新規記事の投稿を行うことで、非表示にすることが可能です。
2024年12月29日
CSF 〜組織プロファイル〜 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
本日は、日曜日ということで、セキュリティの日です。
先週までは、CSFについて、調査し、CSFには、CSFコア、CSF組織プロファイル、CSFティアという3つの要素により構成されていることをお話しし、そのうち先週は、CSFコアについて詳細に調べました。
本日は、CSF組織プロファイルについて調査したいと思います。
[CSF組織プロファイル]
では、早速、CSF組織プロファイルについてChatGPTに解説をしてもらいましょう。
■CSF 組織プロファイルとは
組織プロファイル(Organizational Profile)は、NIST CSFを導入する際に、組織特有の特徴や状況を詳細に分析・記述するプロセスです。CSFの6つの機能(Identify, Protect, Detect, Respond, Recover, Govern)をカスタマイズして適用するための基盤となります。
組織プロファイルを通じて、以下が可能になります:
・組織の現在地(現状のセキュリティ体制とリスク)を明確化
・CSFの適用範囲を特定
・リスクマネジメント活動の方向性を策定
■CSF 組織プロファイルの構成要素
CSF 2.0における組織プロファイルでは、特に「Govern」の新機能を反映した以下の要素が重要です。
❶ビジネス環境(Business Environment)
・組織の目的、目標、戦略的方向性
・提供する製品やサービス、ターゲット顧客
・競争環境や市場動向
・ビジネスプロセスとそれに関連するサイバーリスク
❷リスクガバナンス(Governance and Risk Management)
・経営層やガバナンス構造(CEO, CISO, セキュリティ委員会など)
・サイバーセキュリティに関する意思決定プロセス
・組織文化とセキュリティ意識
・法的・規制的要求事項(例: GDPR, NIS指令)
❸システムと資産の概要(Systems and Assets Overview)
・組織が管理する重要な情報資産やITインフラ
・クラウド、オンプレミス、ハイブリッド環境の利用状況
・サードパーティやサプライチェーンの依存関係
❹リスク管理のアプローチ(Risk Management Approach)
・リスク特定、評価、軽減、監視の方法
・リスク許容度の定義
・主要なリスク要因(例: サイバー攻撃、内部不正、自然災害)
❺サイバーセキュリティ成熟度(Cybersecurity Maturity)
・現在のセキュリティ対策の状態(技術、プロセス、組織構造)
・過去のインシデント対応の記録と教訓
・ギャップ分析結果と優先すべき改善項目
❻法令遵守と業界基準(Compliance and Standards)
・準拠すべき法規制(例: GDPR、HIPAA)
・業界標準(例: ISO/IEC 27001、SOC 2)
❼将来のセキュリティ目標(Future Goals and Objectives)
・組織が目指すセキュリティのビジョン
・必要なリソース(人員、予算、ツール)とその計画
■組織プロファイルの重要性
❶戦略的セキュリティ計画の基盤
組織プロファイルは、リスクアセスメントやセキュリティ戦略立案の基礎を形成します。
❷トップダウンアプローチの促進
「Govern」機能により、経営層を巻き込みながら組織全体でセキュリティを推進可能。
❸リスクベースの意思決定
プロファイルを通じて、最も重要なリスクに集中し、リソースを効率的に配分します。
❹規制遵守と監査対応
プロファイルに法的・規制的要求事項を含めることで、監査やコンプライアンス要件への対応を支援します。
■CSF 組織プロファイル作成の手順
★ステップ 1: 準備と情報収集
・組織の関係者(経営層、IT部門、セキュリティチーム)と連携。
・業界標準、規制、ビジネス目標に関する情報を収集。
★ステップ 2: 組織プロファイルの記述
以下のように情報をドキュメント化します:
・組織のビジネス環境
・リスクガバナンス構造
・現在のセキュリティ対策の状態
・規制遵守状況と目標
★ステップ 3: レビューと承認
プロファイルを経営層やセキュリティリーダーに提示し、フィードバックを得て承認を受けます。
★ステップ 4: 定期的な更新
組織や技術環境が変化した場合にプロファイルを更新します(例: 新規事業の開始、技術スタックの変更)。
■組織プロファイルの活用例
❶リスクアセスメント
プロファイルに基づいて、最も重要な資産や脅威を特定します。
❷セキュリティ対策の優先順位付け
現在のギャップと目標を比較し、最も効果的な投資分野を決定。
❸セキュリティプログラムの設計
組織プロファイルを元に、CSFの6つの機能を実行する計画を作成。
CSF 2.0の組織プロファイルは、従来のCSF 1.1よりも「統治(Govern)」の視点が強化され、組織の全体的なセキュリティ態勢を戦略的に改善するための重要なツールとなっています。このプロファイルを活用して、より効果的で効率的なセキュリティ対策を実現してください。
[あとがき]
最後に書かれている通り、CSF1.1と比較するとCSF2.0は統治の視点が強化され、経営者の責任を明確にしたという点が特筆すべき点です。
なお、今回も、ChatGPTに本件を聞いたところ最初に、CSF1.1に関する解説がありました。理由を聞いたところ、CSF2.0は昨年リリースされたもので、今現在もCSF1.1を適応しているところが多く、そのため、まず最初にCSF1.1について解説をしたという弁明がありました。
その弁明を聞いて思うのは、社会とは常に変化するものであり、その変化する社会に合わせてこのようなフレームワークが変更されていきます。しかも、このフレームワークに書かれている内容は、策定している時の社会に対応して策定したもので、リリース当時には既に陳腐化しているかもしれません。
そのような状況を考慮すると、もし、CSF1.1で対応している組織があるとしたら、今すぐにも変更した方がいいかもしれません。
その一方で、外部に影響されるのではなく、自分たちの考えをしっかりともち、3、5、10年先を見据えて組織を作っていれば、このようなバージョンが上がることに振り回されないのかもしれません。
何が正解なのか、明確な解答をすることはできませんが、言えることは、自組織を十二分に理解し、理解したうえで、自分たちに最適なセキュリティを適応していくということが必要なのだと思います。
あなたは、どう思いますか?
では、また!
2024年12月22日
CSF 〜CSFコア〜 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
本日は、日曜日ということで、セキュリティの日です。
先週は、CSFについて、調べているうちに、OMB文書、FIPS、そしてSPシリーズに目が留まり、同文書の概要について調べ報告をしました。
今週は、本題のCSFについて調べ報告したいと思います。
現在、CSF文書について調査中なのですが、当初の想像と違いました。それは、参考書的な位置づけで記述されているということです。IPAから提供されている資料には中核的な位置づけで書かれているような気がしたのですが・・・・?
まっ、読み手によりその受け取り方はまちまちだと思うので、以上は私の文章の捉え方だと思ってください。
[CSFの概要]
IPAから提供されている資料には、CSFコアの5つの機能に関する部分を中心に書かれていましたが、実は3つの要素により構成されています。
以下は、NISTの翻訳本に書かれている内容を、ChatGPTに簡潔にまとめてもらったものです。
@CSFコア(Core)
セキュリティ活動を整理し、共通の言語を提供するものです。
5つの機能と23のカテゴリ、さらに細分化された108のサブカテゴリで構成されています。
・5つの機能:識別 (Identify)、防御 (Protect)、検知 (Detect)、対応 (Respond)、復旧 (Recover)。
・カテゴリ:具体的なセキュリティ目標や管理分野(例: アクセスマネジメント、データ保護など)。
・サブカテゴリ:具体的な実施事項(例: リスクを特定し文書化する)。
A CSF組織プロファイル(Profile)
・各組織が現在のセキュリティ状況(Current Profile)と目標状況(Target Profile)を定義し、差異を明らかにするためのツール。
・プロファイルを活用することで、組織固有の目標に合ったセキュリティ対策をカスタマイズできます。
B CSFティア(Tiers)
セキュリティリスク管理の成熟度を評価する基準。4段階のティア(Tier 1〜4)で構成されます。
・Tier 1: 部分的(Partial)
・Tier 2: リスク重視(Risk Informed)
・Tier 3: 確立された(Repeatable)
・Tier 4: 適応的(Adaptive)
ティアは必須基準ではなく、各組織が自らの状況を理解し改善するための指針です。
[CSFコアの5つの構成要素は実は6つ]
以前のブログには、CSFの5つの構成要素として、以下の内容で記述しています。IPAから提供された資料と若干違っているのですが、単語の意味の捉え方により多少は違うと思われるので、そのまま利用させていただいています。
1)Identify (特定):
資産、リスク、脆弱性、法的義務などを特定し、組織のセキュリティ基盤を構築。
例: 資産管理、リスク管理戦略。
2)Protect (保護):
システムやデータを保護するための対策を実装。
例: アクセス制御、データセキュリティ、トレーニング。
3)Detect (検知):
サイバーセキュリティイベントを迅速に検知。
例: 異常検知、継続的監視。
4)Respond (対応):
サイバーセキュリティイベントに対する適切な対応を計画・実行。
例: インシデント対応計画、コミュニケーション。
5)Recover (復旧):
インシデント後の回復力を強化し、通常業務に戻る。
例: 復旧計画、改善活動。
IPAの資料では、以上の項目を以下の内容で記述しています。
1)Identify (特定): → 識別
2)Protect (保護): → 防御
3)Detect (検知): → 検知
4)Respond (対応): → 対応
5)Recover (復旧): → 復旧
解説もほぼ同じですし、言葉がちょっと違うといった所でしょうか?
[CSF2.0]
以上の5つの機能と言われていたのは、2018年4月16日にリリースされたCSF1.1の内容です。現在は、2024年2月26日に更新された、CSF2.0が使用されています。その内容は以下の通りです。
❶統治(Govern)
・目的: サイバーセキュリティリスク管理の全体的な方針と方向性を確立し、それを継続的に維持する。
・概要:
┣経営層やリーダーシップが、リスク管理の責任を担い、戦略やポリシーを明確にします。
┣組織全体でリスクに対する共通の理解を形成し、リソースを適切に割り当てる。
┗サイバーセキュリティ文化の醸成を支援し、規制遵守と業務目標を両立させる。
❷識別(Identify)
・目的: サイバーセキュリティリスクを把握し、管理するための基盤を構築する。
・概要:
┣組織が持つ資産、データ、システム、および関連するリスクを特定。
┣ビジネス目標とリスク管理の連携を図る。
┗サプライチェーンや外部依存関係のリスクも識別。
❸防御(Protect)
・目的: 脅威を防ぎ、システムやデータの安全性を維持する。
・概要:
┣不正アクセスや攻撃に対する予防的な制御を確立。
┗データ暗号化、アクセス制御、教育・訓練を通じて、リスク軽減策を実施。
❹検知(Detect)
・目的: サイバーセキュリティイベントや脅威を迅速に特定する。
・概要:
┣不審な活動やインシデントを監視する仕組みを整備。
┣通知・アラートのプロセスを構築し、早期発見を目指す。
┗継続的な監視とログ分析の導入。
❺対応(Respond)
・目的: サイバーセキュリティインシデントの影響を最小限に抑える。
・概要:
┣インシデント発生時に適切な対応手順を実施。
┣影響の評価、被害の封じ込め、ステークホルダーとの情報共有を行う。
┗対応プロセスを見直し、改善を図る。
❻復旧(Recover)
・目的: サイバーセキュリティインシデントから迅速に回復し、業務を継続する。
・概要:
┣インシデントの影響を最小限にし、業務プロセスを再構築。
┣回復計画の実行、学習、プロセス改善を行う。
┗経営層への報告とステークホルダーへの信頼回復。
CSF1.1までは、セキュリティ対策が中心に書かれていましたが、2.0になると、対策を実現するための体制などにも触れている点が注目されます。
加えて、サイバーセキュリティの責任の所在が経営者にあることが明確にされたという点は、注目すべきでしょう!
日本では、サイバーセキュリティ経営ガイドライン重要3項目の一番最初に出てきています。
[CSFの適応]
CSFの適応なのですが、業務ごとの適応ではなく、インシデント毎になります。例えば、ランサムウェア対策といった内容です。
従って、予め、どんなインシデントがあるのか想定し、想定したインシデントごとにCSFコアを策定していきます。その策定内容は、BCP(Business Continuity Plan)と似ています。
[あとがき]
IPAから提供されている資料には、CSFを土台にCPSFを作ったという記述があったのですが、CPSFの方がより具体的な内容が書かれているように感じました。但し、先週ご紹介した、FIPS、SPシリーズなどを補足資料として使用することを考えると、IPAから提供されている文書の通りなのかもしれません。
来週も、CSFに関する調査を進め、可能ならば、FIPS、SPシリーズまで踏み込んで調べたいと思います。
では、また!!!
2024年12月15日
CSF 〜他のNIST文書との関係〜 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
本日は、日曜日ということで、セキュリティの日です。っということで、先週の続きでCSFについて調べようと先週紹介したリンクをたどってみました。
[興味深い文書がいっぱい]
IPAのサイトで、CSFについてズバリ書いたのがあると思い、ページの頭から当該文書をダウンロードを始めたのですが途中で、手が止まりました。それは、同ページでリンクされている文書量が半端ではないのです。内容をみると、これからシステムを作る上で関係しそうな文書ばかりなので、どんなタイトルがあるのかちょっと、調べてみました。
[セキュリティ関連NIST文書についての概要]
IPAの「セキュリティ関連NIST文書について」というページの内容を一望すると、以下の文書構成になっています。
OMB文書
FIPS
SP
そして、先週紹介したCSFはその他の文書という扱いです。しかも、当該文書群の一番下・・・。
FIPSは、情報処理の試験ではおなじみのセキュリティに関する文書です。ちょっと、興味が出てきたので、どのような文書なのかChatGPTに聞いてみました。
[OMB文書]
まずは、OMB文書から聞いてみました。
OMB(Office of Management and Budget, 米国管理予算局)の文書は、米国連邦政府の予算編成や行政運営に関するポリシーを定めたものです。OMBは、連邦政府全体のリソース管理を行い、政策や計画を実行する上での基準を提供する役割を担っています。
■OMB文書の特徴
❶ポリシーガイドライン
・OMB文書は、連邦機関が政策やプログラムを計画、実行、監査する際に従うべき指針を提供します。
・特に、情報技術やセキュリティの分野では、NISTの文書(SPシリーズ)と連携して使用されることが多いです。
❷行政管理の標準化
・連邦政府全体で一貫した運用を行うために、財務管理、セキュリティ管理、情報公開などの基準が含まれています。
❸連邦情報セキュリティ管理法(FISMA)との関係
・OMB文書は、FISMAの実施を支援する重要な役割を果たしており、各機関がNIST SPシリーズをどのように適用すべきかを補足します。
■代表的なOMB文書
以下は、OMB文書の中でもよく知られているものや重要なものです。
@OMB Circular A-130
・正式名称: Managing Information as a Strategic Resource
・概要:
┣情報資源管理(IRM)のポリシーを定めています。
┣情報技術(IT)の管理、セキュリティ、プライバシー、記録管理に関する連邦政府全体の基準。
┗NIST SPシリーズ(例: SP 800-53)の適用における基本方針を規定。
AOMB Memoranda(覚書)
OMBは特定の課題や新しい政策に対応するために、メモランダム(Memos)を発行します。以下がその例です:
┣M-22-09: Moving the U.S. Government Towards Zero Trust Cybersecurity Principles
┃┗ゼロトラストアーキテクチャ(ZTA)の導入に関する指針。
┗M-17-25: Reporting Guidance for FISMA Metrics
┗FISMAのセキュリティメトリクス報告に関する詳細指針。
BOMB Circular A-11
・概要:
1)予算編成およびパフォーマンス管理に関する指針。
2)政府機関が予算提案を行う際の基準を提供。
COMB Circular A-76
・概要:
政府業務を民間委託するかどうかの基準を定めた文書。
■OMB文書とNIST文書の関係
・OMB文書は政策の枠組みや政府全体の運用基準を定め、連邦機関が従うべき方針を指示します。
・NIST文書(例: SP 800シリーズ)は、具体的な技術的実践ガイドラインを提供します。
┗例えば、OMB Circular A-130で定められたセキュリティ管理基準を実現するために、NIST SP 800-53を参照することが求められます。
■OMB文書の活用方法
・連邦政府機関: OMBの指針に基づき、予算管理やセキュリティポリシーの実行計画を立てます。
・民間企業: 連邦機関と契約する際、OMB文書で求められる基準(特にITやセキュリティ)を理解し、準拠する必要があります。
OMB文書は、米国連邦政府の予算編成や行政運営に関するポリシーを定めたモノなのですが、その中の「OMB M-04-04連邦政府機関向けの電子認証にかかわるガイダンス」という文書を紹介したく、このページに持ってきたようです。
[FIPS]
続きましては、情報処理試験を受ける人にはおなじみの、FIPSに関して、ChatGPTに解説をしてもらいましょう!
FIPS(Federal Information Processing Standards, 連邦情報処理規格)は、米国連邦政府が情報技術やデータセキュリティの分野で利用するために制定した標準規格です。FIPSは、連邦政府機関とその契約業者に義務付けられており、情報システムやセキュリティ製品の調達や使用において重要な役割を果たします。
■FIPSの目的
❶連邦政府内の統一性の確保
各機関が異なるセキュリティ基準を使用するのではなく、統一された規格に基づく運用を実現。
❷セキュリティの確保
データの機密性、完全性、可用性を保護し、サイバーセキュリティリスクを軽減。
❸相互運用性の向上
システム間での安全なデータ交換を可能にする。
■FIPSの法的根拠
FIPSは、情報技術管理改革法(ITMRA)や、連邦情報セキュリティ管理法(FISMA)に基づき、NIST(National Institute of Standards and Technology, 米国国立標準技術研究所)が作成・維持しています。
■主要なFIPS規格
以下は、広く採用されている重要なFIPS規格の例です:
@FIPS 140シリーズ: 暗号モジュールのセキュリティ要件
・FIPS 140-2(現行標準)
┣暗号モジュール(例: 暗号化ライブラリ、ハードウェアセキュリティモジュール)のセキュリティ基準。
┗セキュリティレベル: レベル1(最低限の保護)〜レベル4(最高レベルの物理的セキュリティ)。
・FIPS 140-3(次世代標準)
┗国際規格ISO/IEC 19790に基づいて更新され、より厳密なセキュリティ基準を規定。
AFIPS 199: 情報と情報システムのセキュリティ分類
情報とシステムを、機密性・完全性・可用性の観点から「低(Low)」「中(Moderate)」「高(High)」に分類。
BFIPS 200: 最低限のセキュリティ要件
・FISMAに基づき、連邦政府情報システムが満たすべき最低限のセキュリティ要件を規定。
・セキュリティ管理策の詳細は、NIST SP 800-53で補完されています。
CFIPS 201: 個人認証のための標準
・連邦職員や契約業者の身分証明書の標準化(PIVカード: Personal Identity Verification)。
・生体認証、スマートカード技術を使用して、物理的および論理的アクセス制御を実現。
DFIPS 197: 高度暗号化標準(AES: Advanced Encryption Standard)
・データ暗号化のための標準アルゴリズムとして、対称鍵暗号方式AESを規定。
・米国連邦機関だけでなく、世界中の産業界や政府機関で使用されている。
EFIPS 180シリーズ: セキュアハッシュアルゴリズム(SHA)
・データのハッシュ化に使用されるアルゴリズムを規定。
例: SHA-1、SHA-256、SHA-512。
■FIPSの適用範囲
・連邦政府機関
FIPS準拠は連邦機関に必須であり、調達・運用において適用されます。
・政府契約業者
政府と契約する民間企業も、システムや製品がFIPSに準拠している必要があります。
・国際的利用
一部のFIPS規格(特にAESやSHA)は、米国以外でも広く採用されています。
■FIPS準拠の確認方法
・製品がFIPSに準拠しているかどうかは、NISTが管理するCMVP(Cryptographic Module Validation Program)で認証されたモジュールを使用しているかで判断されます。
・NISTのウェブサイトで認証済みモジュールや製品を確認可能です。
■FIPSの最新動向
・FIPS 140-3の導入
140-3は国際規格に整合した内容となり、暗号モジュールの要件がさらに厳密化されています。2021年9月からFIPS 140-3が有効になりました。
・クラウドサービスでのFIPS準拠
FedRAMP認証において、クラウドプロバイダは暗号化にFIPS 140準拠のモジュールを使用する必要があります。
以上です。なお、私が試験のために勉強したときは、FIPS 140-2の暗号モジュールのセキュリティ要件について出題されていたと記憶していますが、そのバージョンも2021年に1つ上がり、現在はFIPS 140-3となっているようです。
これからIPAの試験を受験する人は気を付けた方がいいかもしれません。
[SPシリーズ]
そして、最後にSPシリーズについてChatGPTに調べてもらいました。
NIST(アメリカ国立標準技術研究所)の文書の中で「SP」で始まる文書群は、Special Publication (特別刊行物) シリーズを指します。このシリーズは、情報技術、特にセキュリティやプライバシーに関するガイドライン、フレームワーク、標準を提供する文書群として広く知られています。
■主な特徴と役割
❶セキュリティおよびプライバシーのガイドライン
NIST SPシリーズは、主に情報セキュリティおよびプライバシーに関連するベストプラクティスやフレームワークを提供します。特に政府機関や民間企業が安全なシステムを構築し、運用するための指針として利用されています。
❷特定の用途やテーマごとの詳細
各SP文書は特定のテーマや課題に特化しており、詳細な技術ガイドラインや推奨事項が含まれています。
❸米国連邦政府の基準としての役割
米国政府機関が情報システムのセキュリティを管理する際に、FISMA(連邦情報セキュリティ管理法)の下でこれらのガイドラインを適用することが義務付けられています。ただし、民間企業や他国の組織でも参考にすることが多いです。
■主なカテゴリ
以下に、NIST SPシリーズの代表的なカテゴリとその概要を示します。
@NIST SP 800シリーズ
・対象: 情報セキュリティに関するガイドライン
・例:
┣SP 800-53: セキュリティおよびプライバシー管理策のカタログ
┣SP 800-171: 非機密連邦情報の保護(CUI)に関する要件
┣SP 800-61: セキュリティインシデント対応ガイドライン
┗SP 800-63: デジタルIDガイドライン
ANIST SP 500シリーズ
・対象: 情報技術の標準化とベンチマーク
・特徴: 研究や技術実験の結果に基づいた文書が多い。
BNIST SP 1800シリーズ
・対象: 実践的なセキュリティ実装に関するプレイブック
・特徴: サイバーセキュリティフレームワーク(CSF)の応用を具体的な事例を通じて示します。
■NIST SPシリーズの利用方法
・政府機関: セキュリティフレームワークを構築・運用する際の基準として使用。
・民間企業: ベストプラクティスを取り入れて、業務のセキュリティを強化。
・教育機関: 情報セキュリティ教育の教材として活用。
・研究者: 新しいセキュリティ技術や実践方法の研究材料として参照。
[あとがき]
本日は、CSFを調べようと思ったのですが、これからシステムを製造するにあたり、興味をそそるタイトルが複数あったため、ちょっと寄り道して、興味をそそられる文書群について調べてみました。以上の文書は50前後あり、ダウンロードしたモノの中には数百ページあるものもあります。関係しそうもないものもあるので、開発していく過程で、必要に応じて読んでいきたいと思います。
なお、以上の文書と、CSFとの関係について、ChatGPTは以下のように回答しています。
CSFは、FIPSやNIST SPシリーズなどの標準と深い関係を持ち、それらを基盤として設計された柔軟で包括的なフレームワークです。これらの文書群はCSFの導入や運用を具体的にサポートし、セキュリティ成熟度の向上を実現します。CSF導入時には、それぞれの文書がどの機能に対応するかを把握し、適切に参照することが重要です。
CSFの導入を検討するにあたり、特にFIPSやSPシリーズは具体的な導入検討に役立ちそうです。これから、分析を進めていきますが、必須の知識なのかもしれません。
では、また!
