
┃ ┃ │ ┃ │
┗━━━┻━━━━━━━━━━━━━━┿┳━━━━━━━━━━┳┛ │
個人情報保護 │┃ JIS X 5080:2002 ┃←(参考資料)│
│┃(ISO/IEC 17799:2000)┃ │
下限←───────→望ましいレベル │┗━━━━━━━━━━┛ │
│ │
│ISMS適合性評価制度 │
┏━━━━━━━┓ └──────────────────┘
┃不正競争防止法┃ 情報セキュティマネジメント ↓
┗━━━━━━━┛ 企業向けのアピール
・不正な機密情報利用の防止
←──────────←─────────────────→
※JIS Q 15001はPDCAで PDCAサイクル
記述されている (Plan Do Check Action)
┏━━━━━━━━━━━━━━━━━━┓
┃ JIS X 5070 (ISO/IEC 15408) ┃
┗━━━━━━━━━━━━━━━━━━┛
セキュリティ評価
不正競争防止法
| col 1 | col 2 |
|---|---|
| 秘密管理性 | |
| 有用性 | |
| 非公知性 |
PDCAサイクルによる情報セキュリティマネジメント
Plan
┌──────┐
┌──→│ポリシー及び│───┐
│ │計画の策定 │ │
│ └──────┘ │
│ ↓
Act Do
┌──────┐ ┌──────┐
│経営陣による│ │実施及び │
│見直し改善 │ │ 運用 │
└──────┘ └───┬──┘
↑ Check │
│ ┌──────┐ │
│ │ 監査 │ │
└───┤ │←──┘
└──────┘
| col 1 | col 2 |
|---|---|
| Plan | 組織の全般的な基本方針、および目標に沿った結果を出すためのリスクマネジメント、および情報セキュリティの改善に関連する情報セキュリティ基本方針、目標、対象、プロセス、および手順を確立する。 |
| Do | その情報セキュリティ基本方針、管理策、プロセス、および手順を導入し、運用する。 |
| Check | 情報セキュリティ基本方針、目標、および実際の経験に照らして、プロセスの実施状況を評価し、可能な場合、これを測定し、その結果を見直しのために経営陣に報告する。 |
| Act | ISMSの継続的な改善を達成するために、マネジメントレビューの結果に基づいて是正処置、および予防処置を講ずる。 |
ISMSの趣旨(組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善すること)
情報セキュリティの3つの要素
| col 1 | col 2 |
|---|---|
| 機密性(confidentiality) | アクセスを認可された者だけが情報にアクセスできることを確実にすること。 |
| 完全性(integrity) | 情報および処理方法が、正確であること及び完全であることを確実にすること。 |
| 可用性(availability) | 許可された利用者が、必要なときに、情報及び関連する資産にアクセスできること。 |
OECD個人情報保護8原則
| col 1 | col 2 |
|---|---|
| 1.収集制限の原則 | 個人データや関連するデータの収集は適法かつ公正な手段によるべきであり、 適当な場合にはデータ主体(本人)に通知又は同意を得て行うべきである。 |
| 2.データ品質の原則 | 個人データは、その利用目的に沿ったものであるべきであり、 利用目的に必要な範囲内で正確、完全、最新に保たれるべきである。 |
| 3.目的明確化の原則 | 利用目的は収集時より遅くない時期に明確化されなければならず、 その後の利用は収集目的と合致するか、 利用目的の変更時に明確化されたものに限るべきである。 |
| 4.利用制限の原則 | 個人データは、同意がある場合や、法令に依る場合を除いて、 明確化された目的以外に使用されるべきではない。 |
| 5.安全保護の原則 | 個人データは、紛失・破壊・修正・開示等のリスクに対し、 合理的な安全保護措置により保護されるべきである。 |
| 6.公開の原則 | 個人データの作成、運用、方針は一般に公開されるべきである。 また、個人データの管理者の所在を明らかにすると共に、個人情報の種類、 主な利用目的を明示する術を容易に利用できるようにすべきである。 |
| 7.個人参加の原則 | 自己に関する個人データの所在の有無を確認できるようにしなければならない。 その際、合理的な期間内に、(もし必要なら)高額ではない費用負担により、 合理的な方法により、わかりやすい形式で知らせなければならない。 また、自己に関するデータについて異議申立ができ、消去、修正、完全化、 訂正ができなければならない。 |
| 8.責任の原則 | データ管理者は、上記原則を実施するための措置に対する責任を有するべきである |
コンピュータウィルスの定義(コンピュータウィルス対策基準)
| col 1 | col 2 |
|---|---|
| 自己伝染機能 | 自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能 |
| 潜伏機能 | 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能 |
| 発病機能 | プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能 |
情報セキュリティポリシーの策定、運用について¶
─┬─
/\ │
/ \ │
/ 情報 \ │情報
/セキュリティ\ │セキュリティ
/ 基本方針 \ │ポリシ
/──────────\ │
/ 情報セキュリティ \ │
/ 対策基準 \ │
/────────────────\─┴─
/ 情報セキュリティ対策 \
/ 対策手続、規程類 \
──────────────────────
| col 1 | col 2 |
|---|---|
