Web教材一覧情報倫理・セキュリティ

情報セキュリティの概念

表示が不十分なときは、□をクリックすると、その部分が別ウインドウに表示されます。

学習のポイント

情報システムを地震や不正アクセスなどから守ることを情報セキュリティ対策といいます。ここでは、情報セキュリティに関する基本的な概念とその特徴について学習します。

キーワード

情報セキュリティ、機密性、完全性、可用性、脅威、インシデント、脆弱性、リスク、情報資産、固有リスク、受容リスク、リスクの大きさ、情報セキュリティ対策、物理的対策、論理的対策、人的対策、管理的対策、リスク・コントロール、リスク・ファイナンス、桶の理論、社会的責任


情報セキュリティの基本事項

情報資産と情報セキュリティ

しかしここでは、狭義の「情報システム」セキュリティを対象にします。

脅威、脆弱性、リスク、インシデント

情報セキュリティを理解するには、脅威、脆弱性、リスク、インシデントという概念を用いると便利です。

情報セキュリティの3要件

参考:「情報システムが持つ脆弱性の特徴」 (sec-it-zeijakusei)


情報セキュリティ対策の考えかた

リスクの大きさと受容リスク

対策レベルの考え方

桶の理論


リスク低減の手段

情報セキュリティ対策の種類

リスク対策の種類


セキュリティマネジメント

情報セキュリティ対策は、経営の面から総合的に全社的に継続的に取り組むことが必要です。それをセキュリティマネジメントといいます。

セキュリティポリシー

情報セキュリティ推進組織

リスク分析の手順

PDCAによる継続的活動

第三者評価


理解度チェック

第1問

  1. 情報セキュリティの3要件とは、信頼性・完全性・可用性のことである。
    × 信頼性→機密性
  2. 情報セキュリティ対策とは、情報資産に対する脅威を減らすことである。
    × 脅威がインシデントになることを減らす
  3. 情報セキュリティ対策とは、情報システムの脆弱性を減らして、リスクの大きさを受容リスク内にすることである。
  4. 情報セキュリティ対策は社会的責任であるから、技術的に可能な限りの高度なレベルにするべきである。
    × 対策費用と被害費用の合計を最小にするレベル
  5. リスクの大きさは「発生確率×被害の大きさ」で表される。
  6. 情報セキュリティ対策では、広い分野を考慮するよりも、重点となる部分に集中したほうがよい。
    × アプローチとしては考えられるが、桶の理論が重要
  7. 情報セキュリティ対策での防犯設備の強化は、人的対策である。
    × 物理的対策
  8. ファイアウォールなど脅威がインシデントになる確率を減らす手段は、リスクコントロールの一つである。
    ○ 損失制御
  9. 地震や火災でIT機器の破損補てんのために、保険をかけるのはリスクコントロールの一つである。
    × リスクファイナンス
  10. セキュリティマネジメントとは、情報セキュリティ対策は,経営の面から総合的に全社的に継続的に取り組むことである。
  11. セキュリティポリシーとは、経営者が,情報セキュリティに対する目標や基本方針を社内外に宣言するものである。
  12. 情報セキュリティの対策方法は秘密にする必要があるので、情報セキュリティ対策は限られた少数の組織で推進するのが適切である。
    × 全社的運動で推進

第2問

  1. 自然災害、機器の故障・誤動作、人間の過失、人間の故意のそれぞれの脅威から情報システムの脆弱性を減らす具体的な対策を列挙せよ。
  2. なぜ、セキュリティマネジメントは全社的運動としてマネジメントする必要があるのだろうか。

過去問題: 「情報セキュリティの概念」


本シリーズの目次へ