2024年12月08日
サイバーセキュリティフレームワーク(CSF) [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
本日は、日曜日ということで、セキュリティについてのお話です。
前回のブログでは、サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)の概要について学びました。そして、本日は、経済産業省から出ているCPSFを細部まで読み、気づいたことなどをご報告する予定でしたが、まだ読めていない状況です。ちょっと、手が回らなかったというのが正直なところです。本宿題につきましたは、忘れず少しずつ読み、ご報告すべき内容がございましたら、ご報告させていただきます。
[サイバーセキュリティフレームワーク(CSF)]
前回のセキュリティの勉強において、CPSFは、「Society5.0」におけるセキュリティ対策の全体像を整理し、産業界が自らの対策に活用できるセキュリティ対策例をまとめたフレームワークであるのと同時に、サイバーセキュリティ経営ガイドラインの支援ツールとして、組織のガバナンスの確保に有効に活用できると話してきました。そして、サイバーセキュリティ経営ガイドラインにおいてCPSFのその役割は、経営層と現場の架け橋として、セキュリティに関する経営上の視点と現場レベルの実装指針を結びつける役割を果たします。
その状況は、サイバーセキュリティ経営ガイドラインは、企業のセキュリティの強化が行えるよう、経営者がリーダーシップを発揮し、サプライチェーンを含めた全社のセキュリティの強化をステークホルダと対話しながら率先して実施するといった企業経営の観点からまとめられたものでした。そして、CPSFは、サイバーセキュリティ経営ガイドラインのフレームワークとして機能するように、産業全体像を捉え、社会環境の変化に伴うサイバー攻撃の脅威の増大に対応出来るようにまとめられたモノで、それは、産業構造の観点からまとめられたモノといえます。
そして、機能的な側面からまとめられた資料として、IPAでは、米国国立標準研究所(NIST)「サイバーセキュリティフレームワーク(以降「CSF」という)」を推奨しています。
では、今回は、NISTが策定した、組織のサイバーセキュリティリスク管理と対策を支援するための包括的なフレームワークについて見て行きたいと思います。
なお、このフレームワークは、特に重要インフラ事業者を対象に設計されていますが、業種や規模を問わず、幅広い組織で利用可能です。
[CSFとは?]
では、早速CSFとはどのようなものなのか、ChatGPTに解説をしてもらいましょう。
NISTサイバーセキュリティフレームワーク (NIST Cybersecurity Framework, CSF) は、米国国立標準技術研究所 (National Institute of Standards and Technology, NIST) によって策定されたサイバーセキュリティのためのガイドラインです。特に、企業や組織が直面するサイバーリスクを管理し、情報システムのセキュリティを強化するためのベストプラクティスを提供します。
❶フレームワークの目的
・サイバーセキュリティの標準化されたアプローチを提供。
・企業のリスク管理能力の向上を支援。
・様々な業種や規模の組織が自らのニーズに応じて柔軟に採用可能。
・公的および民間組織間での共通言語を提供。
❷フレームワークの構成
NIST CSFは以下の3つの主要構成要素で成り立っています:
@フレームワークコア (Framework Core)
セキュリティ対策を包括的に捉えるための5つの機能とカテゴリから構成されます。
1)Identify (特定):
資産、リスク、脆弱性、法的義務などを特定し、組織のセキュリティ基盤を構築。
例: 資産管理、リスク管理戦略。
2)Protect (保護):
システムやデータを保護するための対策を実装。
例: アクセス制御、データセキュリティ、トレーニング。
3)Detect (検知):
サイバーセキュリティイベントを迅速に検知。
例: 異常検知、継続的監視。
4)Respond (対応):
サイバーセキュリティイベントに対する適切な対応を計画・実行。
例: インシデント対応計画、コミュニケーション。
5)Recover (復旧):
インシデント後の回復力を強化し、通常業務に戻る。
例: 復旧計画、改善活動。
Aフレームワークプロファイル (Framework Profile)
組織の現状や目標に基づいて、フレームワークコアをカスタマイズしたものです。
・現状プロファイル: 現在のセキュリティ状況。
・目標プロファイル: 目指すべきセキュリティレベル。
B実施レベル (Implementation Tiers)
組織のセキュリティリスクに対する対応成熟度を示す4段階のレベル。
Tier 1: 部分的(Partial)
Tier 2: リスクに基づく(Risk-Informed)
Tier 3: 確立済み(Repeatable)
Tier 4: 適応的(Adaptive)
❸適用分野
NIST CSFは、特に以下の分野で利用されています:
・エネルギー、金融、ヘルスケアなどの重要インフラ
・中小企業から大企業まで、規模に関係なく適用可能。
・国際的なセキュリティフレームワークとの互換性を持つため、グローバル展開も可能。
❹導入のメリット
・セキュリティ対策のギャップを明確化。
・業界標準に準拠したリスク管理が可能。
・サイバーインシデントへの迅速な対応力の向上。
・ステークホルダーとの信頼関係の強化。
❺日本での活用
日本でも、NIST CSFを参考にしたセキュリティガイドラインやフレームワークが策定されています。
例:サイバーセキュリティ経営ガイドライン
日本企業がNIST CSFの理念を活用し、経営層がセキュリティに積極的に関与できるよう支援。
■まとめ
NIST CSFは、サイバーセキュリティにおける効果的なリスク管理を実現するための基本的な枠組みを提供します。特に、柔軟性と普遍性を持ち、組織の規模や業種を問わず適用可能であるため、セキュリティ戦略の中心として活用されています。
[あとがき]
本件の内容は、以前IPAのWeb講義で勉強した内容をまとめたものです。その講義では、CSFの内容として「@フレームワークコア (Framework Core)」を中心に書かれています。なお、本件を日本語にまとめた文書がIPAから出ています。一度読んでいただき、今後のセキュリティ対策の参考としてください。
今回、勉強して、初めて知ったのは、CSFが全ての始まりだということです。今までは、ピラミッドの図を書くとしたら、サイバーセキュリティ経営ガイドラインが頂点にあり、その下に、CPSF、そして最下位にCSFが位置するというイメージがあり、その状況から一番最後にCSFが策定されたなんて思っていたぐらいなのですが(笑)。まっ、それは、ないですか?
では、来週は、CSFを深掘りしていきたいと思います。
では、また!!!
■セキュリティ関連NIST文書について
https://www.ipa.go.jp/security/reports/oversea/nist/about.html
■サイバー・フィジカル・セキュリティ対策フレームワーク(経済産業省))
https://www.meti.go.jp/policy/netsecurity/wg1/CPSF_ver1.0.pdf
2024年11月17日
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF) 〜セキュリティ研究室
こんにちは!
ナビゲータのEVEです。
本日は、日曜日ということで、ゼロからはじめるシステム開発から、セキュリティに関するお話です。
前回は、サイバーセキュリティ経営ガイドラインの図から、セキュリティに関連しそうな話をしようと、コーポレートガバナンス・コードについて取り上げましたが、セキュリティとはちょっと、違う話になってしまいました。
セキュリティに関連する資料の中の用語で、全く知らなかったので、勉強という意味で取り上げたのですが、目的と違うのでは意味がありません。
ということで、今回は、過去に情報処理安全確保支援士研修で利用した資料の中から、取り上げて再学習したいと思います。
[サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)]
今回は、2022年研修資料、私が受講したのは2023年だったのですが、その中から、サイバー・フィジカル・セキュリティ対策フレームワーク(以降「CPSF」という)を取りあげたいと思います。
CPSFはIPAの試験でもたびたび取りあげられている用語で、「Society5.0」におけるセキュリティ対策の全体像を整理しまとめられた資料で、以前勉強した、サイバーセキュリティ経営ガイドラインを実現するフレームワークとして位置づけられています。
[Society5.0とは?]
Society5.0とはどのような社会なのでしょうか?本日も、まずは、Society5.0に至るまでの社会のの変遷についてChatGPTに解説をしてもらいましょう!
❶Society 1.0 - 狩猟社会
人々は狩猟や採集により生活を支え、自然と共存していました。
❷Society 2.0 - 農耕社会
農業が発展し、定住生活が一般化。社会構造が組織化されました。
❸Society 3.0 - 工業社会
産業革命により工業生産が進み、都市化と分業体制が進展。
❹Society 4.0 - 情報社会
コンピューターやインターネットが普及し、大量の情報を扱う社会に移行。
❺Society 5.0 - 超スマート社会
AI(人工知能)、IoT(モノのインターネット)、ビッグデータなどの技術を駆使して、物理空間と仮想空間を高度に融合させる社会。人々の多様なニーズに応じた快適で持続可能な社会を目指します。
現在は、Society4.0の情報社会からSociety5.0の超スマート社会へ変遷している過渡期だといえるでしょう?では、具体的に、Society5.0とはどのような社会なのでしょうか?引き続きChatGPTに解説してもらいます。
Society 5.0は、日本政府が提唱する未来社会のビジョンで、「超スマート社会(Super Smart Society)」とも呼ばれます。この概念は、第四次産業革命による技術革新を活用し、経済成長と社会課題の解決を同時に実現することを目的としています。Society 5.0は、単なる技術革新の推進にとどまらず、人間中心の社会構築を目指した新しい社会の形を示しています。
■Society 5.0の目的と意義
❶人間中心の社会(ヒューマン・セントリック)
技術革新は人間の生活を豊かにする手段として位置づけられます。
すべての人々が社会の恩恵を享受し、特に高齢者や障害者など社会的弱者にも配慮した仕組みを目指します。
❷社会課題の解決
少子高齢化、地方の過疎化、労働力不足、環境問題など、現代社会が抱える課題を解決します。
❸経済発展と持続可能性の両立
技術革新による効率化や新しいビジネスの創出を通じて経済成長を図りつつ、持続可能な社会の構築を目指します。
❹多様性と包摂性の実現
性別、年齢、地域、国籍に関係なく、すべての人が活躍できる社会を推進します。
■Society 5.0の中核技術
❶IoT(Internet of Things)
すべてのモノがインターネットにつながり、データを収集・活用。
❷AI(人工知能)
膨大なデータを分析し、人間が抱える課題に対して効率的な解決策を提示。
❸ビッグデータ
様々な分野から収集されたデータを統合・解析し、社会システムの最適化を図る。
❹ロボティクス
自動化や人間の代替ではなく、人間を補助・支援する技術の実現。
❺スマートインフラ
交通、エネルギー、医療などの社会基盤を高度に最適化するシステム。
■具体的な活用事例
❶医療分野
・遠隔医療やAI診断の導入により、地方や高齢者が適切な医療を受けられる環境を整備。
・個人の健康データを基にした予防医療やカスタマイズされた治療の実現。
❷モビリティ(交通・移動)
・自動運転車やMaaS(Mobility as a Service)を活用した移動の効率化。
・交通事故の削減や渋滞緩和への貢献。
❸農業・漁業分野
・ドローンやセンサーを活用したスマート農業で生産性向上。
・水産資源の持続的利用を目指したデータ活用。
❹スマートシティ
・都市のエネルギー消費を最適化し、CO2排出量を削減。
・災害時の早期警戒システムの構築。
❺教育分野
・遠隔教育やAIによる個別指導で教育格差を縮小。
・生涯学習を支援するためのプラットフォーム提供。
■Society 5.0における課題
❶技術格差
新しい技術にアクセスできる人々とそうでない人々の間で格差が生まれる可能性。
❷プライバシーとセキュリティ
データの膨大な利用に伴い、個人情報の保護とサイバーセキュリティの強化が必要。
❸法律・規制の整備
技術の進展に追いつく形で、法制度や規制の見直しが必要。
❹社会的合意の形成
技術の導入による生活の変化について、国民全体での理解と合意が重要。
■国際的な位置づけ
Society 5.0は、日本独自の社会構想でありながら、国際的にも注目されています。SDGs(持続可能な開発目標)との親和性が高く、グローバルな課題解決にも貢献できる可能性を秘めています。また、他国のスマート社会構想と比較して「人間中心」という点が強調されていることが特徴です。
Society 5.0は、日本が直面する課題解決だけでなく、グローバルなモデルとしても期待されるビジョンです。テクノロジーと人間の調和を実現するために、政府、企業、学術界、そして個人が一体となって進めていく必要があります。
[サイバーセキュリティ経営ガイドライン]
CPSFは、「Society5.0」におけるセキュリティ対策の全体像を整理し、産業界が自らの対策に活用できるセキュリティ対策例をまとめたフレームワークであるのと同時に、サイバーセキュリティ経営ガイドラインの支援ツールして、組織のガバナンスの確保に有効に活用できるとしています。それでは、CPSFの具体的な内容に入る前に、サイバーセキュリティ経営ガイドラインについて、復習をしておきましょう!
サイバーセキュリティ経営ガイドラインは、3つの柱と、重要10項目から構成されています。
【3つの原則】
❶経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
❷サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
❸平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
【重要10項目】
【原則1:リーダーシップの発揮】
指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2:サイバーセキュリティリスク管理体制の構築
指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5:サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6:PDCAサイクルによるサイバーセキュリティ対策の継続的改善
指示7:インシデント発生時の緊急対応体制の整備
指示8:インシデントによる被害に備えた事業継続・ 復旧体制の整備
【原則2:サプライチェーンセキュリティの強化】
指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
【原則3:関係者との積極的なコミュニケーション】
指示10:サイバーセキュリティに関する情報の収集、共有及び開示の促進
[あとがき]
CPSFは、Society5.0を支える重要なフレームワークという位置づけで今まで覚えていました。ただ、今回このような形でまとめるにあたり、今まで知らなかった多くのことを知ることができそうです。次回はその具体的な内容に入っていきます。
では、また!
追伸。
来週は家族のイベントがあるため、セキュリティ研究室からの報告はお休みとさせていただきます。
2024年11月10日
コーポレートガバナンス・コード 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
本日は、日曜日と言うことで、ゼロからはじめるシステム開発からセキュリティの情報を提供します。
試験で出題されそうな所を書こうと思ったのですが、中小企業診断士試験において、DXのようなセキュリティに関連の出題はありませんでした。
以上の理由により、前々回にレポートで使用したサイバーセキュリティ経営ガイドラインの図から今回は調査し報告したいと思います。
それでは、本日は、コーポレートガバナンス・コードについて調べたいと思います。
[コーポレートガバナンス・コードとは?]
コーポレートガバナンス・コードとは、どのようなモノなのでしょうか?本日も、ChatGPTに解説をしてもらいましょう!
コーポレートガバナンスコード(Corporate Governance Code)とは、企業の経営の透明性や健全性を高めるために、上場企業が遵守すべき経営のルールや指針を示したガイドラインです。このコードは、株主やステークホルダーの利益を守り、企業の持続的成長を促進することを目的としています。
日本におけるコーポレートガバナンスコードは、2015年に日本取引所グループ(JPX)により策定され、上場企業に向けて示されています。このコードは、企業がどのようにガバナンス(企業統治)を行うべきかについて、具体的な指針を提供しており、以下のような主要なテーマが含まれています:
❶取締役会の構成と運営
取締役会は企業の戦略的意思決定を行い、経営陣の監督をする役割を担います。取締役会の多様性や独立性が求められます。
❷株主との対話
企業は株主との適切な対話を行い、株主の意見や利益を尊重する必要があります。
❸リスク管理と内部統制
企業の経営陣はリスク管理体制を強化し、内部統制システムを適切に運用しなければなりません。
❹企業の社会的責任
環境や社会に対する責任を果たし、持続可能な経営を目指すことが強調されています。
このコードは「コンプライ・オア・エクスプレイン(従うか、または従わない理由を説明する)」という原則に基づいており、企業が指針に従わない場合には、その理由を開示することが求められます。
日本取引所グループが主体となって作成し、金融庁は、アドバイザーまたはオブザーバーとして参加して作成されたモノだといわれています。ようは、上場企業を含む金融業界全般に影響はあるが、公的なモノではありません。ただ、経済産業省作成の、上記図からサイバーセキュリティ経営ガイドラインに影響を与える文書だと伺い知ることができます。
[コーポレートガバナンス・コードが作成された背景]
内容を読むと、2024年現在なら一般的なことが書かれているのですが、なんでこんな一般的なことを、役所ではなく、日本取引所グループが作ることになったのでしょうか?引き続きChatGPTに聞いてみました。
コーポレートガバナンスコードが作成されることになった背景には、いくつかの重要なトリガーがあります。主に、日本の企業ガバナンスの強化と、国際的な競争力を高める必要性がその要因です。以下に主要なトリガーを挙げます:
❶企業ガバナンスの課題
1990年代から2000年代にかけて、日本の企業ガバナンス(企業統治)に対する批判が高まりました。特に、株主の利益を十分に反映しない経営が行われていたり、経営陣が過度に権限を集中させていたりする問題が指摘されていました。これにより、経営の透明性や監視機能が不十分とされ、投資家からの信頼が低下していたのです。
❷経営改革への国際的な圧力
世界的に、企業ガバナンスの強化が重要な課題として注目されていました。特に、アメリカのサーベンス・オクスリー法(SOX法)や、ヨーロッパのコーポレートガバナンス原則など、国際的な企業ガバナンス規制が整備されていく中で、日本もその流れに対応する必要性が高まりました。特に、グローバル投資家からの期待や要求が強まり、日本企業も国際的なスタンダードに追いつくことが求められたのです。
❸日本経済の構造改革と持続的成長
日本経済は、1990年代後半からの経済低迷期を受けて、構造改革が急務となっていました。その一環として、企業の経営体制を見直し、より透明で効率的なガバナンスを確立することが、経済成長を支える重要な要素と考えられました。コーポレートガバナンスの強化は、企業の健全な成長を促進し、投資家の信頼を取り戻すために不可欠とされました。
❹株主重視の経営へのシフト
従来、日本の企業は「家族経営」や「終身雇用」など、株主以外のステークホルダー(従業員や取引先)を重視する経営が行われていましたが、グローバル化が進む中で、株主重視の経営への転換が求められるようになりました。特に、外国人投資家からは、株主利益の最大化を図る経営が期待されていたため、コーポレートガバナンスコードがその指針となることが決定的なトリガーとなりました。
❺東日本大震災後の社会的・経済的な影響
2011年の東日本大震災後、企業の社会的責任や経営の透明性への関心が高まりました。企業のリスク管理体制やステークホルダーへの配慮が強調され、より信頼できるガバナンス体制が求められるようになったのも、コーポレートガバナンスコードの策定を後押しした要因となりました。
❻安倍政権下での「アベノミクス」
2012年に安倍晋三政権が発足し、経済政策「アベノミクス」が打ち出されると、その一環として、日本企業のガバナンス改革も重要なテーマとなりました。特に、企業の競争力向上や投資家の信頼を回復するために、コーポレートガバナンスコードの策定が急務とされました。
■結果としてのコーポレートガバナンスコード策定
これらの背景を受け、2014年に日本取引所グループ(JPX)が中心となり、コーポレートガバナンスコードが策定され、2015年に正式に導入されました。これにより、日本の上場企業は、株主や投資家の利益を最優先に考え、透明性の高い経営を行うことが求められるようになりました。
社会的な問題、外部圧力、時代の流れなどの、社会的要求に基づき作成されたのが、分かります。
[コーポレートガバナンス・コードの目的]
コーポレートガバナンス・コードにどのようなことが書かれていて、なんで作成されたのか分かりました。それでは、最後にその目的について改めて聞いてみましょう!
コーポレートガバナンスコードが作成された目的は、主に以下のような点に集約されます。
❶企業ガバナンスの透明性と効率性の向上
日本の企業において、経営の透明性や効率性を高めることが主な目的です。特に、企業の意思決定プロセスにおける透明性を確保し、経営陣が株主やステークホルダーに対して説明責任を果たすことを促進します。これにより、企業の経営がより公平かつ効率的に行われ、企業の持続的な成長が期待されます。
❷株主の利益の保護と強化
コーポレートガバナンスコードの中心的な目的は、株主の利益を最大化することです。これまでの日本の企業は、株主だけでなく、従業員や取引先、地域社会などのステークホルダーに対する配慮が強調されてきましたが、グローバル化が進む中で、株主重視の経営が求められるようになりました。株主の利益を優先することで、企業の競争力を高め、投資家からの信頼を獲得することを目指します。
❸企業の監督機能の強化
企業の経営陣に対する監督機能を強化し、経営者が自己利益を優先することなく、企業全体の利益を考えて行動できるようにすることが目的です。取締役会の構成や独立性を高めることで、経営の監視を強化し、企業のリスク管理や内部統制が機能するようにします。
❹グローバル競争力の強化
国際的な投資家や企業との競争において、日本企業が信頼され、選ばれるためには、国際基準に適合した企業ガバナンスを構築する必要があります。コーポレートガバナンスコードは、グローバル市場における企業の競争力を高めるため、企業統治の水準を引き上げることを目指しています。特に、外国人投資家からの期待や要求に応えることが重要視されました。
❺企業の社会的責任の強化
企業は、株主だけでなく、広範な社会的責任を負うことが求められています。コーポレートガバナンスコードには、企業が環境や社会に対して積極的に責任を果たすべきだという観点が含まれています。企業の持続可能な成長を促すために、リスク管理や倫理的な経営が重視されています。
❻企業の成長と持続的発展の促進
コーポレートガバナンスの強化を通じて、企業の長期的な成長と持続可能な発展を促進することが目的です。健全なガバナンス体制が構築されることで、企業が不正行為や経営陣の誤った判断から守られ、安定した経営が実現しやすくなります。これにより、企業は社会的信頼を得るとともに、持続的な利益を上げることができるようになります。
❼日本企業に対する投資家の信頼回復
日本企業が過去に抱えていたガバナンスに対する懸念を払拭し、投資家の信頼を回復することが目的の一つです。特に、過去に経営陣の透明性の欠如や不正行為が問題となった事例があり、これらを防止するためにコーポレートガバナンスコードが導入されました。
■まとめ
コーポレートガバナンスコードの作成目的は、企業ガバナンスの透明性、株主の利益保護、経営監督機能の強化、グローバル競争力の向上、社会的責任の強化、企業の持続的成長の促進など、企業が健全に発展するための多岐にわたる目的を達成するために策定されました。これにより、投資家や社会の信頼を得るとともに、日本企業の競争力を国際的に高めることを目指しています。
[あとがき]
サイバーセキュリティ経営ガイドラインは、政府関連機関から作成された文書だけでなく、日本の主要な機関で作られたガイドラインも取り入れて作られているということを本日知りました。ただ、以上の内容を読んで、サイバーセキュリティという観点では、同ガイドラインを見ることはできませんでした。ということで、セキュリティという観点から同ガイドラインを見た場合、どのようなことが書かれているのか、最後の最後にChatGPTに聞いてみました。
コーポレートガバナンス・コードにおいて、サイバーセキュリティに直接的に言及されている部分は、一般的に企業のリスク管理や内部統制に関連する部分に含まれています。具体的な内容として、サイバーセキュリティは企業のリスクの一環として取り上げられており、企業が十分なセキュリティ体制を整備することが求められています。
コーポレートガバナンス・コードにおけるサイバーセキュリティ関連の部分
主に以下のような形で関連する部分が記載されています:
❶リスク管理の強化
コーポレートガバナンス・コードの中で、企業はリスク管理体制の強化を求められています。サイバーリスクは現代の経営において重要なリスクの一つとされており、以下のような観点で言及されています。
・リスク管理体制の整備
企業はサイバーセキュリティのリスクを含む、さまざまなリスクに対して適切な管理体制を確立し、経営陣はその実効性を監督しなければならない。
・内部統制の強化
サイバー攻撃や情報漏洩などのリスクが企業経営に与える影響を最小化するため、適切な内部統制システムの整備が求められています。
❷取締役会の役割
取締役会は、企業の戦略的なリスク管理の監督を担う役割があり、サイバーセキュリティもその一環として取り上げられます。特に、取締役会は次のような対応を求められます
・サイバーセキュリティ戦略の策定
サイバーセキュリティに関する基本的な方針や戦略を策定し、取締役会でその実施状況を定期的に確認する。
・専任の役員の設置:
サイバーセキュリティ対策の重要性が高まる中で、情報セキュリティ担当の取締役や専任の責任者を設置し、責任を明確にすることが推奨されています。
❸情報開示の充実
企業は、サイバーセキュリティを含むリスクに関する情報を投資家やその他のステークホルダーに対して適切に開示することが求められています。具体的には:
・サイバー攻撃への対応状況の開示: サイバーセキュリティに関するポリシーや実施状況、万一のサイバー攻撃発生時の対応策などを開示することが、ガバナンスの一環として求められることがあります。
■まとめ
コーポレートガバナンス・コードにおけるサイバーセキュリティに関連する部分は、主にリスク管理、取締役会の監督、情報開示の観点で言及されています。サイバーリスクは経営にとって重要なリスク要素であり、企業は適切な対策を講じ、その進捗状況を監督機関やステークホルダーに報告することが求められています。
以上の部分は他のガイドライン等にも書かれている内容です。だから、IPAの試験などでも、コーポレートガバナンス・コードの出題がないのかもしれません(調べた範囲では出題実績を見つけることができませんでした)。同じガバナンス・コードなら、デジタルガバナンス・コードを勉強した方がいいようです。
では、また!