| 情報セキュリティ基本方針 | 情報セキュリティに対する組織としての統一的かつ基本的な考え方や方針を示すもので、単に「ポリシー」または「基本ポリシー」とも呼ばれます。情報セキュリティポリシーの最上位に位置付けられており、情報セキュリティポリシーの目的、対象範囲、維持管理体制、義務、罰則などが記述されます。 |
| 情報セキュリティ対策基準 | 情報セキュリティ基本方針を実践し、適切な情報セキュリティレベルを確保・維持するための遵守事項や基準であり、「スタンダード」とも呼ばれます。 |
| 情報セキュリティ対策対策手続、規程類 | 情報セキュリティ対策基準を実施するための詳細な手続や手順であり、「プロシージャ」とも呼ばれます。各スタンダードをより具体化し、各部署において実際に運用するための手続や手順が記述されます。 |
関連法参考URL¶
- 不正競争防止法
- http://sstokkun.web.infoseek.co.jp/act/act1_25.html
- 通信傍受法
- http://homepage1.nifty.com/yk/newlaw/tuusinbouju9908.htm
- 労働者派遣法
- http://ws1.jtuc-rengo.or.jp/nugw/horitsu/hakenhou.html
制度・ガイドライン参考URL¶
- ISMS
- http://www.isms.jipdec.jp/isms/
- 情報セキュリティ監査制度・セキュリティ管理基準
- http://www.atmarkit.co.jp/fsecurity/rensai/guide07/guide01.html
- コンピュータウィルス対策基準
- http://www.ipa.go.jp/security/antivirus/kijun952.html
メモ¶
- セキュリティ関連法・ガイドライン
- http://risky.cs.inf.shizuoka.ac.jp/~gs2053/0827-2.html
- 情報セキュリティの国際標準
- http://risky.cs.inf.shizuoka.ac.jp/~gs2053/0826-2.html
- セキュリティを学ぼう
- http://www.arkweb.co.jp/~hiroka/ss/ss.htm
平成14年度情報セキュリティアドミニストレータ 午後問題解説¶
午後1 問1¶
秘密保持契約
- 設問4
- 計算
午後2 問1¶
午後2 問2¶
X社とY社の除法保護の設定・・・範囲と取り組み
平成15年度情報セキュリティアドミニストレータ 午後問題解説¶
午後1 問4¶
マシン構成・ネットワーク構成
午後2 問1¶
- 設問3
- 問題の意味がわかんね?
午後2 問2¶
平成16年度情報セキュリティアドミニストレータ 午後問題解説¶
午後1 問3¶
- 設問4
- (1)本文中の下線③に示した,必要以上に通信が許可されている設定とは何か。機器間通信のうち,FTP通信に関する不要な例を一つ挙げ,15字以内で述べよ。
ファイアウォールについて
インターネット
┃
┃ FTP⇔FTP
┏━┻━┓
┃ FW ┣━━DMZ
┗━┳━┛
┃ FTP⇔FTP
┃
イントラネット
基本的なファイアーウォールの設定方針
col 1
--------------- | -----------------------------
インターネット→DMZ | 許可
インターネット→イントラネット | 拒否
DMZ→インターネット | 原則拒否(必要に応じて許可)
DMZ→イントラネット | 拒否
イントラネット→インターネット | 拒否(但し、要件に基づいたポリシや構成によっては許可する)
イントラネット→DMZ | 許可
午後1 問4¶
- 設問2
- 図2中の4~7には,コンピュータの設置場所の条件として,経験の浅いR君の誤解や理解不足に基づく誤った要件記述がそれぞれ一つずつあると不適切と思われる記述を選び,図2中の(1)~(3)の番号で答えよ。また,それらの記述が不適切である理由と,本来の望ましい要件を,それぞれ20字以内で述べよ。
電源設備
┏━━┓ ┏━━┓
送電→━┫CVCF┣━━━┫UPS ┣━━→サーバへ
┗━━┛ ┗━━┛
電圧安定化 瞬断・高電圧保護
停電時の一定時間電源供給
停電時のサーバの安全な停止
マシン設備(IDCとか)の一般的な仕様
───────
/ /│←窓はつけない
/ / │
├──────┤ ├─←電源の先にはCVCFとUPSが連なる
│ │ / ※停電時の為に発電装置も設置する
│ ┌┐ │/←消火設備(窒素・アルゴン・二酸化炭素等の""不活性ガス"")
└──┴┴──┘
↑
出入り口は一つが望ましく、入退室の際は、本人確認(認証)と入退室記録をする
IDSとIPS
- 侵入検知システムと侵入防御システム
バックアップの方式
| col 1 | col 2 | col 3 | col 4 | col 5 |
|---|
| 主旨 | 意味 | メリット | デメリット
バックアップ施設内保管 | 障害対応 | バックアップを取得し、同一建物内に保管する | コスト低 | 被災時にはバックアップも被害を受ける可能性がある
バックアップ施設外遠隔地保管 | 被災対策 | バックアップを取得し、遠隔地へ送付し保管する | コスト低 | 被災時でも迅速な復旧は望めない
コールドサイト | 被災対策 | | 被災時に代替システムとして利用できる | コスト高(四番目に高い)
ウォームサイト | 被災対策 | | 被災時に復旧が可能 | コスト高(三番目に高い)
ホットサイト | 被災対策 | 電源も | 被災時に迅速な復旧が可能 | コスト高(二番目に高い)
ミラーサイト | 被災対策 | | 被災時にほぼ業務に影響なく復旧が可能 | コスト高(一番高い)
ハイブリッド? | 被災対策 | | |
午後2 問1¶
複数の人が同一アカウントを使うことによる弊害
- H16 情報流出時の流出元の調査が困難になる為
- H14 アカウントの漏洩時に停止する事で管理業務の中断が生じ、漏洩経路と復旧作業の解析も困難になる
守秘義務契約・機密保持契約・秘密保持契約
(違いは?正式な名称?)
