春と秋はIPAの主催する情報処理試験の季節です。IT系の資格を取りたいな、という文系出身の方と、学生に超・超おすすめの試験がこれ、情報セキュリティマネジメント試験です。非エンジニアでも取得可能です。間違いありません。
その情報セキュリティマネジメント試験で必ず出てくる頻出用語とその内容を整理しました。試験にお役立てください。
情報セキュリティマネジメントの考え方と定義。頻出用語
考え方や定義について
情報セキュリティのポイントは「全員で行うこと」です。一部の人だけがやっても意味がありません。会社全員で守るルールを作ること、ルールを守る仕組みを作ることが重要です。
JIS Q 27001では、情報セキュリティマネジメントシステム(ITSMS)について次のように述べています。
「ITSMSの採用は組織の戦略的決定である。組織のISMSの確立及び実施はその組織のニーズ及び目的、セキュリティ要求事項、組織が用いているプロセス、組織の規模及び構造によって影響を受ける」
JIS Q 27001より
情報セキュリティマネジメントシステムは、組織の戦略によって決定され、組織の状況によって変わります。
ほかにも4つの特性があります。
- 真正性→情報その他がその通りであると主張すること
- 責任追跡性→誰がその情報を使ったか追うことができる
- 否認防止→ある人が情報にアクセスしたことを証明することができる。(情報を不正に入手しようとした人に言い逃れさせない)
- 信頼性→意図する行動と結果が一貫している
脅威と脆弱性に関する用語~この用語を覚えていれば1点取れる~
情報セキュリティマネジメント試験なので、いわゆる「脅威」(自社、その他情報を不正に入手、破壊などなど情報を脅かすものたち)に関する用語が出てきます。
マルウェア・不正プログラム、攻撃者の種類
マルウェアというのは、コンピュータウィルスのことです。悪意を持ったプログラムのことを「マルウェア」とひっくるめて呼んでいます。「マルウェア」=「悪いことするウィルス」という感じで覚えると良いですね。
代表的なマルウェアの種類
トロイの木馬
古代ギリシャ時代の戦法を真似たマルウェアです。悪意がないようにみせかけ、プレゼントのようにマルウェアを送り込み、コンピュータの中に入ってしまった後に、不正を働くというやり口です。
バックドア
バックドア=裏口、ですね。ログインせずに勝手に裏口から入り込み、通信経路を確保するやり口です。
ランサムウェア
PC内のファイルなどを勝手に暗号化し、見えなくなるなどします。そのあと、「このファイルの暗号化を解いてほしければ、お金を振込むんだ!」といって身代金を要求します。
ルートキット
攻撃成功のあと、痕跡を消して見つかりにくくするものです。
攻撃者の種類
代表的なマルウェアを1点取れるように列挙しました。なんで世の中にマルウェアをまき散らして悪いことをするのでしょう??攻撃者にもいろんな種類があります。いろんな動機があるのだな、というのを覚えると良いです。
内部関係者
従業員や業務委託先の職員など、組織の内部に不正を働くものがいます。
だいたいがお金目的じゃないですかね?売るんですよ。社内の情報をね。
スクリプトキディ
ネット上で公開されている簡単な不正プログラムを実行する人。「幼稚な攻撃者」という意味があります。
攻撃者の動機
攻撃者の動機はだいたいこの3つです。それ覚えていればOKです。
- お金が欲しい
- ハクティビズム→政治的、社会的思想をもってハッキングを行う人たち
- サイバーテロリズム→人や社会に危害を与えるテロリストです。かなり悪質な人たちです
まとめ・攻撃の種類があること、攻撃には動機があることを覚えていればOK
情報セキュリティの定義を覚えれば、もう1点とれます。その他攻撃の種類と動機について覚えていれば1点とれます。このページを理解しておけば、2点とれて、情報セキュリティマネジメント試験合格に1歩近づけます。
あと、ネットだけで勉強しようとしている人。書籍必須。本買った方がいいです。やっぱ本がわかりやすいし、書けるし、見れるし。目と手と口と頭をフル回転させて勉強してください。
過去問もね、IPAで公開されているけど、解説はありません。解説をしっかり読んで知識を確実なものにしてください。
情報セキュリティの定義です。過去のテストで頻出です。これ覚えていたら1点取れます。情報セキュリティに必要なものを次のように定めています。