2024年11月03日
情報セキュリティガバナンス 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
ゼロからはじめるシステム開発では、日曜日はセキュリティの日です。ということで、本日は情報セキュリティガバナンスについてお話をしましょう!
情報セキュリティガバナンスの話しを始める前に、前回のおさらいと、なんで情報セキュリティガバナンスの話しをするのか経緯について説明します。
[前回のおさらい]
前回は、サイバーセキュリティ経営ガイドライン3.0についてお話をしました。
サイバーセキュリティ経営ガイドラインは、3つの原則と、同3原則を実現するための重要10項目で構成されているという話しをしました。以下が、経済産業省から提供されている3原則です。
❶経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
❷サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
❸平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
以上の内容を簡単にまとめているものとして、LRM株式会社から以下のような形で紹介されているという話しをしています。。
❶リーダーシップの発揮
❷サプライチェーンセキュリティの強化
❸関係者との積極的なコミュニケーション
そして、以上のようなことが言われている背景について、当サイトの筆者の憶測ではありますが話しをし、❶では、リーダーシップの発揮の中で情報セキュリティガバナンスについて触れています。そのときに、情報セキュリティガバナンスの話ができなかったので、今回取り上げさせていただきます。
[情報セキュリティガバナンスとは?]
情報セキュリティガバナンスとは何なのか、ChatGPTに聞いてみましょう!
情報セキュリティガバナンスは、組織が情報セキュリティに関する方針、目標、監視、管理を確立し、維持するための仕組みやフレームワークを指します。企業や組織のビジネス目標と整合性を保ちながら、情報資産を保護し、リスク管理を行うことを目的としています。
❶情報セキュリティガバナンスの目的
情報セキュリティガバナンスの主な目的は、組織の情報資産を保護し、情報セキュリティに関わるリスクを管理することです。また、経営陣やステークホルダーに対して組織の安全性を保証し、サイバー攻撃や情報漏洩などの脅威から組織を守るために以下の点が重視されます。
・リスクの特定と管理
セキュリティリスクを洗い出し、管理・監視することで、事前に対応策を講じられるようにします。
・説明責任
情報セキュリティにおける責任を明確にし、経営層が主体的にリーダーシップを発揮できるようにします。
・コンプライアンスの確保
法律や規制、業界標準に準拠し、組織が適切に管理されていることを保証します。
・持続可能なセキュリティ体制の構築
長期的に情報資産を保護し、セキュリティ体制を継続的に改善します。
❷情報セキュリティガバナンスの構成要素
情報セキュリティガバナンスを効果的に機能させるためには、以下の構成要素が重要です。
・セキュリティ方針
組織全体の情報セキュリティの基本方針を明確にし、管理体制や遵守すべき基準を定めます。
・リスク管理
情報セキュリティリスクの特定、評価、対応策の実施を通じて、組織が直面する潜在的なリスクを最小限に抑えます。
・役割と責任の明確化
情報セキュリティに関する役割と責任を組織内で定義し、経営層や従業員に対して責任を明確にします。
・モニタリングとレビュー
定期的に情報セキュリティ体制を評価し、リスクの変化や新たな脅威に対応するために体制を改善します。
・教育と訓練
組織の全メンバーが情報セキュリティの重要性を理解し、適切に対応できるよう、継続的な教育や訓練を行います。
❸情報セキュリティガバナンスのプロセス
情報セキュリティガバナンスの実践には、以下のようなプロセスが含まれます。
・現状の把握と評価
既存のセキュリティ対策の有効性を評価し、改善の余地を確認します。
・リスク評価と対応策の策定
情報資産ごとのリスクを評価し、脅威や脆弱性に対する具体的な対策を策定します。
・方針と規則の制定
情報セキュリティに関する方針や手順を策定し、全社的に適用します。
・パフォーマンスのモニタリング
情報セキュリティの実施状況やリスクの変動を監視し、必要に応じて方針や対策を見直します。
・定期的な改善
PDCAサイクル(計画→実行→評価→改善)を通じて、セキュリティ体制を継続的に向上させます。
❹情報セキュリティガバナンスの重要性
情報セキュリティガバナンスが重要である理由には以下の点が挙げられます。
・ビジネスの信頼性向上
情報漏洩やサイバー攻撃から顧客情報や業務データを守ることにより、顧客や取引先からの信頼を向上させます。
・法的リスクの回避
データ保護法や業界規制に準拠することで、法的な罰則や信用の低下を防ぎます。
・組織の継続的な発展
セキュリティリスクから組織を守ることで、持続可能な成長や新たな事業展開の基盤を構築します。
❺情報セキュリティガバナンスの国際的な基準
国際的な基準としては、以下のようなフレームワークがあり、組織が効果的に情報セキュリティガバナンスを構築するための指針を提供しています。
・ISO/IEC 27001
情報セキュリティ管理の国際規格であり、リスク管理やセキュリティ対策のフレームワークを提供します。
・NISTサイバーセキュリティフレームワーク
アメリカ国立標準技術研究所(NIST)によって策定された、リスク管理のベストプラクティスを示すフレームワークです。
・COBIT
情報技術(IT)の管理とガバナンスに関するフレームワークで、ITガバナンスと情報セキュリティの統合に役立ちます。
情報セキュリティガバナンスは、組織が情報資産の保護とリスク管理を行い、法令や規制を遵守するための重要な仕組みです。適切にガバナンスを行うことで、サイバー脅威に対しても柔軟に対応し、組織全体のリスクを低減することが可能です。
[情報セキュリティガバナンス誕生の経緯]
情報セキュリティガバナンスは、経済産業省が中心となって取りまとめています。以下がChatGPTから聞いた経緯となります。
情報セキュリティガバナンスは、技術の進化とともに大きく変遷してきました。以下にその主な変遷を時系列に沿って解説します。
❶1990年代:情報セキュリティの黎明期
・背景
インターネットの普及とともに、企業活動がデジタル化し、情報セキュリティの重要性が増してきました。この時代はまだコンピュータウイルスや不正アクセスへの防御が主な目的でした。
・特徴
当初は、企業内でIT担当者が主にシステムの保護やウイルス対策を行う技術的な対応が中心でした。ガバナンスとしての考え方は十分には浸透しておらず、各部門や個々の担当者にセキュリティの責任が集中していました。
❷2000年代:組織的なセキュリティ管理の導入
・背景
インターネットを介したビジネスが一般化し、セキュリティ事故のリスクが増大しました。特に、情報漏洩やハッキング事件が増え、経営リスクとしての認識が高まりました。
・主な進展
国際標準化機構(ISO)から、情報セキュリティ管理システムの国際規格 ISO/IEC 27001 が登場し、組織全体での情報セキュリティガバナンスが求められるようになりました。
・特徴
情報セキュリティの取り組みが組織全体の戦略に組み込まれるようになり、経営陣の関与が重視されました。また、外部監査を通じた認証制度も浸透し、企業としての信頼性向上にもつながりました。
❸2010年代:リスク管理と規制対応の強化
・背景
スマートフォンやクラウドサービスが普及し、業務におけるIT依存が高まりました。その一方で、サイバー攻撃や内部不正が増加し、情報セキュリティが経営課題として認識されるようになりました。
・日本国内の動向
2015年に、経済産業省が 「サイバーセキュリティ経営ガイドライン」 を策定し、経営者が情報セキュリティリスクに対して責任を持つべきであるという指針が示されました。
・特徴
情報セキュリティガバナンスがリスク管理の一環として、コンプライアンスやサイバーリスク管理と強く結びつきました。国際的には、GDPR(一般データ保護規則)の施行により、データ保護の規制が強化され、プライバシー保護の観点からも情報セキュリティが重視されました。
❹2020年代:ゼロトラストとデジタルトランスフォーメーション(DX)の時代
・背景
COVID-19の影響でリモートワークが急速に普及し、従来の境界型防御(ネットワークの外周を守る手法)から「ゼロトラスト」モデルへの移行が進みました。加えて、企業がデジタルトランスフォーメーション(DX)を推進する中で、新たなリスクに対応する必要性が高まりました。
・特徴
ゼロトラストモデルでは、「すべてのアクセスを検証する」考え方に基づき、内部のユーザーやデバイスも潜在的な脅威として扱い、信頼性の検証を行います。これにより、リモート環境やクラウド環境でも情報セキュリティを維持しやすくなりました。
・日本国内の動向: 経済産業省や総務省が中心となり、DXの推進に伴うセキュリティガ バナンスの重要性を強調する取り組みが行われています。特に、デジタル庁の設立後は、官民一体となったサイバーセキュリティ強化が図られています。
❺今後の展望
・AI・IoTの普及に伴う課題
AI技術の進化やIoT機器の増加により、より多くのデータがネットワーク上でやりとりされるようになりました。情報セキュリティガバナンスは、これら新しい技術のリスクを管理しつつ、データの保護とプライバシーの確保を担う必要があります。
・量子コンピュータによる暗号リスク
将来的には量子コンピュータの普及により、従来の暗号技術が破られるリスクも予想されています。情報セキュリティガバナンスには、これに対応した新たな暗号技術や対策の導入が求められるでしょう。
■まとめ
情報セキュリティガバナンスは、単なる技術的なセキュリティ対策ではなく、経営戦略やリスク管理、コンプライアンスと連携した包括的な体制を築くものとして進化しています。デジタル環境が拡大し続ける中で、経営陣のリーダーシップと持続的な改善が必要とされる領域です。
以上が情報セキュリティガバナンスの流れなのですが、その中で、情報セキュリティガバナンスを中心的に推進してきたといわれる経済産業省はどのような形で主導してきたのでしょうか?引き続きChatGPTに聞いてみました。
経済産業省は、日本の情報セキュリティガバナンスの推進において重要な役割を果たしてきました。以下は、時代の流れに沿って経済産業省がどのように関わってきたかの詳細です。
❶2000年代初頭:情報セキュリティの基盤づくり
・主な活動
インターネットの普及に伴い、経済産業省は日本の情報セキュリティ基盤の整備を支援しました。具体的には、企業の情報資産を保護するための規格やガイドラインの整備が進められました。
・具体例
経済産業省は、ISO/IEC 27001などの国際標準規格の普及を支援し、企業が情報セキュリティ管理システムを導入するための指針を提供しました。これにより、企業は情報管理の重要性を理解し、組織全体でセキュリティ体制を構築する基盤が整えられました。
❷2015年:サイバーセキュリティ経営ガイドラインの策定
・背景
2010年代に入り、サイバー攻撃が複雑化・高度化する一方で、情報漏洩リスクが経営リスクとして認識されるようになりました。これに対応し、経済産業省は企業の経営層向けにサイバーセキュリティの指針を示す必要性を感じました。
・「サイバーセキュリティ経営ガイドライン」の策定
2015年に経済産業省は、サイバー攻撃に対応できる企業体制の整備を目的として、「サイバーセキュリティ経営ガイドライン」を策定しました。このガイドラインでは、経営者が直接情報セキュリティに関与し、リスク管理やインシデント対応の責任を担うべきことが明示されました。
・企業への影響
このガイドラインの普及により、経営者は情報セキュリティの責任を理解し、経営戦略の一環としてセキュリティ強化が推進されるようになりました。
❸2018年:サイバーセキュリティ経営ガイドライン改訂版の発表
・背景
デジタルトランスフォーメーション(DX)の進展やクラウド利用の増加に伴い、セキュリティリスクの範囲が拡大し、対応がより複雑になってきました。これを受けて、経済産業省はガイドラインを改訂し、最新のリスク環境に適応できるようにしました。
・主な改訂内容
改訂版では、「ゼロトラスト」など新しいセキュリティ概念を取り入れ、リモートワークやクラウドサービス利用時のセキュリティ対策についても明確にしました。また、企業のサプライチェーン全体のセキュリティリスクに対応するための指針も追加されました。
・企業への影響
これにより、企業は自社内のみならず、外部パートナーやサプライチェーン全体のセキュリティリスクに対応することが求められるようになり、より広範なセキュリティガバナンス体制の構築が推進されました。
❹2020年代:DX時代のセキュリティガバナンス推進
・背景
デジタル庁の設立やDX推進が加速し、クラウド、IoT、AIなどの先端技術の活用が進む中で、情報セキュリティの確保がますます重要となっています。
・「DX推進におけるセキュリティガイドライン」の策定
経済産業省はDX時代に適応したセキュリティガバナンス強化を目指し、2020年に新しいセキュリティガイドラインを発表しました。このガイドラインでは、経営者がDX推進に伴うリスクを管理し、情報セキュリティを経営戦略の一部として位置づけることが推奨されています。
・ゼロトラストモデルの推進
経済産業省は、ゼロトラストモデルを取り入れた新しいガバナンス体制を推奨しており、内部・外部の境界を意識せずにアクセスを管理するアプローチを奨励しています。
企業への影響: これにより、企業はDXに伴うリスクを管理する体制を強化し、情報セキュリティを「攻めのDX戦略」として活用する動きが見られています。
❺今後の展望:経済産業省のさらなる取り組み
・AI・量子コンピュータ時代への備え
経済産業省は、今後も新しいテクノロジーに対応するためのセキュリティガイドラインや支援策の策定を予定しています。AIの活用によるリスクや、量子コンピュータの登場により従来の暗号が破られる可能性に備え、企業のセキュリティガバナンス強化を支援する予定です。
・デジタル庁と連携したサイバーセキュリティ強化
経済産業省はデジタル庁と連携し、国内のサイバーセキュリティガバナンスをより強化するための方針を掲げており、官民一体でのガバナンス体制を整える取り組みを続けるでしょう。
■まとめ
経済産業省は、情報セキュリティガバナンスの策定から普及までの中心的な役割を果たしてきました。時代の進展に応じて、企業の経営層への教育や最新技術対応のガイドライン提供を行い、セキュリティ対策を企業の経営戦略の一環として定着させています。これにより、経済産業省は日本の情報セキュリティの水準向上と信頼性向上に大きく寄与しています。
以上の流れを文書を中心に整理すると以下の通りになります。
2000年 年経済産業省情報セキュリティ対策基準
2001年 電子商取引のための情報セキュリティ指針
2002年 情報セキュリティ管理基準(METI管理基準)
2003年 企業の情報セキュリティ対策ガイドライン
2004年 情報セキュリティガイドライン
2005年 情報セキュリティのための基準
2010年 サイバーセキュリティ戦略」
2015年 サイバーセキュリティ経営ガイドライン(初版)
2018年 サイバーセキュリティ経営ガイドライン(改定版)
2020年 デジタルガバナンスコード
セキュリティ・ガバナンスのマニュアル
サイバーセキュリティ経営ガイドラインの改訂
2021年 サイバーセキュリティ基本法の改正
2022年 サイバーセキュリティ経営ガイドラインの改訂
[あとがき]
調べる前までは、「情報セキュリティガバナンス」といった文書がズバリあると思っていたのですが、そうでないことが分かりました。
情報セキュリティガバナンスとは、いろいろな活動により実現する企業活動と言えるでしょう?
経済産業省はどのような形で主導してきた流れを見てふと思い浮かんだのが、情報処理安全確保支援士のWeb研修でサイバーセキュリティ経営ガイドラインが取り上げられてなかったこと・・・。前年まで取り上げられていたのに、今年は目立った形で取り上げられていませんでした。それは、既にその役目を終えてからとか思ってしまいましたが、そうではないようです。現在も生きており、情報セキュリティガバナンスの実現のために役立っているようです。
今回の調査で1つ知識が増えました。
では、セキュリティについては、また来週!!!
■サイバーセキュリティ経営ガイドラインとは?その内容を徹底解説(LRM株式会社)
https://www.lrm.jp/security_magazine/cybersecurity_guideline/
■サイバーセキュリティ経営ガイドラインver3.0(経済産業省)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
2024年10月23日
サイバーセキュリティ経営ガイドライン 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
午後に入りコンピュータの調子が悪いです。ちょっと、コンピュータを休ませた後、再起動しUSBにつながっている機器を再構成してやっと、ワイアレスのキーボードとトラックボールを利用することができました。本体附属のキーボートと、タッチパッドで操作は可能なのですが、それでも、バックグラウンドで何かをしているようで、不便さを感じています。
ESETスマートセキュリティのバージョンが新しくなってから何かと検索をしたがるようになりました。特に、起動時に、リアルタイムスキャンを永遠と言っていいぐらいしています。起動時にリアルタイムにスキャンしなければならないファイルとは、何なのでしょうか?スキャンしたファイルが多すぎてログを見る気にもなりません。古いパソコンには不釣り合いなセキュリティソフトになりつつあるのかもしれません。
ときどきあるこのようなコンピュータ操作の不便さは、ESETスマートセキュリティのせいだと考えています。タスクマネージャーを見ても、CPU、メモリともそんなに使用していないのですが???初期化するのも面倒くさいし、ちょっと、思案中です。
では、本日は、サイバーセキュリティ経営ガイドラインをもっと踏み込んで読んでいきたいと思います。
[勘違い]
昨日気づきましたが、3原則の最後の項目は、ステークホルダではなく、IPA、JPCERT/CCといった、セキュリティ関係者との対話について書いてありました。DXのステークホルダと混同してしまいました。サイバーセキュリティ経営ガイドラインで想定している関係者とは以下の人達を指します。
《社内》
・CISO
・セキュリティ担当者
《社外》
・IPA
・JPCER/CC など
などを想定しています。最新のセキュリティを実現するために必要不可欠な関係者をさしていました。
[重要10項目の詳細]
今まで抑えていた内容だけでは、勘違い等がありそうなので、重要10項目についても深掘りしていきましょう!重要10項目として以下の項目を紹介しています。
【原則1:リーダーシップの発揮】
指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2:サイバーセキュリティリスク管理体制の構築
指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5:サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6:PDCAサイクルによるサイバーセキュリティ対策の継続的改善
指示7:インシデント発生時の緊急対応体制の整備
指示8:インシデントによる被害に備えた事業継続・ 復旧体制の整備
【原則2:サプライチェーンセキュリティの強化】
指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
【原則3:関係者との積極的なコミュニケーション】
指示10:サイバーセキュリティに関する情報の収集、共有及び開示の促進
サイバーセキュリティ経営ガイドラインの詳細な内容としては、どんなことをするのかそのアクションを記載し、それを怠った場合のリスクを紹介し、その対策例を挙げています。
この冊子への全般の不満ですが、どんなことをしたらいいのか具体的なことが記載されていない点です。
どんなプロセスを踏んで、どんなものを作り、どんな人達に、どのようなことをするかまで書けていれば、完璧だと思います。これだと、作成者が作っただけのモノになっているような気がしますが、どうなのでしょうか?
なお、その代わりになるかどうか分かりませんが、サイバーセキュリティ経営ガイドラインの巻末に、サイバーセキュリティ経営チェックシート、サイバーセキュリティ対策に関する参考情報があります。
[あとがき]
今回、文章を読みながら、まとめていきましたが、時間の都合上、最後まで読んでいなかったため、不正確な情報をブログに書いてしまいました。すみなせん。近頃ブログを休む日もあるのですが、なるべく毎日書こうとして、ちょっと無理をしていたかもしれません。今後ですが、毎日書くことを目標とするのではなく、正確な情報を提供することを目標に、情報をきちんと整理してからブログを書こうかなとしみじみと感じました(苦笑)。
なお、サイバーセキュリティ経営ガイドラインver3.0には右記のような図があります。サイバーセキュリティ経営ガイドラインは、いろいろなフレームワーク、規則、規範、ガイドライン、準則等と関係があるという話を先日しましたが、この図からも分かります。正直いうとこの当たり深い知識がありません。そのせいだと思うのですが、中小企業診断士試験の経営情報システムに2年連続落ちました(苦笑)。まっ、この試験の場合、それ以外にも苦手なところがあるのですが、他の科目を優先すると、経営情報システムまで手が回りません。ただね・・・。令和5年までの過去問は、60点以上とれているのですが、そこが不思議です・・・。
その苦手な知識なのですが、今後ブログを書くことにより補足し、仕事に試験に役立ててゆきたいと思います。
では、また!!!
2024年10月22日
サイバーセキュリティ経営ガイドライン −重要10項目− 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
昨日のやっと新システムのボリュームがなんとなくですが、分かるレベルになりました。10月いっぱいは、製造済みのクラスを、PSRの規約へ準拠させ、11月からは、残りのクラスを作るということになりそうです。そして、翌年から、セキュリティクラスを作りながら、それに合わせて、ログイン画面を作っていくということになります。システムを作るに際し、どうやって作っていき、どの辺を気を付けなければならないのか解説をしていく予定ですので、興味がある方は楽しみに待っていてください。内容としては、情報処理安全確保支援士で勉強した内容となります。それ以上は話せないということはご理解ください。
では、早速、昨日の続きで、サイバーセキュリティ経営ガイドラインの話しをしましょう!
[昨日は?]