- 機密保持契約(非開示契約・秘密保持契約・守秘義務契約)
(なんか大きな違いは無らしい)
お詫び文
- ①お詫び
- ②説明責任を果たす為、具体的事実を伝える。
- ③注意を喚起する。
次の三つを記述している事
- ①9月21日にパソコン盗難があった事実
- ②その中には、氏名・住所・口座番号などの512名の個人データが入っていたこと
- ③今後、架空請求がDMなどで悪用される可能性がある事
で、こんな感じの文にする(作成中)
ごめんなさい。 9月12日に盗難被害に遭い、お客様の個人情報が漏洩した可能性がございます。 当事件の再発防止の為に、より強固なセキュリティ対策を実施します。 お客様には架空請求やDM等が届く可能性も考えられます。
午後2 問2¶
メモ¶
- 「日経セキュリティ会議」の採録
- http://www.nikkei.co.jp/ps/secucon2005/
- Web「経営革新ツール」用語集
- http://www.mitsue.co.jp/case/glossary/index.html
- 情報セキュリティアドミニストレータ対策(用語集)
- http://www.guilty-desire.com/security/keyword.htm
- ステークホルダ
- Stakeholderというのは英語では、賭博場の掛け金を預かる人(保管人)のことである。この言葉を経営学では、株主だとか、従業員だとかといった企業の利害関係者全体を指すのに使っている。この言葉を最初に使った人のセンスには敬意を表したいが、残念ながら日本人にはほとんど理解できないであろう。プロジェクトマネジメントでも経営学と同じ意味でステークフォルダという言葉を使うことがある。
- QC七つ道具
- http://www.i-juse.co.jp/statistics/product/qcas/qc7.html
- RASIS インテグリティ(誠実性原則)
- インテグリティとはインテグリティ(誠実性原則)とは、世界中のどこにおいても、法令およびそれに類する規定を遵守するということを意味します。また、GEの社員として業務を行う際には、常に誠実、公正かつ信頼に値するよう行動することが求められます。GEにとって、周囲との関係すべての基礎となるのがこのインテグリティなのです。
- JIS Q 9001
- http://homepage3.nifty.com/nobukazu/sakusaku/5_1.htm
- JIS Q 9004
- http://homepage3.nifty.com/nobukazu/sakusaku/5_1.htm
著作権がらみ
TQM QMS
- コンプライアンス・プログラム(CP)
- http://www.prisec.org/cp/
- PDCAサイクル
- http://www.h3.dion.ne.jp/~qcc-nigt/qc.html
- リスク分析手法 JRAM(JIPDEC Risk Analysis Method)
- 日本情報処理開発協会(JIPDEC)が、1992年に考案した手法。情報システムのリスクを、JRAM質問表を用いて脆弱性を把握/評価し、JRAM分析シートを用いて実際の損失額を算出する。定量的分析と定性的分析を利用している。
- SLCP-JCF98
- http://risky.cs.inf.shizuoka.ac.jp/~gs2053/1011-2.html
- SFA
- SFAとは、SalesForceAutomationの略で、「営業支援システム」といわれるものです。
- ポートフォリオマトリックス(PPM)
- http://www.sw.nec.co.jp/ikey/key02/12/
- 意思決定支援システム
- 意思決定支援システム[Decision Support System]様々は経営情報をシステムに蓄え、大量のデータをユーザー自身が、検索・分析・加工することによって、意思決定を支援するための情報処理環境。略称はDSS。意思決定支援システム(DSS)は、1960年代から存在する概念であるが、システム処理性能のレベルなど、問題点も多く、1990年代のデータ・ウエアハウスなどの新しい情報系システムの概念が生まれる原因となった。データ・ウエアハウスをDSSのインフラとして活用することにより、ユーザー自身による情報の検索、分析、加工と意思決定への活用が可能となった。