サイバーセキュリティ経営ガイドラインには、サイバーリスクを経営者が経営課題と認識し、適切な対策を講じることで、事業の継続性や信頼性を確保し、そのために守らなければならない3原則と、会社として実装すべき重要10項目があるという話しをしました。昨日は、3原則の話しをしましたので、本日は、昨日の続きで、重要10項目の話しをしましょう。
[重要10項目]
重要10項目ですが早速その内容を見ていきましょう。以下は、「サイバーセキュリティ経営ガイドラインver3.0」からの抜粋です。
【原則1:リーダーシップの発揮】
指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2:サイバーセキュリティリスク管理体制の構築
指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5:サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6:PDCAサイクルによるサイバーセキュリティ対策の継続的改善
指示7:インシデント発生時の緊急対応体制の整備
指示8:インシデントによる被害に備えた事業継続・ 復旧体制の整備
【原則2:サプライチェーンセキュリティの強化】
指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握 及び対策
【原則3:関係者との積極的なコミュニケーション】
指示10:サイバーセキュリティに関する情報の収集、共有及び開示の促進
見ていただくとわかりますが、以上の重要10項目は、3原則と対応がとれています。
まず、原則1では、サイバーリスクを経営者が経営課題と認識し、適切な対策を講じることで、事業の継続性や信頼性を確保するために、経営者がCISOに対して指示する内容が指示1から指示8に記載されています。
原則2、3では、事業の継続性や信頼性を確保することにあり、その事業継続性や信頼性を維持するために、指示9、10をCISOに指示するということになります。
なお、CISOに指示する内容としていますが、以上の10項目の実装は、CSIRTがいいと考えます。今回、情報セキュリティに関する話題として、サイバーセキュリティ経営ガイドラインを紹介したのも、CSIRTを組織化するための知識を得るためでした。
なお、昨日原則3について、開示することへのリスクを中心に書きましたが、重要10項目をみると、情報の収集や共有なども、関係者との積極的なコミュニケーションに含まれています。この活動自体は、CSIRTの活動に合致した部分になります。
[CSIRT]
昨日から、CSIRTについて、書いていますが、どのような組織なのでしょうか?今回もChatGPTに解説をしてもらいましょう!
CSIRT(Computer Security Incident Response Team、コンピュータセキュリティインシデント対応チーム)は、組織内で発生するセキュリティインシデント(サイバー攻撃やシステム障害など)に迅速に対応し、影響を最小限に抑えるための専門チームです。CSIRTは、インシデントの予防、検知、対応、復旧までの一連の活動を行い、組織の情報セキュリティ体制を強化します。
■CSIRTの役割
❶インシデント対応
CSIRTの主な役割は、セキュリティインシデントが発生した際に速やかに対応し、被害の拡大を防ぐことです。これには、インシデントの特定、原因の分析、影響範囲の評価、再発防止策の実施が含まれます。
❷セキュリティ監視
システムやネットワークの監視を通じて、異常な活動や潜在的なセキュリティインシデントを早期に検知する役割も担います。ログの監視や脅威インテリジェンスを利用して、サイバー攻撃の兆候を発見します。
❸インシデント予防
インシデントを未然に防ぐために、脆弱性管理やセキュリティ教育、セキュリティポリシーの策定・改善を支援します。これにより、組織全体のリスクを低減します。
❹インシデント後の復旧と改善
インシデント発生後には、システムの復旧や再発防止のための対策を講じます。また、対応の過程で得た教訓を基にセキュリティ対策の改善やポリシーの見直しを行います。
■CSIRTの構築方法
CSIRTは、各組織の規模や業種に応じて構築されます。一般的には、次のステップで設置されます。
・体制の決定: 専任チーム、兼任チーム、または外部の専門機関に委託する形式が考えられます。
・メンバーの選定: セキュリティエンジニア、ネットワーク管理者、法務担当者など、さまざまな専門家がチームに含まれます。
・運用方針の策定: インシデント対応フローや報告体制、対応の優先順位などを事前に定めます。
・トレーニングと演習: チームが迅速に対応できるよう、定期的な訓練や模擬インシデントを実施します。
■CSIRTと関連する組織
・CERT(Computer Emergency Response Team)
CERTは、CSIRTと同様にインシデント対応を行う組織ですが、特に大規模な国や地域を対象にしたインシデント対応を行う組織を指すことが多いです。例えば、JPCERT/CCは日本の国際的なインシデント対応機関です。
・SOC(Security Operation Center)
SOCは、ネットワークやシステムのセキュリティ状況を常に監視し、インシデントの検出と通知を行うチームです。CSIRTがインシデント対応を専門とするのに対し、SOCは監視業務に特化しています。
■まとめ
CSIRTは、セキュリティインシデントに対して迅速かつ効果的に対応し、組織の情報資産を守るための重要な役割を果たします。組織の規模や業種に応じた適切なチーム体制を構築し、定期的な訓練やセキュリティポリシーの改善を通じて、インシデント対応能力を向上させることが重要です。
[あとがき]
多くの場合、推定で文章を書いているのですが、本日は、断定的に書かせていただきました。なお、断定的には書いているのですが、本当のところ、行間を自分の知識でうめて記載しているので、正確なところは分かりません。自分で作ったモノではないからです。ですので、もし、疑問がありましたら、経済産業省に問い合わせてください。今回のこの資料は、こんな考え方もあるんだなぐらいで見ていただければありがたいです。
Windowsについて、断定的に解説をしている人がいますが、ときどき、本当か?って疑うタイミングが多々あります。自分で作ったモノでもないのに、よくそんなに断定的にしゃべれるなって・・・。Windowsってブラックボックス化され、かつ、複雑で、しかも、バージョンによりかなり違うという印象があるからです。そんな経験をすると、自分が作ったシステム以外は、どうしても推定で話してしまいます。サイバーセキュリティ経営ガイドラインも実は、システムとして捉えるとそんな感じになるのです。
では、また!
2024年10月21日
サイバーセキュリティ経営ガイドライン3.0 ー3原則ー 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
昨日は、久しぶりに東京にいるにも関わらず、10時間以上寝てしまい、ブログの更新をすることができませんでした。ただ、そんな1日を過ごしてみて、1週間に1日ぐらいはそんな日が必要かなって感じています。今後、日曜日から月曜日に10時間ぐらい寝れる日をつくろうかなって思っています。土、日曜日は中小企業診断士の試験があるので、その日に休むのはリズム的にあまりよくないから、月曜日にします。
では、そんな、日の翌日のブログですが、昨日書く予定だった、セキュリティに関するお話しをしましょう!
[サイバーセキュリティ経営ガイドライン]
2022年の情報処理安全確保支援士のWeb研修で頻繁に出てきたキーワードに、「サイバーセキュリティ経営ガイドライン」があります。2023年度の研修はあまり出てこなかったのですが、多分、サイバーセキュリティ経営ガイドラインよりは、DXの方が知名度が上がり、理解されやすくなったからかもしれません。ただ、その重要性は失われたわけではなく、2015年12月28日に初版が出稿されてから、ver3.0は、2023年3月にリリースされ、今なお企業におけるセキュリティに重要な役割を果たしていると思われます。
起業に際し、CSIRTを導入しようと考えています。そのCSIRTを実践しようとした場合、非常に重要なガイドラインです。そのため、このブログでサイバーセキュリティ経営ガイドラインを勉強するのと同時に、知識を共有したく今回紹介することにしました。
[サイバーセキュリティ経営ガイドラインとは?]
サイバーセキュリティ経営ガイドラインの対象は、日本国内のすべての企業です。そして、その中でも、タイトルからも分かるように、経営者をターゲットにして策定されました。
その内容は、サイバーリスクを経営者が経営課題と認識し、適切な対策を講じることで、事業の継続性や信頼性を確保することにあります。具体的には、「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」がまとめられています。
[サイバーセキュリティ経営ガイドラインの3原則]
サイバーセキュリティ経営ガイドラインの3原則は、企業経営リスクへの対策を検討、議論するにあたり、考慮すべき原則が記載されています。以下は、経済産業省から出ている、サイバーセキュリティ経営ガイドラインからの抜粋です。
❶経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
❷サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
❸平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
LRM株式会社のサイトには、以下のような形で要約されています。
❶リーダーシップの発揮
❷サプライチェーンセキュリティの強化
❸関係者との積極的なコミュニケーション
❶のリーダーシップンの発揮は、情報セキュリティガバナンスで記載されている通り、情報セキュリティ対策の透明性を向上しその責任が経営層にあると定義しています。その定義されたその内容を主導権を持って実施するということを意味しているのだと思われます。
❷は、あまり世間一般には知られていないのですが、親(大)会社が狙われる手口として多いのが、サプライチェーン攻撃だと言われています。どんな攻撃か端的に言うと、子会社から親(大)会社を攻撃するといったものになります。なんで子会社からかというと、親会社は、セキュリティについても十分に費用をかけ、社員教育も十分し、攻撃するには、かなりハードルが高くなっています。しかし、子会社は、資金的にも、時間的にも親(大)企業ほどかけることができず、攻撃者からすると攻撃しやすいのです。そんな親と子の間のネットワークは通常つながっています。そのため、子会社から親(大)会社への攻撃が成立してしまうのです。その攻撃名が、サプライチェーン攻撃と言われています。その攻撃を念頭に入れた1原則だと思われます。
❸は、最新のセキュリティを実装するために必要不可欠な、関係者を指します。それは、CISOのみならず、社内のセキュリティ関係者、外部では、IPA、JPCERT/CCを指します。その関係者の人たちと、緊密なコミュニケーションをとることを求めています。
[あとがき]
情報セキュリティガバナンス、ISO 27001、NISTフレームワークなど、いろいろな規約、ガイドラインなどがからみあっていて、非常に説明しにくいのですが、その部分については、後日解説をします。ここでは、いろいろなフレームワーク、基準、規約、ガイドラインがあり、いろいろ関連しあっているとぐらいの理解でいいと思います。調べていくうちに、目から鱗なんてことがあるかもしれません。
情報処理安全確保支援士の試験でも出題されるのですが、フレームワーク、基準、規約、ガイドラインなどの識別がむずかしく、どれにどんなことが書かれているのか覚えるのに非常に苦労した記憶があります。情報処理安全確保支援士の試験では、概要とその違いぐらいしか覚えていませんでしたが、この場をかりて、深い知識にできればと考えています。
では、また!!!
■サイバーセキュリティ経営ガイドラインとは?その内容を徹底解説(LRM株式会社)
https://www.lrm.jp/security_magazine/cybersecurity_guideline/
■サイバーセキュリティ経営ガイドラインver3.0(経済産業省)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
2024年08月26日
DX 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
本日は、セキュリティに関するお話しです。っといいながら、DXなのですが・・・。なんでセキュリティの話をするのにDXなのか、その解説は後にして、まずはDXとは何なのか、経済産業省から2018年に出稿されたDXレポートから紹介していきます。
■DXの定義
DXに関しては多くの論文や報告書等でも解説されているが、中でも、IT専門調査会社のIDC Japan 株式会社は、DXを次のように定義している。※1
企業が外部エコシステム(顧客、市場)の破壊的な変化に対応しつつ、内部エコシステム(組織、文化、従業員)の変革を牽引しながら、第3のプラットフォーム(クラウド、モビリティ、ビッグデータ/アナリティクス、ソーシャル技術)を利用して、新しい製品やサービス、新しいビジネス・モデルを通して、ネットとリアルの両面での顧客エクスペリエンスの変革を図ることで価値を創出し、競争上の優位性を確立すること
さらに、IDC社は、現在、飛躍的にデジタルイノベーションを加速、拡大し、ITと新たなビジネス・モデルを用いて構築される「イノベーションの拡大」の時期にある、とした上で、
企業が生き残るための鍵は、DXを実装する第3のプラットフォーム上のデジタルイノベーションプラットフォームの構築において、開発者とイノベーターのコミュニティを創生し、分散化や特化が進むクラウド2.0、あらゆるエンタープライズアプリケーションでAIが使用されるパーベイシブAI、マイクロサービスやイベント駆動型のクラウドファンクションズを使ったハイパーアジャイルアプリケーション、大規模で分散した信頼性基盤としてのブロックチェーン、音声やAR/VRなど多様なヒューマンデジタルインターフェースといったITを強力に生かせるかにかかっています。
※1 (出典)Japan IT Market 2018 Top 10 Predictions: デジタルネイティブ企業への変革 - DXエコノミー
においてイノベーションを飛躍的に拡大せよ, IDC Japan プレスリリース, 2017年12月14日
(DXレポート 経済産業省)
まぁ〜、システムに携わっている人間が見てもよく分からない単語が乱発されています。
[意味不明な部分を解読する]
一度さっと読むと、難しい単語が多いって感じたのですが、2度目じっくり読むとそうでも無いことが分かります。ただ、それでも意味不明な単語があるので、まずは、その単語の意味を調べるところから始めて見ましょう!
以下は、ChatGPTに聞いた内容になります。
■クラウド2.0(Cloud 2.0)
クラウド2.0は、従来のクラウドコンピューティングから進化した次世代のクラウドサービスの概念を指します。これには、マルチクラウド(複数のクラウドサービスプロバイダーを組み合わせて使用する)やハイブリッドクラウド(オンプレミスとクラウドを組み合わせる)など、より柔軟で高度なクラウド運用が含まれます。また、クラウドネイティブアプリケーションの開発や、AIや機械学習の活用も含まれることがあります。
■パーベイシブAI(Pervasive AI)
パーベイシブAIは、あらゆる場所に広がるAI技術を指します。これには、企業や日常生活のさまざまな場面でAIが広く浸透し、自然な形で利用される状況を指します。具体的には、IoTデバイス、スマートホーム、ビジネスプロセスの自動化などでAIが利用されることを意味します。
■マイクロサービス(Microservices)
マイクロサービスは、ソフトウェアアーキテクチャの一形態で、アプリケーションを複数の小さな独立したサービス(マイクロサービス)に分割して開発する方法です。各マイクロサービスは特定の機能に特化しており、独立して開発、デプロイ、スケールすることが可能です。このアプローチは、アジャイル開発やDevOpsの導入に適しており、システムの柔軟性とスケーラビリティを高めます。
■ハイパーアジャイルアプリケーション(Hyper-Agile Applications)
ハイパーアジャイルアプリケーションは、非常に迅速かつ柔軟に変更や更新が可能なアプリケーションを指します。これは、従来のアジャイル開発手法をさらに強化したものであり、頻繁なリリースサイクルや継続的な改善を可能にします。このようなアプリケーションは、変化の速い市場環境や顧客のニーズに即座に対応できるように設計されています。
[DXの定義の考察]
DXの定義と記載されている、前半が私が本来定義と認識している記述になります。その部分を意訳すると、
「新たな技術から創造されたビジネスが、新たな顧客体験を生みだし、生み出された体験により新たな価値が生み出される。その価値が競争優位となり、確立することにより市場における優位性を生み出す」
っといた所でしょうか?その価値観は、一般的にはブランド価値といっていいかもしれません。
[現状の課題]
DX推進において、現状の問題として、自社で保有してるレガシーシステムを挙げています。印象としては、その部分が最大で、他の問題はたいしたことがないといった印象です。語弊になるかもしれませんが・・・・。
では、具体的にレガシーシステムにどんな問題があるのかDXレポートから列記します。
・ドキュメントが整備されていないため調査に時間を要する
・レガシーシステムとのデータ連携が困難
・影響が多岐にわたるため試験に時間を要する
→技術面の老朽化、システムの肥大化・複雑化、ブラックボックス化を解決
・各事業の個別最適化を優先してきたため、企業全体の最適化が図られなかった
→データ・情報資産を数多く保有しているにも関わらず、連携が難しく、活用しきれていない。
・レガシーシステムの問題を経営課題として、真正面から取り組まないまま時間が経過してしまっている。
・スクラッチ(既存の製品や雛形等を流用せずに、まったく新規にゼロから開発すること)で大規模開発を行ってきた人材は既に現場から消え去る局面を迎えており、既に多くの企業においてブラックボックス化している。
・システム更改は、システムの価値は高められるが、経営者から見て価値が見えにくい。・将来的なリスクはあっても説明しにくい。
・現状は問題なく稼働しているため、誰も困っていない。
→結果として問題を先送りにしてしまう。
・改修プロジェクトは比較的長期を要し、かつコストも安くはない。現状の仕様を完全に踏襲することは困難であり、結果的に従前より使い勝手が悪くなることも少なくない(例えばパッケージに置き換える場合)。
・我が国企業のIT関連予算の80%は現行ビジネスの維持・運営(ラン・ザ・ビジネス)に割り当てられている。
なんか、ボロボロって感じですね・・・。以上の状況を数値から確認することができます。右記の資料も、2018年のDXレポートからです。
[あとがき]
長くなったこと、そして、一度読んだだけでは、なかなかどうまとめるのか、考えがまとまらないので、今日はこの辺にします。
以前、大手銀行が1970年からシステム更改できずに悩んでいるという話を聞いたことがありましたが、正直言って100%信じていませんでした。ただ、今回の経済産業省からの文書を読んで、聞いた内容を信じることができます。
なお、以上の文章は、2018年9月7日にリリースされた第1版からの調査結果です。昨日調べたところ、DXレポートは、第2.2版までリリースされており、同文書は2018年から4年たっているので、同レポートを読むこといより、本日の印象が変わるかもしれません。
本日、PHPのコンストラクタに関する修正が終わり、明日からJavaScriptの本格的な製造に入ります。特出する何かがあれば、そちらを優先しますが、なければ、引き続きDXに関するレポートをブログとしてまとめていきたいと思います。
では、また!
■DXレポート(経済産業省)
https://www.meti.go.jp/shingikai/mono_info_service/digital_transformation/20180907_report.html
2024年01月09日
エモテット 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
本日は、2014年から流行しているエモテットというマルウェアについて御紹介します。マルウェアとは、ウイルス、ワーム、トロイの木馬、スパイウェア、アドウェア、ランサムウェアなど聞いたことがある悪意のプログラムの総称です。
それでは、どんなマルウェアなのでしょうか?情報がIPAから提供されているので、確認してみましょう!
[どんなマルウェア]
エモテットは、いろいろな使用の方法はあるようですが、多くの場合は、個人の銀行関連の情報、例えば、口座のアカウント情報、クレジットカードに関する情報などを盗聴し、金銭を搾取するために利用しています。2014年から未だに流行している背景には、金銭的なインセンティブとエモテットの技術的な進化があるようです。
[どうやって感染する?]
感染方法は、ソーシャルエンジニアリングです。主にメールが利用されることが多いようです。IPAで紹介されている方法は、メールに添付されたWordやExcelのマクロを使った感染方法です。ただ、これは一例であり、感染させようと思うなら、メール本文からURLをたどる方法も使用するかもしれませんし、USBなどを使用して感染させるグループもあるかもしれません。これは、あくまで一例なので、ゼロトラストのセキュリティ意識で対応することが大切です。
[感染症状]
クライアントが感染した場合発見するのは非常に困難らしいです。ただ、以下の症状が現れることがあります。
@パフォーマンスの低下
A不審なネットワーク活動
B異常なプロセスやファイルの存在
C不正なメールの送信
[対策]
では、対策については、ChatGPTに解説してもらいましょう!
❶セキュリティソフトウェアの使用
信頼性の高いアンチウイルス・アンチマルウェアソフトを使用し、シグネチャベースの検知だけでなく、ヒューリスティック分析や機械学習などの高度な検知技術を備えたソフトウェアを選択します。
❷システムとソフトウェアのアップデート
オペレーティングシステム、ブラウザ、セキュリティソフト、その他のソフトウェアを最新の状態に保ちます。セキュリティパッチやアップデートが提供されたら早急に適用します。
❸スパムメールへの警戒
不審なメールやリンクを開かないようにし、特に送信者が不明で、不審な添付ファイルが含まれている場合には注意が必要です。
❹ネットワークトラフィックの監視
不審なネットワークアクティビティを監視し、異常なトラフィックが検出された場合は早急に調査と対策を行います。
❺ユーザー教育
ユーザーに対してセキュリティ意識を向上させるための教育を行います。不審なリンクや添付ファイルには慎重になるよう啓発します。
❻ネットワークセグメンテーション
ネットワーク内でセグメントを作成し、セグメントごとにアクセス制御を強化することで、エモテットの感染が広がりにくくなります。
ちなみに、IPAからは以下のような対策が提案されています。
・業務で使用しない形式のファイルが添付されたメールは、受信を拒否する。
・業務でマクロ機能を使用しない場合は、無効化する。
・送信ドメイン認証を活用したメールフィルタリングを実施する。
・職員(ユーザー)に対して、不審なメールに関する注意喚起やセキュリティ教育を実施する。
・職員(ユーザー)が不審なメールを受信した場合や、誤って添付ファイルを開いてしまった場合の相談・報告窓口を設置し、不測の事態に迅速に対応できるように準備しておく。
〜情報提供元〜 IPA
なお、ウイルスソフトを導入していれば安心というわけではなく、そのウイルス対策ソフトを回避するエモテットもあるようです。特に、パターンファイル型のウイルス対策ソフトは発見が遅れる可能性があります。そのため、ChatGPTも指摘している通り、以下のタイプのウイルス対策ソフトの導入が望まれます。
@ヒューリスティック分析
Aビヘイビア分析
Bサンドボックス分析
C機械学習
[あとがき]
対策したから安心なんてことはありません。狙われたら、まず90%以上の確率で感染してしまうと考えた方がいいでしょう?そのため、ChatGPTが指摘するような対策は当然行うとして、感染した場合、どのようなことをするのか事前に決めておくことが大切です。
加えて、感染後すぐに普及し、業務を再開できるような体制をとることが重要です。
攻撃者はかなり頭がいいのは分かるのですが、その頭脳・・・。公共の利益に利用してほしいと思うのは私だけではないと思います。
では、また!
■Emotet(エモテット)の概要(IPA)
https://www.ipa.go.jp/security/emotet/index.html
■Emotet(エモテット)攻撃の手口(IPA)
https://www.ipa.go.jp/security/emotet/attack.html
■Emotet(エモテット)対策(IPA)
https://www.ipa.go.jp/security/emotet/measures.html
2023年11月17日
情報セキュリティ10大脅威 2023 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
今日は、雨・・・。憂鬱な金曜日です。
お約束通り、午前中にブログを更新しています。ただ、昨日帰りが遅くなったこともあり、朝は早く起きれませんでした。予定の生活リズムになるには時間がかかりそうです。今日は夜遅くなるような要因はないので、早く寝るというところから始めましょうか?
[情報セキュリティ10大脅威 2023]
去年も御紹介した、情報セキュリティ10大脅威について、今年も見ていきましょう。
本情報は、IPAから提供されており、以下のようになっています。
情報としては、個人と組織で分けて紹介しています。
【個人】
1位 フィッシングによる個人情報等の詐取(前年は1位)
2位 ネット上の誹謗・中傷・デマ(前年は2位)
3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求(前年は3位)
4位 クレジットカード情報の不正利用(前年は4位)
5位 スマホ決済の不正利用(前年は5位)
6位 不正アプリによるスマートフォン利用者への被害(前年は7位)
7位 偽警告によるインターネット詐欺(前年は6位)
8位 インターネット上のサービスからの個人情報の窃取(前年は8位)
9位 インターネット上のサービスの不正ログイン(前年は10位)
10位 ワンクリック請求等の不当請求による金銭被害(圏外)
【組織】
1位 ランサムウェアによる被害(前年は1位)
2位 サプライチェーンの弱点を悪用した攻撃(前年は3位)
3位 標的型攻撃による機密情報の窃取(前年は2位)
4位 内部不正による情報漏えい(前年は5位)
5位 テレワーク等のニューノーマルな働き方を狙った攻撃(前年は4位)
6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(前年は7位)
7位 ビジネスメール詐欺による金銭被害(前年は8位)
8位 脆弱性対策の公開に伴う悪用増加(前年は8位)
9位 不注意による情報漏えい等の被害(前年は10位)
10位 犯罪のビジネス化(アンダーグラウンドサービス)(圏外)
[個人の情報セキュリティ10大脅威]
基本的に脅威は変わっていません。1位〜9位までは不動って言う感じです。去年から今年にかけて消えた項目は、9位だったインターネットバンキングです。昔と違って現在銀行のシステムがインターネット上に公開されている状況です。セキュリティ的に防御されているとは言え、まだまだ多いと思われます。ランキングには掲載されていませんが、気をつけて下さい。
ざっと見た印象ですが、2つの要因に分類できます。1つ目はITリテラシーの不足・・・。2つ目は法律の知識不足です。
ITリテラシーの不足では、ソーシャルエンジニアリングなどの手法により狙われていると言った印象があります。
法律知識の不足という部分では、2位のネット上の誹謗・中傷・デマ(前年は2位)と10位のワンクリック請求等の不当請求による金銭被害(圏外)の状況からそう感じます。
もし、脅威を減らそうとするなら、ITリテラシーを高め、かつ、法律を知れば、脅威が弱まる、またはなくなるのかもしれません。
[組織の情報セキュリティ10大脅威 〜セキュリティホール〜]
組織の情報セキュリティは、4つに分類できます。セキュリティホール、内部犯行、ソーシャルエンジニアリング、そして犯罪のビジネス化という4つです。
セキュリティホールは、情報処理安全確保支援士などの力を借りて、なくす方向で考えるしかないようです。興味深いのは、サプライチェーンの弱点を悪用した攻撃(前年は3位)が2位にはいっているということ・・・。
どんな攻撃か解説すると、一般的なモデルと言うことになりますが、子会社から親会社のネットワークにアクセスし攻撃します。なぜ、子会社なのか?それは、規模の小さい子会社は、セキュリティにお金をかけることができず、脆弱性を抱えている現状をうかがい知ることができます。ようは、お金をかければセキュリティを高めることができます。
ゼロ・トラスト、ようはすべての通信を疑うと言った考え方が主流となってきている現在セキュリティ費用は高くなることはあっても、安くなることはないでしょう?このような状況は、これからず〜っと続くのかもしれません。
[組織の情報セキュリティ10大脅威 〜内部犯行〜]
内部犯行を語る場合、不正のトライアングルという言葉で解説されることがあります。
不正のトライアングルとは、3つの要素が揃ったときに、人は不正行為を働くとしています。それは、
動機
機会
正当化
です。
アメリカの犯罪学者ドナルド・クレッシー氏が提唱した、組織内の要員が不正を起こすメカニズムを分析した理論です。
それでは、以上の動機、機会、正当化という犯罪メカニズムの脅威を減らす方法について考えてみましょう。
動機を減らすには、部下とのコミュニケーションを密にし、公私においてどんな悩みを抱え、その悩みを軽減してあげる努力が必要なのかもしれません。
機会を減らすには、業務運用、システムで軽減する方法が考えられます。
そして、正当化を減らすには、SPC(サービスプロフィットチェーン)を高めることにより軽減する方法が考えられます。SPCについては、解説すると長くなるので、解説しているサイトを下記に記します。なお、このSPCは中小企業診断士における企業経営理論の試験範囲です。機会がありましたら、ブログに書きます
[組織の情報セキュリティ10大脅威 〜その他〜]
ソーシャルエンジニアリングは、ITリテラシーを組織として高めるしかないでしょう?セキュリティの考え方を教え、その考え方で行動するということを心がけるしかないです。
そして、犯罪のビジネスですが、一般社会で騒がれている、オレオレ詐欺とか組織的強盗などの犯罪が、ITの世界にもはいってきた印象があります。今後、注視していきたいと思います。
[あとがき]
文中にお金をかければ、セキュリティが減るという話をしてますが、残念ながらゼロにはなりません。お金をかけても、知識を持っていても、セキュリティインシデントに遭遇するケースはあります。
ただ、セキュリティリスクが減るということは事実なので、今までのセキュリティインシデントを分析し、どうしたらいいのかということを、考えていかなければいけません。そして、このようなランキングを見ることにより、限りあるリソースを割り振る比重を考える機会にしてください。
では、また!
■情報セキュリティ10大脅威 2023(IPA)
https://www.ipa.go.jp/security/10threats/10threats2023.html
■サービスプロフィットチェーン(SPC)とは?顧客と従業員の満足度が企業収益に繋がる仕組みを解説(EmotionTech)
https://emotion-tech.co.jp/column/2019/what_is_service_profit_chain/
2023年09月27日
フレーム分割する場合のセキュリティについて考える 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
現在、中小企業診断士の勉強が軌道にのらないため、そちらを優先的にやっています。そんな中小企業診断士の勉強ですが、今週中には軌道にのせる予定で、プログラム開発は、その軌道にのった後、ということは来週から再開します。
[画面分割]
現在中止中のプログラム開発ですが、1つ決めたことがあります。それは、管理者画面については、EVEシステムもPrototype EVE同様3画面のフレーム分割で製造することにしました。ただ、従来、Prototype EVEでは、FRAMEタグを利用していたのですが、現在は非推奨です。セキュリティ的に問題があるというのです。そこで、後継のタグとして推奨されているのが、IFRAMEタグ・・・。ただ、IFRAMEタグを利用すれば、すぐにセキュリティが得られるかというとそういう分けではなく、実装すべき機能があります。
[IFRAMEのセキュリティ]
それでは、どんなセキュリティがあるのでしょうか?どんなセキュリティがあるのか、ChatGPTに聞いてみました。
iframeのセキュリティを向上させるためには、以下の方法やベストプラクティスを考慮することが重要です。
❶X-Frame-Options ヘッダーの使用
サーバーサイドで X-Frame-Options ヘッダーを設定することで、特定のドメインからのiframe埋め込みを制限できます。DENY オプションは、すべてのドメインからのiframeを拒否し、SAMEORIGIN オプションは同一オリジンのみを許可します。
X-Frame-Options: SAMEORIGIN(DENY)
❷Content Security Policy (CSP)
CSPを使用して、どのドメインからのコンテンツを読み込むことが許可されているかを指定できます。これにより、不正な埋め込みやスクリプトの実行を防ぐことができます。
Content-Security-Policy: frame-ancestors 'self' example.com
❸iframeの属性を検討:
sandbox 属性を使用して、iframe内で実行できる操作を制限できます。また、allow-scripts や allow-same-origin などの属性を使用して、特定の動作を許可または制限できます。
❹セキュアな通信
iframe内のコンテンツを提供する際、HTTPSを使用して通信を暗号化しましょう。これにより、データの盗聴や改ざんを防ぎます。
❺クリックジャッキング対策
クリックジャッキング攻撃を防ぐために、iframeに不透明な要素を重ねて表示させ、ユーザーが誤ってクリックできないようにすることを検討してください。
❻フレーム内コンテンツの信頼性確保
iframe内で表示するコンテンツは信頼性のあるソースから提供されるべきです。信頼性のないコンテンツをiframeに埋め込むことはセキュリティリスクとなります。
❼セキュリティアップデート
使用しているブラウジングコンポーネントやフレームワークについて、最新のセキュリティアップデートを確認し、適用することが重要です。
これらの方法を組み合わせて、iframeのセキュリティを強化できます。セキュリティに関する最新のベストプラクティスやセキュリティアップデートを追跡し、常に最良のセキュリティプラクティスを採用することが重要です。
[実装の検討]
❶から順をおって見てみましょう!
❶は、情報処理安全確保支援士の試験では、クリックジャッキング攻撃の問題でよく見る防御方法です。実は、情報処理安全確保支援士のテキストには、以下の内容で書かれています。
DENYオプション:すべてのドメインからのiframeを拒否
SAMEORIGIN オプション:同一オリジンのみを許可
ALLOW-FROM uri:ページは指定されたオリジンuriのフレーム内でのみ表示
私が以前勉強したときは、ALLOW-FROMがあったのですが、現在これは廃止され、新しいバージョンのブラウザはサポートもしていないそうです。そのため、ChatGPTは、ALLOW-FROMはないと断言しています。現在からセキュリティを勉強する人は、DENYとSAMEORIGINを知っていれば問題ないでしょう!
そんな、X-Frame-Optionsについて、情報処理安全確保支援士のテキストでは、具体的な設定方法は記述していません。では、どのように設定したらいいのか、ChatGPTに聞いたところ、以下のような回答がありました。設定箇所は、HTMLソースではなく、apache.conf、httpd.confまたは.htaccessに設定します。
記述方式は、下記の通りとなります。
<VirtualHost *:80>
# 他の設定...
Header always append X-Frame-Options SAMEORIGIN(DENY)
</VirtualHost>
ここまで分かれば、すぐにでも設定できそうです。ただ、気を付ける点は、Apacheを再起動しないと設定が有効になりません。本番機などに設定する場合、お客様のことを考え再起動を後回しにしてしまうということが考えられます。再起動を忘れないでください。
続きまして、❷のContent Security Policy (CSP)なのですが、どのように設定したらいいでしょうか?実は、この設定方法初めて見ます。
ChatGPTに聞いたところ、設定箇所は、X-Frame-Options同様に、apache.conf、httpd.confまたは.htaccessに設定します。
記述方式は、下記の通りとなります。
<VirtualHost *:80>
# 他の設定...
Header always set Content-Security-Policy "frame-ancestors 'self' example.com"
</VirtualHost>
この設定も、記述したからすぐに有効になるのではなく、Apacheを再起動しないと有効になりません。本番機に設定する方は気を付けてください。
つづきまして、❸なのですが、これは、htmlのソースに記述します。これも実は初めて見る記述です。記述は、上記の通りなのですが、これ以外にもスペースで区切ることによりいろいろな設定ができるようです。以下に一覧で記述します。
■allow-scripts
allow-scripts を設定すると、iframe内でスクリプトが実行できるようになります。これにより、JavaScriptコードがiframe内で実行できます。
ただし、外部のJavaScriptリソース(外部スクリプトファイル)の読み込みは無効になり、iframe内でのJavaScriptは同じオリジン内のリソースに制限されます。
この設定を使用する場合、注意が必要で、信頼できないサイトからのiframeを許可しないようにすることが重要です。外部のスクリプトがiframe内で実行できると、セキュリティリスクが高まります。
■allow-same-origin
allow-same-origin を設定すると、iframe内のコンテンツは同じオリジン(同じドメインとプロトコル)からのみアクセスできます。他のオリジンからのアクセスはブロックされます。
この設定は、iframe内のコンテンツが親ウィンドウと同じオリジンであることを確実にするために使用されます。これにより、同一オリジンポリシー(Same-Origin Policy)によるセキュリティ制約が強化され、外部からのアクセスや攻撃を防ぎます。
ただし、同一オリジン内であっても、allow-same-origin を設定することで、iframe内のコンテンツは親ウィンドウ内のコンテキストと同じように操作できます。注意が必要です。
これらの属性を組み合わせて使用することで、iframe内のコンテンツのスクリプト実行を制御し、同一オリジンポリシーに従ったセキュリティを強化できます。ただし、これらの属性を使用する際には、セキュリティ上のリスクに対する十分な注意が必要です。
■allow-forms
埋め込まれた文書からのフォーム送信を有効にします。
■allow-modals
埋め込まれた文書からモーダルウィンドウを開くことを可能にします。
■allow-orientation-lock
埋め込まれた文書が、スクリーンの方向をロック可能にします。
■allow-pointer-lock
埋め込まれた文書が Pointer Lock API を使用可能にします。
■allow-popups
埋め込まれた文書からのポップアップを有効にします。
■allow-popups-to-escape-sandbox
sandbox 属性が付与された文書が、新しいウィンドウを開いた時、サンドボックスが継承されないようにします。
■allow-presentation
埋め込まれた文書がプレゼンテーションセッションを開始できるようにします。
■allow-top-navigation
埋め込まれた文書から別のブラウジング・コンテキストを指しているリンクを有効にします。
■allow-top-navigation-by-user-activation
埋め込まれた文書が最上位のブラウジング・コンテキストに移動できるようにします。ただし、ユーザーの操作によって開始されたものに限ります。
■allow-downloads-without-user-activation
ユーザーによる操作のないダウンロードを許可
以上です。
セキュリティだけのことを、考えた場合、allow-same-originの設定は必須で、それ以外は任意に設定することになりそうです。
なお、allow-scripts、allow-same-originはChatGPTから、allow-downloads-without-user-activationは、Qiita引用させて戴せていますが、それ以外については、W3 Watch Referenceからの引用となります。
❹のセキュアな通信については、2つの考え方があります。
@セキュア属性を指定する
A通信時にhttpsを強制する
@については、情報処理安全確保支援士のテキストに記述がありますが、具体的な設定方法がありません。また、ChatGPTに聞いてみましょう。
設定の方法は、クライアントとサーバーサイト両方またはいずれかで設定します。クライアントは、JavaScriptを使用する方法で、サーバーは、サーバーサイトプログラムを利用する方法です。当サイトでは、PHPを利用していますので、サーバーサイトプログラムについては、PHPについてChatGPTに聞いてみました。
以下は、JavaScriptでセキュア属性を付けた場合のプログラムです。
<!DOCTYPE html>
<html>
<head>
<title>JavaScriptでCookieを設定</title>
</head>
<body>
<script>
// Cookieを設定するJavaScriptコード
document.cookie = "mycookie=myvalue; secure";
</script>
</body>
</html>
以上のやり方は、ページ読みこみ時にセキュア属性が設定されます。なお、これ以外の方法もありますが、このブログでは割愛させて頂きます。
続きましては、PHPでセキュア属性を実現する方法です。
<?php
// セキュアなCookieを設定する
setcookie("mycookie", "myvalue", 0, "/", "", true, true);
?>
なお、以上の設定は、http通信とhttps通信が混在しているサイトで有効です。そのため、以上の設定をする場合、クッキーIDと値をクライアント、サーバーサイトで設定する必要があります。
調べて初めて分かりましたが、暗号化されているとはいえ、クッキーIDと値が固定になる、または、知られるのはセキュリティ的に問題があると考えます。できれば、HSTS (HTTP Strict Transport Security) を利用したほうがいいようです。
続きまして、HTTPSを強制する方法です。この方法は、Apache、サーバーサイトアプリケーション(当サイトではPHP)両方で設定する必要があるようです。以下は、Apacheのapache.confまたはhttpd.confへ記述した場合の例となります。
<VirtualHost *:80>
# 他の設定...
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>
続きまして、サーバーサイトプロログラム、PHPへの記述です。多分フレームワークから製造した場合、各プログラムで必ず読み込まなければいけないプログラムはありませんか?もしありましたら、同プログラムに記述し実行してください。
<?php
// 現在のプロトコルがHTTPSでない場合、HTTPSにリダイレクト
if ($_SERVER['HTTPS'] !== 'on') {
$redirect_url = 'https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
header("Location: $redirect_url");
exit();
}
?>
❺のクリックジャッキングへの対策ですが、ここに書かれている内容そのものがクリックジャッキングです。ようは、やられる前にやれということでしょうか?これについては、設定方法が思い浮かばないので、宿題とさせていただきます。
❻については、❶〜❹の設定することにより、信頼できるサイト、または信頼できるコンテンツが指定することができるので、あえて改めて何かする必要はないと思われます。
❼は、定期的に気をつけた方がいいですね?どんなソフトを使っているのか把握し、そして、同ソフトの更新の有無を定期的に確認するという作業が必要になります。
[あとがき]
実は、調べる前、X-Frame-Options ヘッダーの使用ぐらいしか考えていなかったのですが、現在いろいろな方法があるのですね?情報処理安全確保支援士のテキストでは、X-Frame-Optionsヘッダーしか紹介されていません。これから、いろいろ新機能などを導入していきますが、まず最初にChatGPT様にお伺いを立ててからシステム開発するべきだということを強く感じました。
以上の設定をすべて実行すれば、最高なセキュリティが得られるかもしれないと思った方がいるかもしれません。設定は、可能なようなのですが、注意が必要です。ChatGPTは以下のような注意を促しています。
上記の❶から❹のセキュリティ設定を実施することは、ウェブサイトのセキュリティを向上させるために一般的な手順です。これらの設定はウェブアプリケーションやウェブサイトのセキュリティを強化し、特にクロスサイトスクリプティング(XSS)攻撃やクリックジャッキング攻撃などのセキュリティリスクに対処するのに役立ちます。
ただし、これらのセキュリティ設定を適切に実装する際に注意すべき点がいくつかあります。
@設定のテスト
セキュリティ設定を変更する前に、これらの変更がサイトの正常な動作に影響を及ぼさないかどうかをテストしてください。特に、CSP(Content Security Policy)の設定は、誤った設定がウェブサイトの機能に問題を引き起こす可能性があるため、注意が必要です。
ACORS (Cross-Origin Resource Sharing)
❶と❷の設定によって、特定のドメインからのコンテンツ読み込みを制限することができます。ただし、必要な外部ドメインからのコンテンツを正しく許可するために、CORSポリシーを適切に設定する必要があります。
BHTTPSの適切な設定
❹でセキュアな通信を強制する際には、ウェブサイト全体がHTTPSで提供されていることを確認してください。また、SSL/TLS証明書の適切な設定も行う必要があります。
Cブラウザ互換性
各ブラウザがこれらのセキュリティヘッダーをサポートする方法や動作が異なることがあるため、互換性を確認してください。特に古いブラウザやバージョンが問題となる場合、適切なポリフィルやフォールバックオプションを検討することが重要です。
以上の注意点を考慮し、適切なテストと監視を行いながら、これらのセキュリティ設定を実装することで、ウェブサイトのセキュリティを強化できます。セキュリティは継続的なプロセスであるため、定期的な評価とアップデートが不可欠です。
新たに、CORSが出てきました。これを導入する目的を、詳しく解説すると以下の通りとなります。以下は、ChatGPTからの回答です。
CORS(Cross-Origin Resource Sharing)は、ウェブアプリケーションにおいて、異なるオリジン(ドメイン、プロトコル、ポート番号の組み合わせ)からのリクエストに対するセキュリティ制御を提供する仕組みです。CORSを実装することで、以下のことが実現されます:
❶セキュリティ制御
CORSは、クロスオリジンのリクエストを制御するためのセキュリティメカニズムです。同一オリジンのリクエストと比較して、クロスオリジンリクエストにはセキュリティ上のリスクが伴う可能性があります。CORSにより、不正なドメインからのリクエストを防ぎ、クロスオリジンのセキュリティを向上させることができます。
❷同一オリジンポリシーの緩和
ウェブセキュリティの観点から、通常、異なるオリジンからのリクエストはブラウザによって制限されます。しかし、CORSを使用することで、特定のオリジンからのリクエストを許可し、同一オリジンポリシーを緩和できます。
❸クロスオリジンリクエストの許可
クロスオリジンのリクエストを正当なものとして許可する場合、サーバーからのレスポンスヘッダーにCORSヘッダーを含めることで、ブラウザによってクロスオリジンリクエストが許可されます。これにより、異なるオリジンのウェブサイトからデータやリソースを取得することができます。
❹特定のオリジンの制限
CORSを使用して、特定のオリジンからのリクエストを許可または制限できます。これにより、信頼性のあるオリジンのみがアクセスを許可され、他のオリジンからのアクセスを拒否することができます。
❺クロスオリジンスクリプトの実行制限
クロスオリジンスクリプトの実行を制限できます。CORSポリシーに違反する場合、ブラウザはスクリプトの実行をブロックします。
CORSは、ウェブアプリケーションのセキュリティを向上させ、クロスオリジンのリソース共有をコントロールするための重要なツールです。適切に構成されたCORSポリシーは、不正なリソースアクセスやクロスサイトスクリプティング(XSS)攻撃からウェブアプリケーションを守るのに役立ちます。
どうも、これも設定しないといけないようです。
具体的には、どうやって設定するのでしょうか?引き続きChatGPTに聞いてみました。設定場所は、apache.conf、httpd.confまたは.htaccessに設定します。なお、.htaccessへ設定する場合は、<IfModule mod_headers.c>は不要です。
<IfModule mod_headers.c>
# クロスオリジンのリクエストを許可する
Header set Access-Control-Allow-Origin "*"
# 必要に応じて他のCORSヘッダーを設定する
Header set Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept"
Header set Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
Header set Access-Control-Allow-Credentials true
</IfModule>
今回、長々と調べましたが、理由は、時間の節約です。今日は非常に時間が取られましたが、後日はこのサイトに書かれている情報を見るだけでpro2grammer.comのセキュリティを確保することが可能になります。
現場にいる人もこのサイトを参考に、是非、ChatGPTを活用し、セキュリティの高いシステムを製造してください。
では、また!
■sandbox 属性(W3 Watch Reference)
https://reference.hyper-text.org/html5/attribute/sandbox/
■【HTML】iframeのsandbox属性について(Qiita)
https://qiita.com/mzmz__02/items/f1187e86c175de5aec0b
2023年09月20日
Salt値 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
引き続きバッチ処理システムの解析、バグ修正、バージョンアップをしています。やっぱり、問題となるのは、連想配列の部分・・・。Prototype EVEでは、連想配列を多用していて、いろいろなところでエラーが出るうえに、関数をまたぐエラーの場合、ちょっと、解析に時間がかかってしまいます。
[Prototype EVEのセキュリティ的な問題]
バッチ処理システムだけでなく、それ以外のシステムも、Prototype EVEを利用することになりそうです。ただ、セキュリティ的に何点か問題があります。
まず、1つ目は、Salt値をシステム共通のものを利用している。
Salt値の仕組みは、システムを改修する予定です。
Prototype EVEでは、ユーザが初回ログインすることにより、パスワードのハッシュ値を求め、そのハッシュ値をシステムへ登録します。Salt値は、ユーザがログインするときに、パスワードのハッシュ値とSalt値を文字列連結した値から、ハッシュ値を求める時に利用しています。ただ、今後は、そうでない運用を考えており、3つのモードを用意しようと考えています。
1つ目は、パスワードをそのままデータベースに格納するモード。これは、管理者が初期ユーザID、パスワードを登録する際に利用します。
2つ目は、従来通りの運用・・・。
3つ目は、ユーザ個別にSalt値を設定し運用する方法です。
1つ目の運用はあるかどうか不明ですが、今後ビジネス的に利用するということを考えると、こんな運用しているところありませんか?管理者がユーザIDとパスワードを登録し、そのユーザIDとパスワードをユーザに知らせます。ユーザは、初回のログインにおいて、ユーザがパスワードを入力すると、従来の流れでハッシュ値を求め、データベースにハッシュ値が登録されるという流れになります。
2つ目は、いきなり、ユーザ個別のSalt値を導入して、ログインできなくなったというのは困るので、当初は従来の運用を残します。そして、ユーザ個別に、3つ目のSalt値を利用する運用に移行するという流れにしようと考えています。
[あとがき]
現在、いろいろシステムを作ることを考えていますが、同システム自分だけでなく、多くの人に利用してもらおうと考えています。その場合、やはり注意しなければならないのが、セキュリティ・・・。せっかくそのために知識を身に着けたので、身に着けたセキュリティに加え、自分で考えたセキュリティもシステム化していきたいと思います。
以前も話しましたが、Salt値もストレッチングもセキュリティの本に書かれる前からやっていました。そういう意味では、先駆者的なことを今までしてきています。今後も、そんなシステム開発をしていきたいと考えています。
では、また!
2023年09月01日
情報処理安全確保支援士試験午前U 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
 | 2024年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
昨日、情報処理安全確保支援士の講習を終えたのですが、その講習には技術的な話があまり書いてありません。概念的な話題が主として書いてありました。その講習を受けながら、思い出したのが、中小企業診断士の経営情報システムの問題・・・。
例えですが、中小企業診断士の経営情報システムの問題は、例年、ITパスポートのような問題が出題されていたのですが、今年からいきなり情報処理安全確保支援士の試験で出題されるような問題になりました。試験当時のブログでも書きましたが、最初の数問は冷や汗です。例えではありますが、その当時の認識では、中小企業診断士で出題される問題は、ITパスポートレベルの問題なので、勉強せずとも合格点はとれるだろうっと思っていたところに、いきなり情報処理安全確保支援士で受けるような難しいと思えるような問題が出題されるのですから・・・。
受験後のブログでも書きましたが、IPAの試験をまた受験しようと思っています。次に受験するのはネットワークスペシャリストかなって思っています。ネットワークってセキュリティとは切っても切れない関係にあり、情報処理安全確保支援士の試験にも頻出されています。
[情報処理安全確保支援士 午前U]
情報処理安全確保支援士の試験は、午前T、午前U、午後T、午後Uと4分野に分かれ出題されていましたが、その中でも午前Uの問題は比較的簡単です。午前T(ITストラテジスト試験、システムアーキテクト試験、ネットワークスペシャリスト、ITサービスマネジメント、情報処理安全確保支援士共通試験)の方が難しいぐらいです。ただ、セキュリティに特化した問題があり、慣れが必要かもしれません。そのような問題を、平成21年〜令和4年春まで解いていたのですが、令和4年秋から解いていなかったので、ネットワークスペシャリストの試験を受験する前に、トライしてみることにしました。
[令和4年秋 試験結果]
結果は72点でした。微妙です・・・。まっ、過去問を解いていても、80点以下を取ることはあるのですが、普通は80点以上です・・・。80点以上が普通というのは、もう、過去形かもしれません・・・。ポカして間違った問題もあるのですが、知らなくて、消去法で解いた問題もあるので、まっ、この点数が、現在の私の実力なのでしょう?
[今後の予定]
とりあえず、以下の情報処理安全確保支援士の問題は解きたいと思います。
午前U 令和5年春
午前T 令和4年秋、令和5年春
午後T 令和5年春
午後U 令和5年春
令和4年の午後T、Uは時間があったらやりたいと思います。午後Tは隙間時間で出来るのですが、午後Uはガッツリと時間が取られるので・・・。
数日後になりますが、間違った問題について解説等したいと思います。
私が過去にどんな感じで問題を解いているのかは、YouTubeで公開していますので、もし、よろしければご覧下さい。慣れてくると、YouTubeの動画でみるのと同じぐらいの感じで解くことができます。
まっ、慣れって言うことですかね?
では、また!!!
■ゼロからはじめるシステム開発(YouTube)
https://www.youtube.com/channel/UCnmeBUw8wGo34tttvxf0J-Q
2023年08月31日
情報処理安全確保支援士講習 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
本日、情報処理安全確保支援士講習を終わらせました。というのは、最後の単元6は、倫理とコンプライアンスだったのですが、資料をさっと目を通しただけで、最後単元末の試験を実施してすべての講習を終了させています。倫理とコンプライアンスが去年と大きく変わるなんてありえませんからね?以下が、単元の最後にあった試験の結果です。
■単元末の試験結果
単元1:
1回目 4/5
2回目 4/5
3回目 5/5
単元2:
1回目 4/5
2回目 4/5
3回目 5/5
単元3:
1回目 1/5
2回目 4/5
3回目 4/5
4回目 5/5
単元4:
1回目 2/5
2回目 3/5
3回目 5/5
単元5:
1回目 4/5
2回目 5/5
単元6:
1回目 4/5
2回目 4/5
3回目 4/5
4回目 4/5
5回目 3/5
6回目 5/5
最後の単元6は、本文を読んでいないから、こんなに、何回も再試験を受講したわけではなく、文章の最後の、『「正しい」|「誤っている」ものを選べ」』という指示を見誤った結果です。それと、倫理とかコンプライアンスだったからなめていたかもしれません。
気になったのが、問題の途中で、最後の、『「正しい」|「誤っている」ものを選べ」』の「正しい」と「誤っている」の記述が入れ替わった問題があったような気がします。 1問間違えた、次!って受けたその問題の最後の、『「正しい」|「誤っている」ものを選べ」』が逆になっている問題が2問ほどありました???気のせいでしょうか?芸が細かすぎます。
[講習における問題の傾向]
去年との違いは、今年から、問題に対する答えを全て選べという問題が出てきました。そのため、去年は、1発でパスした単元もあったのに、今年はなかったです。問題自体は難しいものはなかったような気がします。ただ、それ覚えていないよ〜っていう問題はありましたが・・・。
[去年と今年の違い]
今年の講習は、去年の講習と違い、システムライフサイクルの記述が多いような気がしました。去年は記述としてあったような気がしますが、強調する形での紹介ではなかったような気がします。
それ以外について強いて言えば、参照する資料が減ったぐらいでしょうか?まっ、去年講習を受講し1年しかたっていないから、こんなものでしょう?
[あとがき]
なお、2023年8月28日のブログで境界防御を、ペリメトリーセキュリティと紹介しましたが、正しくは、ペリメーターセキュリティです。この場を借りまして、訂正させていただきます。
そして、最後に、今回講習を受けて、講義の中で説明がないのだが、私が知らなかった用語を抽出しました。私が知らない、または忘れてしまった用語で、何の説明もなく、公用語と同じように使用されているのに違和感を感じ、まとめています。今後の参考としてください。
じゃ、倫理とコンプライアンスこれから読もうかな(笑)。
では、また!
■ラテラルムーブメント
ラテラルムーブメントは「Lateral Movement(横方向への移動)」を意味します。企業や組織のネットワークに侵入したマルウェアが、OSの正規の機能を悪用して、内部の偵察や資格の窃取を行う攻撃手法のことです。攻撃プロセスにおける感染拡大のフェーズで実行されます。
・Cyber Security.com
https://cybersecurity-jp.com/column/33244
■オンプレミス(on-premise)
サーバーやソフトウェアなどの情報システムを、使用者が管理している施設の構内に機器を設置して運用することをいう。プレミス(premise)は「構内」「店内」の意味。 「自社運用」ともいう。プレミス、OnPと表記されることもある。
・Wikipedia
https://ja.wikipedia.org/wiki/%E3%82%AA%E3%83%B3%E3%83%97%E3%83%AC%E3%83%9F%E3%82%B9
■リファイメント
リファインメントとは、プロダクトの認識合わせやプロダクトバックログの詳細化をするためのイベントです。
プロダクトオーナーと開発者が継続的に実施するプロセスであり、プロダクトバックログアイテムの内容や優先順位、見積り(ストーリーポイント)などを情報を確認し、プロダクトバックログアイテムを詳細化します。
・Hello Scrum
https://do-scrum.com/refinement/
■SOC(Security Operation Center)
システムの名前ではなく、企業内に設置されたセキュリティ部門やチームのことです。「ソック」と呼ばれており、主にIT機器やネットワークなどの監視・分析とサイバー攻撃の検知を行います。
・GMO Internet Group
https://www.gmo.jp/security/cybersecurity/soc/
■レジリエンス
困難な状況やストレス、失敗などに直面しても、自己回復力や適応力を持ち、精神的な弾力性を維持する能力のことです。この能力があることで、個人や組織は挫折から早期回復し、新たなチャンスや成長の機会をつかみ取ることができます。また、レジリエンスはストレス耐性やメンタルヘルスを改善する効果もあります。
・ポジティブサイコロジースクール
http://positivepsych.jp/about_resilience.html
■MSS(MSS(Managed Security Service)
企業や組織の情報セキュリティシステムの運用管理を、社外のセキュリティ専門企業などが請け負うサービスのことです。自社でセキュリティの専門家を採用・養成することが難しい場合などでも、専門家へとアウトソースすることができます。
・NRI Secure
https://www.nri-secure.co.jp/glossary/mssp
2023年08月28日
セキュリティインシデント 〜情報処理安全確保支援士講習 セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
| 2024年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
本日も、情報処理安全確保支援士講習を受講しています。単元1で早速、既に解決済みではありますが、セキュリティインシデントの報告資料がありました。記憶に新しいところでは、CAPCOMなんかもその一例として紹介されていますが、本日は、国立研究開発法人産業技術総合研究所(以降「産総研」)で発生した。標的型攻撃を深掘りしてみたいと思います。
[どんな事例]
産総研で発生したのは、標準的な標的型攻撃です。クラウド上のメールシステムから社内に、時間をかけて侵入し、同研究所の個人情報及び研究成果等を搾取したという事件です。
[事件の印象]
まっ、多くの組織でみられるような体制で、その体制の脆弱性を利用され侵入された事件だと思いました。ただ、CSIRTを整備し、かつ、NISC、JPCERT/CCなどと密に連携しているという記述からは、ちょっと、想像できない事件です。
[今回の問題]
資料の全ての情報を網羅するのは難しいので、対策から見た今回の事件について考察してみたいと思います。以下が、2017年に発生した事件対応です。
【応急的な対策】
❶メールシステムへのログイン
メールシステムへのログインについては、外部からはVPN 接続を必須とする運用とし、さらに、内部ネットワークからログインする場合でも、一定期間ごとに二段階認証を求めるよう認証方式を強化した。
❷ファイアウォール内から外部へ接続するサーバ
用途と通信先を精査し、必要性と安全が確認できないサーバ等は全て遮断した。
❸管理者パスワードの作成及び保管方法、並びにファイル暗号化時の鍵の作成方法及び保管方法
有効なパスワードの設定方法、管理方法を検討し、情報基盤部で運用開始するとともに、外部委託業者に周知・徹底した。
❹外部委託業者の老朽化したサーバ
老朽サーバは廃止し、最新の OS を載せた新規のサーバに交換した。
❺脆弱性が指摘された NAS使用を中止し、研究部門から回収した。
❻統合ネットワーク監視
既に導入していた統合ネットワーク監視における SIEM の自動検知ルールを見直し、不正な通信が内部で発生した場合にもすぐに検知できるよう、内部通信の監視を強化した。
❼管理用ネットワーク内のサーバのアクセス制限
全てのサーバにアクセス権限を設定するとともに、分離用のネットワーク機器を新たに追加し、これによって業務用ネットワークを研究用ネットワークから切り離した。
【今後取り組む抜本的対策】
⓫ 多要素認証等の強固な認証技術を、内部システムのうちイントラ基盤システム等の重要なシステムにも導入し、破られにくく、かつ攻撃が検知可能な認証システムを導入する。
⓬研究用ネットワークをセグメント分離できるネットワークを構築する。さらに、セグメント間の通信を制御できるようネットワーク構成を抜本的に見直す。
⓭侵入や拡散の即時検知のため、内外を通過するファイアウォールの監視、セグメント間の内部通信監視を導入する。
⓮重要システムにおいては、必要十分なログを蓄積し、不正なアクセスの分析・解析ができるシステムを導入する。また、侵入時にログ等の証跡が消去されないよう、ログの冗長化や遠隔保存等の仕組みを導入する。
出展元:国立研究開発法人 産業技術総合研究所
以上の対策を取っているのですが、気になるのが、❶メールサーバーです。
攻撃を受けた当時なのですが、このメールサーバーは外部(クラウド)にあるうえに、同メールサーバーへのログイン情報が内部ネットワークと常に連動していたのです。この内部ネットワークの認証情報との同期は、ハッキングされたらすぐに内部で自由にいろいろなリソースにアクセスできることを意味しています。
ただ、リリース当初は、VPNにより内部ネットワークの位置づけで使用していたようです。しかし、利便性の向上からVPNを廃止しインターネット上に露出することにより発生しています。VPNの使い方とか、VPNの解除後の状態が想像通りか不明ですが、想像通りなら、誰か止める人はいなかったのでしょうか?
IPAの午後の試験では、メールサーバーは、DMZ上にあるメールサーバーと、内部メールサーバーの2種類のサーバーがあるのが通常です。このような構成にする理由は、メールアドレスを直接攻撃されないためです。産総研では、認証サーバーとメールサーバがどう運用されていたか、詳細な記載がないので憶測でしか語れないのですが、多分、認証サーバーがインターネットに露出する形で運用されていたと想像されます。
[他に気になる点]
PDFのページとしては50ページあり、短い時間では読み切れていないかもしれませんが、読んで以上のようなことを感じました。見直し後のネットワークですが、多要素認証等の強固な認証技術を主要なシステムに導入するといった記述が気になりました。社内に複数のシステムがある場合、シングルサインオンを導入している企業もあるのに、本来の仕事に影響しないかちょっと、気になりました。
あと、ログなどの監視体制を充実し、かつ、組織のネットワークをセグメントに分離するという記述がありますが、かなり、運用に負荷がかかる体制となっています。人員が確保できればいいのですが、このような場合導入しただけというケースも見てきたので、どうなっているのかな?っと気になりました。
[あとがき]
攻撃から、搾取されている状況まで後日このような形で報告できる体制になっているのは、非常に驚きました。今まで私が務めた会社では難しいと感じたからですが・・・。まっ、国立の研究機関ですから当然ですか(笑)?
結果論でいうのは簡単なのですが、日々の多忙な業務をこなしたうえで、体制を作る難しさは非常に分かります。今回のケースからいろいろなことを学ぶことができ、事件をこのような形で報告していただき大変感謝しています。
今後のシステム開発に役立てたいと思います。
では、また!
■産総研の情報システムに対する不正なアクセスに関する報告(国立研究開発法人 産業技術総合研究所)
https://www.aist.go.jp/pdf/aist_j/topics/to2018/to20180720/20180720aist.pdf
2023年08月27日
情報処理安全確保支援士講習 〜セキュリティ研究室〜
こんにちは!
ナビゲータのEVEです。
情報処理安全確保支援士の講習を受けています。
| 2024年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
この講習を受けるに際し、私がしていること・・・。それは、各ページのハードコピーの取得と、ページにあるリンクから資料をダウンロードすること・・・。ダウンロードできないページは、今年は、URLのみを取得するようにしています。他にもやることもあり、時間がありませんからね・・・。
去年をそのうえ、各講義の資料を一太郎で図式化してまとめていました。今年は、ちょっと、そこまでできそうもありません。
[今年資料をまとめていて気づいたこと]
去年は、ダウンロードした資料の量の多さから、その容量を報告していましたが、今年は、以上のような作業状況なので、ダウンロードする資料の量も少なく講義の準備は短時間で済みそうです。
作業をほぼ終えようとしている中、気づいたことがありました。去年は、便利なツールや資料があったことに気づくことができたのですが、今年はほとんどない・・・・。そういえば、この資料は今年はどう書いてあるんだろうとか見るのですが、今年の講義にはその記述がありません。去年、無駄かもしれないと思いながら、焦燥感を漂わせて行っていた作業は、無駄でなかったことが今年分かりました。
無駄でないと分かっても、いずれかのタイミングで削除しなくてはいけません。去年のダウンロードした資料は、700M弱、で今年は、400M弱になりそうです。まっ、最悪、Blue-rayにでもやきましょうか?
[内容的にはどうなの?]
最初の書き出しの部分は、情報処理安全確保支援士に期待される役割と知識について、社会の状況や組織との関係を交えながら書かれています。まだ、単元1を読んでいる最中なので、何とも言えませんが、特段珍しい内容ではなく、単元1は、資料がきちんとそろっていることを確認したうえで、資料を読み、単元の試験を受けて終えることができそうです。
昨年、単元試験は、全ての資料を読み込み、一太郎に資料の内容をまとめたうえで、受けたのですが、今年は読み終えた段階で受けます。昨年は初めてということもあり、かつ、試験を受けた人が難しかったとか言っている人がいたので、そうしたのですが、まっ、そこまでではないかなって感じです。
試験問題は単元ごとに5問ずつ出題され、5問すべて正解しなければいけません。1問でも間違えれば、再試験です。その再試験も、受けた問題がそのまま出題されるわけではなく、シャッフルされて出題され、ひどい時は、5問すべて新たな問題になっている場合もあります。試験問題が難しかったと話している人は、多分その出題の仕方が難しかったと言っているのだと思いますが、問題の数は無限にあるわけではないでしょう?何回かやっていれば、合格すると思われます。これから、初めて講習を受ける人がいましたら、気軽に試験を受けてください。
[あとがき]
中小企業診断士の二次試験の勉強と、情報処理安全確保支援士の講習で、プログラム開発がおろそかな状況です。やっと、体が復調してきたので、そっちも頑張っていきたいと思います。
具合が悪い理由は、以前、寝不足だと話していましたが、風邪だったようです。クーラーの温度を上げ、寝るとき気を付けるようにしたら、復調してきました。クーラーの温度の下げすぎには気を付けてください。
では、また!
タグ:講習 情報処理安全確保支援士
2023年07月13日
sudo [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
昨日までは、バッチ処理を管理するためのプログラムの作り方をご紹介し、その中で、OSコマンドを利用するんだけれど、その行為は非常に危険だという話をしています。
本日は、具体的に使うツールと、そのツールを使った場合の問題点について、書きたいと思います。
[sudo]
今回使うツールは、sudoです。sudoは、Linuxユーザなら、一度は利用するツールです。
どんなツールかというと、別のユーザの権限でOSコマンドを実行することができます。
通常、Llinuxサーバーへのsshによるログインは、rootユーザではログインできないようにするのが通常です。但し、root権限でしかできない作業などがあり、その場合は、まず、自分のIDでログインし、その後、sudoコマンドで管理者権限が必要な作業を行います。これにより、rootのパスワードを使い回すような危険な行為をすることなく、管理者権限の作用をすることができます。加えて、複数のユーザが作業する場合では、誰がどんな作業をしたのかと言うことを、ログから確認することが可能になります。
[sudoの危険性]
何でもそうですが、リスクはあります。そのリスクを把握し、適切に理解した上で、利用します。それでは、どんなリスクがあるのか、ChatGPTに聞いてみました。
❶権限の濫用
sudoを使用することで特権ユーザー権限を得ることができるため、悪意のあるユーザーが意図せずに特権を乱用する可能性があります。誤ったコマンドや操作によってシステムが破損する可能性もあります。
❷パスワードの漏洩
sudoを実行するためには通常、ユーザーのパスワードが必要です。悪意のあるプログラムや攻撃者がこのパスワードを取得すれば、システム全体にわたって権限を乱用される可能性があります。
❸設定の不備
sudoの設定が不適切な場合、予期しない特権の付与や不必要な特権の提供などが発生する可能性があります。適切な設定を行わないと、攻撃者が特権ユーザーとして実行できるコマンドの範囲を拡大する可能性があります。
❹コマンドの認証
sudoを使用して特権ユーザーとしてコマンドを実行する際、認証が行われますが、この認証方法にも問題が存在します。パスワードの再入力など、セキュリティ上のリスクがある認証方法を使用している場合、攻撃者がユーザーの特権を取得する可能性があります。
以上です。そして、インターネットを調べてみると、危険だという事例がありましたので、ご紹介します。
NECのサイトで、具体例などを紹介しています。その内容については、サイトで閲覧していただくとして、見ていただくと分かりますが、いろいろなリスクが潜んでいることが分かります。
以上のレポートを否定するわけではないのですが、サーバーサイトプログラムを実行するには、sudoを利用するのが、一番セキュリティが高いと現時点では考えています。
[あとがき]
NECの方のサイトを見ていて気づきましたが、NECでは、実際の攻撃テクニックを学んでいるのですね・・・。情報処理安全確保支援士として私ができることは、既知の攻撃の識別と、その対策についてです。その攻撃が具体的にどんな方法で行われるかまでは、知りません。ことわざに、「彼を知り己を知れば百戦殆からず」というのがありますが、やはり、攻撃事態も勉強したほうがいいのでしょうか?
ただ、これを始めた場合、他のことが全く何もできなくなります。既知の攻撃だけなら勉強するだけで済む可能性がありますが、未知のものを想定した場合、アプリケーションがリリースされるたびに、対応しなくてはなりません。世の中にアプリケーションが1つならいいのですが、その数は無限に等しいのです・・・。
私のスタイルとしては、使用するツールを厳選し、その厳選したツールを正しく使うということに心がけるというぐらいしかできないような気がします。ただ、情報をできるだけ早く入手するということぐらいは、できそうです。
日本ハッカー協会に加入しようかな???現在検討中です。
では、また!!!
■本当は怖いsudoコマンド(NEC)
https://jpn.nec.com/cybersecurity/blog/201023/index.html
■日本ハッカー協会
https://www.hacker.or.jp/
■2023年7月12日現在
修正ファイル本数 21/28(1ファイル修正)
修正関数本数 45/78(14関数修正)
2023年07月12日
サーバーサイトプログラムからOSコマンドを多用してはいけない理由 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
昨日は、バッチ処理のプログラムをどう製造するのかお話ししました。その話の中で、サーバーサイトプログラムからOSコマンドを実行するのは危険だという話をしました。。その理由について、自分として理解はしていますが、不足している点があるかもしれないので、ChatGPTになんで、サーバーサイトからOSコマンドを実行するのは危険なのか聞いてみました。
❶セキュリティリスク
サーバーサイドのプログラム内でOSコマンドを直接実行すると、悪意のあるユーザーが意図しないコマンドを注入し、システムやデータを攻撃する可能性があります。例えば、外部からの入力値が適切に検証やエスケープ処理されていない場合、攻撃者はコマンドインジェクションと呼ばれる手法を使って、任意のコマンドを実行できます。
❷特権の権限拡大
サーバーサイドのプログラム内でOSコマンドを実行する場合、そのプログラムが実行されているユーザーの権限でコマンドが実行されます。もし不適切な権限でプログラムが実行されている場合、攻撃者は特権の昇格を試みることができ、システムの制御を乗っ取る可能性があります。
❸互換性と可搬性の問題
サーバーサイドのプログラム内でOSコマンドを直接使用すると、そのプログラムは特定のオペレーティングシステムに依存してしまいます。異なるオペレーティングシステムを使用する場合、同じコマンドが利用できない可能性があり、プログラムの可搬性や互換性に問題が生じる可能性があります。
❹プログラムの信頼性
サーバーサイドのプログラム内でOSコマンドを実行すると、プログラムの複雑性が増し、バグやエラーが発生する可能性が高くなります。バグが存在する場合、意図しない動作や予期しない結果が発生し、システムの安定性や信頼性に影響を与える可能性があります。
以上です。❶❷については同意しますが、❸❹はどうでしょうか?❹は違うと思いますし、❸については、他のシステムへの移植を考慮しての回答だと思いますが、現在考えていませんし、サーバーサイトプログラム内で、OSコマンドを多用するつもりはないので、気にする必要はないでしょう?
この質問に対して、ChatGPTは、対策についても提示してくれました。見てみましょう。
@セキュアなAPIを使用する
サーバーサイドのプログラムが他のシステムやサービスと対話する必要がある場合、セキュアなAPIやライブラリを使用して、直接OSコマンドを実行する代わりに、API経由で操作を行います。
Aユーザー入力の適切な検証とエスケープ処理
外部からの入力値は適切に検証やエスケープ処理を行い、不正なコマンドやインジェクション攻撃を防ぐ必要があります。
Bサーバーの権限管理
サーバーサイドのプログラムが実行されるユーザーの権限を適切に制限し、最小限の特権でプログラムを実行するようにします。
Aは、今回の事例から外れますが、@とBについては、今まで製造してきたシステムのセキュリティポリシーと合致します。
[あとがき]
ChatGPTが提示してくれた、@Bの方法に対して、実際にどんな対策をするのか、本日は、時間がなくなってしまったので、明日きちんと解説をします。
プログラムを作る場合、いろいろとセキュリティを考えたうえで開発をしなくては、いけません。セキュリティを考慮しないでプログラム製造をして、会社から損害賠償請求をされたという事例が過去にあります。裁判では、損害賠償請求を認め、会社だけでなく、開発担当責任者も損害賠償請求を負いました。
セキュリティエンジニアとしてできるだけ知っている情報は発信していきますので、時々でもいいですから、ブログを読んで、感想などいただければ、うれしいです。
なお、損害賠償に訴えられた事例については、以前、動画、YouTubeで作りました。もし、ご興味がございましたら、ご覧ください。
では、また!
■【情報処理安全確保支援士資格取得のすすめ】[セキュリティ研究室]
https://youtu.be/L_yM6-ojK04
■2023年7月12日現在
修正ファイル本数 21/28(1ファイル修正)
修正関数本数 45/78(14関数修正)
2023年05月03日
生体認証の危険性 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
昨日の話の続きになるのですが、アフラックのコールセンターの方と話していて、変なことを言われました。
「個人認証用に声紋を取らせてください」
[声紋をとる理由]
声紋を取る理由としては、おそらくアフラックが電話をかけてくる顧客を正確に識別したいためだと思いますが、少し不自然な気がしました。アフラックに電話をかける理由は、サービスの問い合わせやサービス申し込みなどが主だと思います。その程度であれば、声紋認証などのセキュリティは必要ないと思います。私自身は詳細な業務を把握していないので、正確なことは言えませんが、氏名、住所、電話番号、生年月日などで充分だと思います。何か不正なことをするために顧客でない第三者から電話がかかってくるのでしょうか?しかし、ここでいう「何か」がはっきりしないので、何とも言えないのですが?
[声紋認証とは?]
声紋認証とは、人の話し方や発音の特徴などをモデルにして訓練し、音声の周波数、強度、継続時間、声質などの特徴を分析して個人を識別する技術です。ここでのポイントは、声紋という波形で取られる音声だけではなく、話し方や発音などの特徴を分析しているということです。現在はAIなどで分析するのが一般的です。
[声紋の精度は?]
声紋認証は、他の生体認証技術と比較して、比較的高い精度を持つことが知られています。生体認証技術には、指紋認証や顔認証などがありますが、環境条件(例えば、光の明るさや指の濡れ具合など)や人間の体質(例えば、指の傷や手の汚れ)によって、精度が低下することがあります。一方、声紋認証ではこれらの問題に直面することは少なく、安定した精度を維持することができます。
[偽装することは可能?]
声紋認証は理論的に偽装が可能です。例えば、別の人が録音した音声を再生することで認証システムを騙すことができます。また、音声の特徴を変化させることで、自分の声と似たような声を合成することもできます。しかし、現在の声紋認証技術では、これらの攻撃に対する対策が講じられており、偽装された音声を検知することが可能です。例えば、偽装された音声に含まれる周波数帯域や時間的パターンなどを分析して、偽装された音声であることを検知することができます。
さらに、多要素認証などのセキュリティ対策を組み合わせることで、声紋認証の偽装に対するセキュリティを強化することができます。例えば、パスワードや生体認証などの他の認証要素を組み合わせることで、より高いセキュリティレベルを実現することができます。
[多要素認証]
多要素認証は、声紋だけでは不安が残る場合に必要とされます。ただ、私見ですが、生体認証と生体認証の組み合わせではなく、記憶による認証やICカードなどの持ち物認証と組み合わせることで、より高いセキュリティを実現できると考えられます。
[生体認証どんな種類があるの?]
生体認証のカテゴリーには、以下のような認証方法があります。
❶指紋認証
指紋のパターンを読み取って認証する技術。
❷顔認証
顔の形状や特徴を分析して認証する技術。
❸虹彩認証
虹彩の模様を読み取って認証する技術。
❹声紋認証
声の周波数やパターンを分析して認証する技術。
❺手のひら認証
手のひらの静脈パターンを読み取って認証する技術。
❻心電図認証
心臓の電気信号を読み取って認証する技術。
❼歩行認証
歩行のリズムや歩幅を分析して認証する技術。
❽脳波認証
脳波のパターンを読み取って認証する技術。
以上です。心電図認証、歩行認証は今回初めて知りました。
[生体認証の危険性]
生体認証は、正確にデータが取れれば非常に正確ですが、データが外部に流出した場合には大変危険です。その認証方法は以後使えなくなるため、外部機関に預けることは避けるべきです。近年は情報流出が日常的に起こっており、情報が漏洩することが珍しくありません。そのような状況下では、生体認証を預けることは非常に危険な行為であるため、強くお勧めしません。
もし、必要なら、そのサービスが自分にとってどれくらい重要なのか十分熟考したうえで登録してください。
[あとがき]
今回アフラックの方なのですが、住所を聞くとき、質問形式で聞かれました。その他の情報は氏名、年齢、生年月日などは答えさせたのに、なんで住所だけは質問形式で聞いてきたのかちょっと、違和感を持ちました。
もしかして、住所を聞いたら本人でないと分かったかもしれないのに、そのチャンスを逃したのです。
声紋をとることにも非常に疑問をもつのですが、その前に、本人かどうか分からない情報を個人情報として登録するのも問題あるのでは?っと思った今回の対応でした。
では、また!
■Prototype EVE変更プログラム進捗状況
★DB関連関数以外
修正ファイル本数 5/29本(0本ファイル修正)
修正箇所 192/396(2箇所修正)
2023年04月23日
情報漏洩 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
本日、車の免許の更新に行ってきました。そこで、気になったのがパスワードの取り扱いです。ChatGPTに聞いてみると、
パスワードとはコンピューターシステムやアカウントにアクセスするための秘密の認証情報であり、通常はユーザーが設定し、データベースに保管されます。パスワードは、アカウントの所有者にのみ知られるべきであり、セキュリティを確保するために頻繁に変更される必要があります。もし適切に管理されない場合、第三者に漏洩し、個人情報や機密情報が危険にさらされる可能性があります。
しかし、本日の免許更新では、警察職員がパスワードの内容を確認するなど、パスワードとは言えないような取り扱いをしています。先日ニュースでも、そのような事件が報じられました。私は電話で抗議し、善処してもらうよう求めましたが、今後もこのような風潮が続くことは避けられないのかと心配しています。
[アメリカ軍機密情報漏洩事件]
2023年4月14日、アメリカ陸軍の21歳の空軍州兵がアメリカ軍の機密情報を漏洩したとして逮捕されました。その中身は非常に機密性が高く、21歳の軍人が知り得る情報ではありませんでした。そのため、21歳の男性が捕まったと聞く以前は、アメリカ軍が意図的に情報をリークしたのではないかと思うほどでした。
[漏洩の中身]
漏洩した機密情報の中身は、報道されている内容を整理すると以下の通りです。
・ウクライナ戦争に関する機密文書
・イスラエル政府、韓国政府の盗聴に関する機密文書
・国連グテーレス事務総長の私的通信傍受
他にもいろいろあるようですが、情報が改ざんされたものもあり、現在分析中だそうです。
[なぜ21歳の空軍州兵が漏洩できたか?]
漏洩の動機はたわいもないことらしいので、あえて触れませんが、疑問としてわくのが、21歳という若い下士官がなぜこのような機密情報にアクセスできたかです。アメリカ軍は、機密情報を3つに分類し、適切に情報管理がされていることになっていました。
1)機密(Confidential)
機密情報は、アクセスが制限された情報であり、その情報が公開されることで、国家安全保障に対する脅威が生じる可能性があるものです。例えば、軍事作戦計画や装備の仕様書などが含まれます。機密情報のアクセス権は、それが必要とされる業務に携わる人物にのみ与えられます。
2)秘密(Secret)
秘密情報は、アクセスが機密よりも厳しく制限された情報であり、公開されることで、国家安全保障に重大な損害を与える可能性があるものです。例えば、外交交渉の秘密や軍事計画の実施詳細などが含まれます。秘密情報のアクセス権は、必要な業務に携わる人物のうち、秘密情報に関連する業務に従事する人物にのみ与えられます。
3)最高機密(Top Secret)
最高機密情報は、アクセスが秘密よりもさらに厳しく制限された情報であり、公開されることで、国家安全保障に致命的な損害を与える可能性があるものです。例えば、核兵器の詳細などが含まれます。最高機密情報のアクセス権は、極めて限られた人数のみが与えられます。
与えられる権限は極めて限定的であり、アメリカ政府内でもごく一部の人々にしか与えられていません。これらの人々は、それぞれの機密情報にアクセスするためのセキュリティ・クリアランスを取得する必要があります。セキュリティ・クリアランスがない場合、機密情報にアクセスすることはできません。
[今回の事件の影響]
現在、インターネット上で流れている情報によると、21歳の空軍州兵が最低レベルの機密情報にアクセスし、それを漏洩したと考えられています。この情報のレベルは低く、公知の事実も含まれているため、影響は限定的だとされています。ただし、この情報がロシアに渡り、ウクライナ戦争での作戦に影響を与える可能性があります。
[21歳の空軍州兵の今後]
このような情報漏洩は犯罪であり、機密情報、秘密情報、最高機密情報の3つの分類に応じて、漏洩者に科せられる刑罰が異なります。一般的に、機密情報の漏洩に対する刑罰は最長で5年間、秘密情報の漏洩に対する刑罰は最長で10年間、最高機密情報の漏洩に対する刑罰は最長で20年間です。ただし、情報漏洩によって引き起こされる損害の度合いによっては、より重い刑罰が科せられる可能性があります。また、漏洩が意図的に行われた場合は、刑罰がより重くなる可能性があります。21歳の空軍州兵には、今後、厳しい刑罰が科せられる可能性があります。
[あとがき]
パスワードの話に戻りますが、運転免許証に設定されるパスワードはあまり重要ではないとされています。しかしながら、パスワードは秘密の情報であり、個人情報に該当するため、漏洩すると犯罪になります。情報を漏洩した場合、漏洩した者には、個人情報保護法第62条により3年以下の懲役または500万円以下の罰金が科せられることがあります。ただし、実際の刑期は被害の程度や加害者の状況によって異なるため、一概には言えません。また、漏洩が故意的に行われたかどうかや、その目的や結果によっても刑期は変わることがあります。
以前はセキュリティが軽視されていた時期もありましたが、現在では秘密の情報は慎重に扱わなければなりません。システム開発者として過去を振り返ると、寒い思いをすることがありますが、少なくとも現在は、情報処理安全確保支援士として適切に取り扱うように努めています。
では、また!
追伸・・・。
本日のブログもChatGPTを利用しました。しかし、問題が・・・?
アメリカ陸軍の21歳の空軍州兵について、ChatGPTに聞きましたが、2021年9月の情報までしか持っていないそうです。
そして、文書の途中で処理が止まったら、続けてってChatGPTにお願いしましたが、完ぺきなものは提供されませんでした。本日は、段落ごとにお願いしています。
これから、改善されていくのでしょうね?ただで使わせてもらっているのにうるさいユーザーでごめんなさい。
■Prototype EVE変更プログラム進捗状況
修正プログラム本数 17/26本(0本プログラム修正)
修正プログラムステップ数 1349/2233ステップ(0ステップのプログラム修正)
2023年04月05日
セキュリティ事故 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
今日ショックなことがありました。Xserverで構築しているサイトのセキュリティの一部が解除されていたのです・・・。いつからでしょうか???
[Yahooクローニングシステムテスト環境を準備していると]
Yahooクローニングシステムテスト環境を準備している時に気づいてしまいました???本来は、普通にアクセスして見えないページにアクセスできてしまうことに・・・。そういえば、Wordpressのコメントログを見ていたら、やたらそのセキュリティに関するコメントが多かったのですよね・・・。書いてある内容は、全然関係ない内容だったのですが・・・。多分、一部のユーザは気づいていたようです。
[不幸中の幸い]
この1カ月以上、Xseverにはアクセスしていませんでした。それは、クライアント側に構築した、VMwareでいろいろ調べごとをしていたからです。そのため、Xserver上にあるプログラムはすべて古く現在は動作しない、Prototype EVEと呼んでいるプログラムだけでした。そこが、不幸中の幸いです。ただ、これから、Prototype EVEを改造するのですが、セキュリティに関する部分については、かなり改造しなくてはいけないかもしれません。Salt値の導入はしようとしていたのですが、それ以外にEVEシステムで利用予定だったセキュリティも適用することを検討します。
[ハッキング]
多分ハッキングではないと思います。sshdのログをすべて確認しましたが、それらしきものはありませんでした。Xserverの場合、sshd以外リモートツールは許していません。まっ、ログが改ざんされていればハッキング受けていたかどうかは分からないのですが、現在はそこまでしてハッキングするようなサイトではないので・・・。多分大丈夫だと思います。
[現在]
現在を、当初考えていたセキュリティに戻し、運用を再開しています。情報処理安全確保支援士とか言って、他社の情報漏洩を笑っていたのですがそれももう今日でおしまいのようです。気を付けないと自分にも起こりえることだと、実感しました。
これが、EVEシステムリリース後でなくてよかったです。
今後、作業完了後、セキュリティチェックを終えてから、作業を完了としたいと思います。
自宅でサーバーを公開していた時はやっていたのですけれどね・・・。まだ、リリース前だったので、油断していました。
今後気を付けるので、引き続きよろしくお願いします。
Yahooのクローニングシステムの製造は明日から実施します!
では、また!!!
タグ:セキュリティインシデント
2023年02月06日
ハッシュ技術とは? [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
昨日は、Prototype EVEのパスワードのセキュリティについて話しました。
Prototype EVEでは、パスワードはハッシュ化され格納されているので、管理者でもパスワードを見ることができないとか、ハッシュ化されたパスワードを送受信するときは、パスワードへ乱数を付加しハッシュ化して送受信しユーザを特定しているなどの話をしました。
以上から、Prototype EVEを支えるセキュリティ技術として、ハッシュという言葉が重要だと理解いただいたと思います。
本日は、今更ですが、ハッシュ関数とはどんなものなのか、知らない人、または、よく分からない人のために、話をしたいと思います。
[ハッシュ関数とは?]
ハッシュ関数は、よく暗号化するための関数と間違われます。はっきりいいますが、ハッシュ関数は暗号化するための関数ではありません。
もし、暗号するための関数なら、暗号化した文字列は、復号できなければなりません。但し、ハッシュ化した文字列は復号はできません。一度ハッシュ関数を通した文字列、一般にはハッシュ値と言いますが、ハッシュ値は復号し元の文字列にすることができません。
こんな関数を何に利用するの?っという疑問が生じると思います。
そんなハッシュ関数ですが、一般的には、データの完全性を保証するツールとして利用されています。どうしてこんなことができるかというと、ハッシュ関数の、以下の性質を利用して保証しています。
❶原像計算困難性
❷第2原像計算困難性
❸衝突困難性
❶は、ハッシュ関数によりハッシュ化された値から入力値を見つけることは困難であるという特性があります。一方向性、不可逆的関数と呼ばれます。
❷は、ハッシュ関数によりハッシュ化された値と全く同じハッシュ値を見つけることは難しいとされています。この説明だけでは、分かりづらいので、もっと説明すると、ハッシュ関数により、ハッシュ化された値、ハッシュ値は、固定長の長さで出力されます。それは、1バイトでも、1kでも、1Mでも同じ長さで出力されます。そのため、どうしても同じハッシュ値が生まれます。それをシノニムと呼んでいるのですが、そのシノニムの発生する可能性が低く、かつ、そのシノニムを見つけるのが難しいという特性があります。
❸は、ハッシュ間数へ異なる入力データから、同じハッシュ値が計算される(衝突する)可能性が極めて低く、事実上ないとされています。なんとなく、❷と似ていますね?この❸を衝突困難性は、他に、衝突計算困難性、強衝突耐性とかいわれます。
以上のような性質が、データの完全性を保証し、これを、別の言い方をするとデータのフィンガープリント(指紋)といわれています。なぜかというと、ハッシュ関数により得られた当該データのハッシュ値は、当該データを他のデータと識別し、世界で唯一のものと保証してくれるからです。
Prototype EVEでは、予めパスワードのフィンガープリントをとってデータベースに格納することにより、画面から入力されるパスワードのフィンガプリントと比較し、ログインするユーザを特定しているというわけです。本人確認が、フィンガープリントを比較するだけなら、データベースへパスワードを保管する必要はありません。
他の使用方法としては、デジタル署名とか、ソフトウェアの完全性などを保証するときなどに使用されています。
[説明を終えて]
ハッシュ値、ハッシュ関数を理解していただけましたでしょうか?このサイトではたびたび出てくる用語で、IPAの試験でも出題されています。現代のセキュリティを支える非常に重要な技術なので、しっかりと覚えてください。
では、また!
■ハッシュ関数(ウィキペディア(Wikipedia))
https://ja.wikipedia.org/wiki/%E3%83%8F%E3%83%83%E3%82%B7%E3%83%A5%E9%96%A2%E6%95%B0
2023年01月27日
リダイレクト障害を確認する環境を準備する〜hostsを使用した攻撃〜 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
現在、リダイレクト試験環境の準備をしながら、同時並行して開発の準備を進めているのですが、苦戦しています。理由は、多分仮想環境のディスク容量不足・・・。多分というのは、ディスク容量をコマンドで確認しても、物理的に確認しても不足していないから・・・。ただ、容量を増やすとエラーが解消するので、多分ディスク容量不足だと思っています。リダイレクト試験とは関係ないのですが、優先順としてやはり開発環境の準備のほうが重要なので、そちらを優先しています。
ハードディスク容量を50Gから300Gに増強し、開発環境を構築中です。リダイレクトの試験を開発環境を構築し終えてからと考えています。26.5GのDBエクスポートファイルの仮想サーバーへのアップロードとDBへのインポートは想像以上に時間を要しています。
そんな近況ですが、昨日の話の続きをしましょう。
[hostsファイルの危険性]
昨日、hostsファイルに書かれてドメインへのアクセスは、hostsに記述されている情報が優先されるという話をしました。その機能を利用する攻撃があります。
インターネットを検索すると、分類としてはファーミング攻撃に分類され、有名なウイルスとしては、「Win32/Qhost」が知られています。2005年にはじめて見つかり、直近では2015年に流行したという記録をインターネットから知ることができます。
感染の方式は、ウイルス、マルウェア等を用いてhostsファイルを書き換えるという方式だと考えられます。
攻撃の流れを図解すると左記のような流れになります。
まず、何らかの手口で、ハッカーは標的者のコンピュータにウイルスを感染させます。
❶ウイルスはhostsの内容を変更します。
❷標的者は、ブラウザのアドレスバーからhttp://www.ginkou.url/と入力します。
❷ブラウザは、DNSを見に行くことなく、http://www.ginkou.url/、IPは、xxx.xxx.xxx.xxxにアクセスします。
以上の流れで、攻撃者は、標的者を攻撃者サイトに誘導することができます。誘導先サイトが、銀行関係のシステムで、正規のサイトと全く同じサイトのつくりになっているとします。標的者は気づかずにユーザーIDとパスワードを入力すると、ユーザーIDとパスワードが盗まれてしまうという流れになります。
この後のハッカーの行動としては、、正規のサイトにアクセスして、搾取したユーザーIDとパスワードを使って、標的者の口座からお金を盗み出します。
以前と違い、近頃はhostsファイルを表示するのに管理者権限が必要など、表示することさえめんどくさいことになっているので、そう簡単にこの攻撃は成立しないとは思うのですが、気をつけることにこしたことはありません。ウイルス対策ソフトを導入する、定期的に点検するなどの対策をして下さい。
[hostsとlmhosts]
hostsファイルと似たファイル名として、lmhostsというファイル名を聞いたことがあると思います。これは、Windowsの設定ファイルの一つで、ネットワーク上のコンピュータのIPアドレスとNetBIOS名(コンピュータ名)の対応を記述したファイルです。「LM」はMS-DOS時代から使われてきたネットワークソフトの「LAN Manager」だそうです。
こちらのファイルは今までに攻撃に使われたということは聞いたことがありませんので、気を付ける必要はないと思います。
ファイルの場所は以下の2箇所で確認でき、本来の目的で利用するのは、C:\Windows\System32\drivers\etc\lmhosts.samになります。使用するときは、拡張子のsamはとり使用します。
C:\Windows\System32\drivers\etc\lmhosts.sam
C:\Windows\WinSxS\amd64_microsoft-windows-lmhsvc_31bf3856ad364e35_10.0.19041.1_none_08b1f5ea8fb3c15e\lmhosts.sam
[今後の予定]
現在、26.5GのDBエクスポートデータを取り込んでいます。このインポートがうまくいけば、多分明後日には、httpからhttpsへのリダイレクト確認作業ができると思います。
では、また!
2022年12月28日
IPAの試験 [セキュリティ研究室・システム監査研究室]
こんにちは!
ナビゲータのEVEです。
情報処理安全確保支援士の試験が90分短くなりました。
午後T、午後Uの試験が1つにまとまり、午後試験となり、試験時間が150分になりました。午後T90分、午後U120分を合計すると、210分なので、試験自体は60分短くなっただけなのですが、午後T、午後Uの間の、休み時間30分を加えて、90分短くなったという話になるらしいです。
[情報処理安全確保支援士試験が合格しやすくなった?]
多分、合格しやすくなったと思います。情報処理安全確保支援士試験は、60点で合格なのですが、今まで、午前T、午前U、午後T、午後U4つの試験、すべて60点以上とらないと合格できませんでした。ただその試験が、1つ減ったのです。
[内容は?]
内容自体は、情報処理セキュリティスペシャリスト試験の時よりは、国家試験になる前から徐々に難しくなってきています。ただ、難しいという表現が適切なのかどうか分かりません。ややこしいのです。ぜ〜ったいこんなネットワーク作らないよな〜♪といった内容の試験問題を出したり、勉強した技術・運用を複雑にして、それを解答とするような内容になったような気がします。但し、私が受けた年は比較的素直な問題でしたね・・・。だから、合格したというのはあるのですが、今後はどうでしょうか?
過去に、カーネルに近いウイルス対策の問題が出題されています。元の名称が、情報セキュリティスペシャリストだから、もしかしたら、よりレベルが深くなる気もしますが、人材を世の中に輩出して欲しいという社会的要望があるようなので、合格しやすくなるんじゃないかな〜っと、想像しています。
確かに、範囲が幅広く、難しい試験であるとは思いますが、技術者同士の話を理解する上で、勉強する価値はあると思います。私も、システムを作る上で、かなり参考とさせていただいています。勉強するだけでも意味がある試験だと思いますので、勉強してみてください。
[システム監査技術者試験]
このブログをアップロードするに先だって、今年の10月受験した、システム監査技術者試験の結果を見ました。合格発表自体は12月20日にあったようですが、やはり、自信がなかったため、見るのが遅れてしまいました。
IPAのホームページから確認することができるのですが、予想通り、不合格!ただ、予想と違っていたのは、点数です。今年は、去年より勉強しました。ただ、その去年より低いというのは納得いきません。
午前Uは合格で、去年より低い点というのは事前に分かっていたのですが、自分の採点より点数が低かったのはショックです???なぜ???
午後Tは、不合格で、去年の点数の半分です。当然、午後Uは採点してもらえず散々たる結果でした。
点数につきましては、聞かないでください・・・。武士の情けです・・・。
[システム監査技術者試験は今後どうする]
来年は予定通り、システム監査技術者試験は受験しません。午前T、午前Uは勉強の仕方は分かるのですが、午後の試験の勉強の仕方が分かりません。公開模試でなんとなくわかったような気がしましたが、気のせいだったようです。予備校に行かないとダメかもしれませんね・・・。システム監査技術者試験って、監査の視点という部分では非常に勉強になるのですが、その視点ができていないのかもしれません。
[来年はどうする?]
来年は中書企業診断士1本でがんばります。いろいろやっている中、すべて遅れているのですが、中小企業診断士試験の勉強も、その中の1つとなっています。本来受験自体苦手なので、来年システム監査も、と言うこととなると中小企業診断士の試験の合格率を下げることになるでしょう?
ってな状況です。システム監査技術者試験の経験を踏まえて、今度の試験は合格したいと思います。
では、また!
【システム監査技術者試験今までのブログ】
■システム監査技術者試験の公開模試の解説動画を見て [システム監査研究室](2022年10月04日)
https://fanblogs.jp/bahamuteve/archive/104/0
■システム監査技術者試験 公開模試の結果 [システム監査研究室](2022年09月29日)
https://fanblogs.jp/bahamuteve/archive/99/0
■信用できないかも、システム監査技術者試験対策午後T、U編 [システム開発研究室](2022年09月26日
https://fanblogs.jp/bahamuteve/archive/96/0)
■まだまだ間に合うシステム監査技術者試験対策 午前U編 [システム監査研究室](2022年09月25日)
https://fanblogs.jp/bahamuteve/archive/95/0
■システム監査技術者試験 〜間違いの訂正と現在の状況〜 [システム監査研究室](2022年09月19日)
https://fanblogs.jp/bahamuteve/archive/89/0
■システム監査技術者試験に向けて 現在の状況・・・ [システム監査研究室](2022年09月15日)
https://fanblogs.jp/bahamuteve/archive/85/0
■システム監査技術者試験公開模試 午後U [システム監査研究室](2022年09月11日)
https://fanblogs.jp/bahamuteve/archive/81/0
■システム監査技術者試験 公開模試 [システム監査研究室](2022年09月10日)
https://fanblogs.jp/bahamuteve/archive/80/0
■システム監査技術者試験 午後Uの問題って難しい!!!どうやったら正解が書けますかね? [システム監査研究室](2022年08月28日)
https://fanblogs.jp/bahamuteve/archive/67/0
■システム監査技術者試験 進捗状況 [システム監査研究室](2022年08月24日)
https://fanblogs.jp/bahamuteve/archive/63/0
■システム監査技術者試験とは?〜現在の進捗状況〜 [システム監査研究室](2022年08月19日)
https://fanblogs.jp/bahamuteve/archive/58/0
■システム監査技術者試験 公開模試 [システム監査研究室](2022年08月11日)
https://fanblogs.jp/bahamuteve/archive/47/0
二兎追うものは一兎も得ず? [システム監査研究室](2022年07月28日)
https://fanblogs.jp/bahamuteve/archive/18/0
2022年09月28日
【動画紹介】〜情報処理安全確保支援士試験 午後U〜 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
今日は、久しぶりに、YouTubeで公開している動画について紹介しましょう。今回は、情報処理安全確保支援士試験 午前Uに関する動画をご紹介します。
 | 価格:5,500円 |
[情報処理安全確保支援士試験 午前U]
情報処理安全確保支援士の午前Uについて、平成21年春期〜平成24年春期まで作成しています。作成後、平成24年秋期において、IPv6について詳細に紹介しようと、IPv6の勉強をはじめたため、午前Uに関する動画の公開を中断している状況です。IPv6の勉強を始めてみたら、IPv4と比較すると複雑でしかも情報量が多い状況です。最初1週間ぐらいで理解できると思って開始した勉強ですが、理解するという目的を達成しようとした場合、それなりに時間がかかりそうです。
 | 2023年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
[動画の構成]
動画は、平成21年の春を除けば、最初に目次を作っています。この目次により、どこからどんな内容が開始されるのか一目で分かるようになっています。
その目次の後は、情報処理安全確保支援士試験及び午前Uの試験の概要についてまとめています。年代を追ってバージョンアップしていますが、基本同じ内容ですので、一度見れば、あとは飛ばしてもらって問題ありません。
次に、情報処理安全確保支援士ドット.コムのシステムを使って、実際に問題を解きながら、テロップで解説を加えていっています。徐々に、その内容も濃くしており、見て勉強になるモノを用意しているので、見ていただいた方がいいでしょう?時間的には、10分程度で解いていますので、一日一本見るといったスタイルでいいですので、よろしくお願いします。
そして最後に、情報処理安全確保支援士ドット.コムで解いていて間違った問題を、解説しています。まだ情報処理を勉強していない学生、または新入社員の方でも分かるレベルで作成していますので、見ていただければ、システム開発の一助となりますので、一見してください。
なお、全問正解した試験もありますが、その試験については、今後技術的に必要となりそうな問題をピックアップして解説しています。
 | 価格:3,102円 |
[今後の予定]
今後の予定ですが、やはり、情報処理安全確保支援士の午前Uで知らない技術があるのは問題があると思います。そのため、当初の予定通り、IPv6については、引き続き勉強を進め、勉強を終えてから、平成24年秋期の動画を作りたいと思います。
その間YouTubeですが、先日お知らせしたとおり、レンタルサーバで構築する、Studyシステム(仮称)の製造状況について公開する予定ですので、そちらをお楽しみください。資格を取ることはできませんが、新人、学生の方は、システムを作る上で役にたつ情報だと思いますので、楽しみにしていてください。
では、また!!!
■情報セキュリティスペシャリスト(情報処理安全確保支援士)試験 平成21年春 午前U 解説[セキュリティ研究室]〜ゼロからはじめるシステム開発〜
https://youtu.be/Dd-TaeiBCEA
■情報セキュリティスペシャリスト(情報処理安全確保支援士)試験 平成21年秋期 午前U 解説[セキュリティ研究室]〜ゼロからはじめるシステム開発〜
https://youtu.be/-IIMpZFZycE
■情報セキュリティスペシャリスト(情報処理安全確保支援士)試験 平成22年春期 午前U 解説[セキュリティ研究室]〜ゼロからはじめるシステム開発〜
https://youtu.be/EEp0ZlsaCQw
■情報セキュリティスペシャリスト(情報処理安全確保支援士)試験 平成22年秋期 午前U 解説[セキュリティ研究室]〜ゼロからはじめるシステム開発〜
https://youtu.be/qRjDDl5XJO0
■情報セキュリティスペシャリスト(情報処理安全確保支援士)試験 平成23年特別 午前U 解説[セキュリティ研究室]〜ゼロからはじめるシステム開発〜
https://youtu.be/3mmXPtst_K8
■情報セキュリティスペシャリスト(情報処理安全確保支援士)試験 平成23年秋期 午前U 解説[セキュリティ研究室]〜ゼロからはじめるシステム開発〜
https://youtu.be/GtNdgplaL38
■情報セキュリティスペシャリスト(情報処理安全確保支援士)試験 平成24年春期 午前U 解説[セキュリティ研究室]〜ゼロからはじめるシステム開発〜
タグ:情報処理安全確保支援士 午前U
2022年09月17日
国税庁からの詐欺メールについて [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
このブログを見ている人は知っている人は多いと思いますが、私、Twitterを利用しています。本日、Twitterを見ていると、「国税庁」を装う詐欺メールが横行しているようです。今朝から、うるさいなと思えるぐらい来ているので、発信元を調べるとすべてテレ朝newsからでした(笑)。内容を見てみると、かなり頑張って、リポートしているようなので、ちょっと、その内容について触れたいと思います。
| 2023年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
[どんな詐欺?]
どんな詐欺なのか、その流れをおってみましょう。
@国税庁からということで、ショートメールが届きます
Aメールの内容を見てみると、滞納していると書かれているそうです
家のモノを差し押さえるといった内容の記述があり、受け取った人からするとかなり、緊張してしまう内容です
Bショートメール本文の[お支払いへ]というリンクタグをクリックしてしまう
C差押最終通知というページが表示される
Dその後クレジットカードのお支払いのページが表示され支払を促される
以上のような流れで、詐欺にあってしまうそうです。現在、国がDXを推進していることを多くの国民が認識しているようで、ついつい支払ってしまったというケースが多発しているようです。
[国税庁では?]
一般市民が税金というと、通常区役所等で支払うため、あまりなじみがない国税庁なのですが、どんな業務をしているのでしょうか?
ウィッキペディアでは、以下のように記述されています。
「国税庁は、日本の行政機関のひとつ。内国税の適正かつ公平な賦課・徴収の実現、酒類業の健全な発達及び税理士業務の適正な運営の確保を図ることを目的として設置された財務省の外局である。」
税金の部分については、
1)内国税の賦課及び徴収に関すること(第4条第17号)
2)酒税の保全並びに酒類業の発達、改善及び調整(第4条第19号)
多分、1)の業務に該当する部分で、国民の税金に関わることがあるのかもしれませんが、テレビ朝日のインタビューの中で、国税庁の職員の方が、このようなことはありませんと断言されていました。ただ、私以前、税金を年払いにしていて、不足していたことがありました。そのとき、区の方からショートメールで「滞納のお知らせ」というのが来たことがあります。その時のことを考えると、あるかもしれないと思ってしまいます(笑)。
8月時点の話なのですが、問合せが国税庁に、一日130件ぐらいきており、その量は、通常の6〜8倍ぐらいの量だそうです。
[どんな詐欺]
どんな詐欺か先に言うと、偽装メールのようです。ショートメールの構造については、知らないのですが、どうも通常のメールと同じ構造となっているらしいです?
メールは、以下の3つの部位に分かれています。分かれているといっても、改行コードしか入っていないのですが・・・。
T,エンベロープ
U,ヘッダ
V,メール本文
通常メールに表示されている送信元情報は、U,ヘッダ情報が表示されていますが、メールで送信するとき、システム的に利用しているのは、T,エンベロープ情報になります。以上のような作りのため、メール送信ソフトを自作で作り、そこの情報を偽装することはそれほど難しくありません。このケースの場合、もっと凝っているのは、送信元も複雑に分からないように送信しているようです?
今回の攻撃メールとか手元にないので、分からないのですが、送信元を偽装する方法として以下の2つの方法が考えられます。
1)複数のサーバを経由してメールを送信する
2)メールのバケツリレー機能(*1)を利用して、複数のサーバを経由する
1)は、1990年代にTelnetを用いてよく利用されていた方法なのですが、世界各国のサーバを複数というか、何百も経由して送信するという方法です。
2)は、メールにメールリレーという機能があり、そのメールリレーを複数のサーバを経由して行う方法です。
現実問題として、メールリレーする場合、メールサーバを構築、もしくは、ハッキングしなけばいけないので、ちょっと難易度が高いです。多分ですが、実行は、1)の方法で、複数のサーバにログインし、ログインした最終サーバからメールを送信したという方法のような気がします。番組の中では、あまり使われない手法と話していましたが、古いエンジニアなら、あっ、あれね?って思うかもしれませんね(笑)
[どうしたらいい?]
以上のように、メールを偽装し、送信元を複雑化することにより、現在、詐欺をしようとしているようです。では、このような詐欺にかからないようにするにはどうしたらいいのでしょうか?
このようなメールをもらって、私のようなケースもあるので、心配になる人もいるかもしれませんが、心配な場合でも、もらったメールに返信してはいけません。国税庁と書いてあるなら、国税庁の電話番号を調べて、電話で確認することを勧めます。
ようは、メール等でいただいた情報に基づき、その情報の正確性を調べるのではなく、文面からの情報を信頼できるところで確認し、調べたその情報でメール本文の正確性を確認するというのが対応方法として一番いいと思います。
くれぐれも、いただいたメールに返信、電話等はしてはいけません。
情報処理安全確保支援士とか偉そうに言っていますが、私も合格前ではありますが、詐欺にかかりそうになったことがあります。実害はなかったのですが、個人情報を取られてしまいました。実害がないって、これも実害ですか?ちょっと、心の隙、油断しているときが、人間って必ずありますので、気をつけましょう!私も気を付けます。
では、また!
追伸・・・。
テレ朝newsから、うるさいなと思えるぐらい来ている思っていた、国税庁を名乗る詐欺に関するニュースは、今調べると思ったほど来ていませんでした。失礼をいたしました。気のせいでしょうか?
■【独自】「国税庁」装う詐欺メール “納税求める”被害相談が急増…“発信元”を追跡
https://news.tv-asahi.co.jp/news_society/articles/000268440.html
*1)以下のYouTubeでバケツリレーの解説をしています
情報セキュリティスペシャリスト(情報処理安全確保支援士)試験 平成21年春 午前U 解説[セキュリティ研究室]〜ゼロからはじめるシステム開発〜
2022年09月07日
情報処理安全確保支援士取得のすすめ〜情報処理安全確保支援士合格の最短方法〜 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
先日までは、「情報処理安全確保支援士のすすめ」から、下記の項目の❶〜❸についてお話ししましたが、本日は、❹の「情報処理安全確保支援士合格の最短に取得する方法」ついてお話ししましょう。
❶情報処理安全確保支援士取得の必要性
❷情報処理安全確保支援士概要
❸情報処理安全確保支援士試験の概要
❹情報処理安全確保支援士合格の最短方法
| 2023年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
❹情報処理安全確保支援士合格の最短方法
まず勉強するための流れを押さえていきましょう。
⓪午前Tの過去問をひたすら解く
@情報処理安全確保支援士のテキストをひたすら読む
A午前Uの過去問をひたすら解く
B午後Tの過去問をひたすら解く
C総まとめとして午後Uの過去問をひたすら解く
上記プロセスを行い、各プロセスで80点以上取ることができるようになれば、本番でも60点以上取ることができます。
これが分かったのは、合格したから分かったのであって、合格する前は色々やりました。その色々は、知識として身についたので、日々の業務には役に立つモノなのですが、受験に合格するという事に関して言うと不必要だったと思います。それでは、⓪から順番にお話ししましょう。
⓪午前Tの過去問をひたすら解く
[最短な勉強方法]
これは、ブログでも紹介した、情報処理安全確保支援士ドットコムから提供されているシステムを使用します。このシステムを利用する前提として、入社3年以上で、システムについてなんとなくでも分かっている人限定です。新入社員でも理系出身者なら別ですが、その他の方は難しいでしょう?
[私がやったこと]
ただ、私のように文系出身のため計算問題とか苦手で、午前Tなんか受かる気がしないと思う人は、TACのオンライン講習なんかお勧めです。これを受講することにより、合格できそうな気分になったのと同時に、情報処理安全確保支援士ドットコムのシステムを利用し問題を解くことが苦にならなくなりました。過去問全問題そろっているので、毎日25問解くことを目標に毎日やることをお勧めします。
@情報処理安全確保支援士のテキストをひたすら読む
[最短な勉強方法]
1冊全部頭に入れるつもりで読んでください。TACの本を対象に話しますが、1日50頁読むとして、12日あれば1冊読むことができます。それを2〜3回繰り返してください。1回読んで理解できなかった内容が、2、3回と回数を増やすごとに分かる範囲が広がると思います。とりあえず、分からないところは分からないまま残し、読み進める事が大事だと思います。ただ、複数回読んでも理解できないところがあったとしたら、それについては、インターネットで調べ分かるまで情報収集する方がいいでしょう?もし、近くに知識豊富なエンジニアの方がいれば、その方に聞くのも一つの方法だと思います。
| 2023年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
[私がやったこと]
以上については、最短の合格方法なのですが、私は、TACの本を1冊Prototype EVEのKnowledgeシステムへ登録しました。登録したことにより、本の内容を一通り覚えることができ、問題で初めて知る事実などがあった場合、その情報を登録した情報の近くに併記または文章として統合することにより、より知識を深めました。
現在は、毎年出版されるTACの本を同システムに登録しバージョンをアップしようと考えています。
A午前Uの過去問をひたすら解く
[最短な勉強方法]
これも、情報処理安全確保支援士ドットコムから提供されている、システムを利用してください。間違えた問題は、同サイトの解説をよく読み、80点以上常時とれるまで継続的に行ってください。人にもよるとは思うのですが、午前Tよりも比較的簡単に頭に入り、合格点に達成まで一番早い分野になります。
[私がやったこと]
多分合格点をとるという事だけだと、以上のことだけで問題ないと思うのですが、私は、各年度ごとに、同サイトの情報を一太郎にまとめ、間違えた問題はより深いレベルで調べ、それを資料としてまとめました。まとめて、教科書とクロスオーバーするところについては、Knowledgeシステムへ登録しました。やって、知識が増えたという点ではよかったのですが、合格するということから考えると無駄な時間だといえます。
B午後Tの過去問をひたすら解く
[最短な勉強方法]
ここからは、筆記問題になります。これも、ひたすら過去問を解くことをお勧めします。慣れないうちは1時間ぐらいかかると思うのですが、なれてくれば30分ぐらいで問題を解くことができます。解いているうちに最初は何が聞かれているのか分からなかったが、何回か解いているうちに、その内容を理解することができ、解答するポイントが分かってきます。そして、間違った部分があったら、その部分がなぜ間違ったのか分析し、次に活かしてください。
なお、ちょっと、午後Tの出題形式として気になる点があるとしたら、近年、午前Uで出題されるような、CSIRTとか、CRYPTRECなどの用語が文章問題の中に出てきて、より深いレベルで出題されることがあります。上記のAの勉強方法では、解答できないということがありますので、午前Uで出題されたセキュリティに関係する問題は、教科書の内容に留まらず、深いレベルまで踏み込んで勉強した方がいいかもしれません。
[私がやったこと]
ここでも、やはり、間違った問題などは、Knowledgeシステムに登録しています。まとめていて面白いなって思ったのは、DNSとかSSLなんかだと、その歴史が分かるようになります。SSLって今、SSLじゃなくって、SSL/TLSと言わなくっちゃいけない理由とかもろもろ・・・。試験に合格してからいいのですが、やってみてください。TACの講師の方も言われていましたが、この文章問題日々の業務にも役立ちます。
C総まとめとして午後Uの過去問をひたすら解く
午後Uは、午後Tを複数まとめたような問題です。ですので、解く時間配分の確認、もしくは、問題になれるということで解けばいいと思います。試験時間が120分と長いため、これを始めると他の勉強を含めてなかなか進みません。
私の意見としては、文章問題は午後Tを中心に勉強を進め、午後Tがいけるとおもってから、午後Uを勉強するでもいいと考えています。
[私がやったこと]
基本的に、午後Tと同じです。
以上です。なんとなく、合格する気分になりましたでしょうか?10月9日には間に合いませんが、これから合格しようと考えている人は是非試してみてください。
では、また!!!
| 2023年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
■情報処理安全確保支援士ドットコム
https://www.sc-siken.com/
■情報処理安全確保支援士本科生・本科生プラス(TAC)
https://www.tac-school.co.jp/kouza_joho/joho_crs_oc_siensi_hon.html
■情報処理安全確保支援士取得のすすめ〜情報処理安全確保支援士の必要性とその概要〜 [セキュリティ研究室]
https://fanblogs.jp/bahamuteve/archive/74/0?1662543737
■情報処理安全確保支援士取得のすすめ〜情報処理安全確保支援士試験の概要〜 [セキュリティ研究室]
https://fanblogs.jp/bahamuteve/archive/75/0?1662543737
2022年09月06日
初回ログイン後パスワード変更しなくていいの? [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
初回ログイン後パスワード変更しなくていいの?ではなくって、初回ログイン後のパスワードは変更しましょう!Softbankのルータの話です。
本日プロバイダーを変更しました。今までEditNetというプロバイダーを使用していたのですが、Softbankに変更しました。理由は、この間購入しましたPanasonicのテレビのため・・・。テレビを購入するに際し、プロバイダーを変更したらキャッシュバックがあると聞いたたため、ついつい変更してしまいました。
 | パナソニック|Panasonic 液晶テレビ VIERA(ビエラ) TH-49LX900 [49V型 /4K対応 /BS・CS 4Kチューナー内蔵 /YouTube対応 /Bluetooth対応] 価格:136,056円 |
9月4日に一式送られてくると聞いていたのですが、内容物を見て驚き・・・。ルータとその結線情報しか入っていません。実は、NTT関連のネットワークを使用していた多くの人は、これだけでSoftbankのネットワークに接続することができるのですが、1つ問題がありました。宅内配線です。
EditNetというプロバイダーはサーバを安くインターネット公開するという目的では非常に優秀なプロバイダーで、1カ月3,300円で公開することが可能です。しかも、逆引きをお願いすれば、何の制約もなくすぐに設定してくれます。ただ、ご存じの通り、公開するためのシステムを設計中ですし、旧システムはもう公開する予定もございません。そして、新システムの公開は早ければ、1年半後ですが、多分2年ぐらいかかります。そこで、しばらくは問題ないと考えて変更したのですが・・・・。
宅内配線を変えるのに、手順書のURLを教えていただいたのですが、そこに、ユーザIDとパスワードがそのまま記載されています。しかも、そのURLの所在を知っているのは一部の人なのですが、インターネット上に公開されています。
ようは、Softbankの全てのルータのパスワードが全く同じで、その情報がインターネット上に公開されているのです。しかも、多くのSoftbankユーザはルータの結線情報しかないため、パスワードが設定され、変更できるなんて知りません。そのため、手順書のURLを教えてくれた方に、問題ありませんか?と聞いたのですが、問題ないようです。理由は、詳しくは話していなかったのですが、同ルータに接続するのは難しいからでそうです。まっ、そうでしょう?技術的には難しく、難しい部分を乗り越えるハッカーは本当に一部の方だと思います。ただ、難しくない方法として、ソーシャルエンジニアリングとかありますしね・・・。オレオレ詐欺に引っかかる日本人を見ていると、難しいんじゃなくって、楽なような気もしますが???
初期パスワードはログイン後すぐに変更するというのが本来あるべき姿だと思うのですが・・・?
最後にソフトバンクの方に、内部で検討してくださいとお願いしましたが、それはなさそうです。
そのため、同内容をIPAに相談したところ、指導するのは業務外と返事が帰ってきました。現在、ワーニングは?っと聞いていますが、以前も疑問に思って、ブログに書きましたが、IPAって何のために存在するのでしょうね?
今回のセキュリティホールですが、以下のようなリスクがあります。
@ルーターの設定を勝手に変えられて何者かにタダ乗りされる
Aタダ乗りした者が自分のネット回線を使って犯罪行為を行う
B通信の内容が盗み見され、漏洩する
Cルーターに接続しているデバイスから写真や動画などが流出する
社会的に怖いのは、Aですかね?身元不明な社会的影響を与える攻撃が、実は自分の家のルータ経由だったっていうことはあるのかもしれません。
予定を変更し、今日あったことをブログにしました。この件に正義感をもってこのようなことをしているのではありません。私は利用者ではあるけれど、利害関係者ではありません。
以上の内容は、今まで聞いていたセキュリティ情報と相違があり、違和感を感じているためです。
しかるべき機関の公式な見解があれば納得します。納得できる内容だったらいいのですが・・・?
なお、最初にも書きましたが、初回ログイン後のパスワードは変更しましょう!Softbankにも優秀な方がいてその方々の見解なので、多分大丈夫だとは思うのですが、変更した方がよりリスクは低くなります。
 | 【新規契約】【当店よりさらに35,000円キャッシュバック】 SoftBank 光 ソフトバンク光 単体契約 送料無料 新品 WiFi 価格:1円 |
明日は、予定通り、❹情報処理安全確保支援士合格の最短方法についてお話したいと思います。IPAにちょっと、猜疑心を持たせたくせに、と思われるかもしれませんが、エンジニアにとり必要なセキュリティ情報を最短で手に入れる方法ですので、おつきあいください。
では、また!
■EditNet
https://www.editnet.ad.jp/
■ルーターのセキュリティは大丈夫?今チェックすべき5項目
https://jp.norton.com/internetsecurity-general-security-router-security.html
2022年09月05日
情報処理安全確保支援士取得のすすめ〜情報処理安全確保支援士試験の概要〜 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
今日は、昨日に引き続き、「情報処理安全確保支援士のすすめ」について、お話したいと思います。
| 2023年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
昨日は、❶❷について話ししましたが、今日は❸について話しましょう。
❶情報処理安全確保支援士取得の必要性
❷情報処理安全確保支援士概要
❸情報処理安全確保支援士試験の概要
❹情報処理安全確保支援士合格の最短方法
❸情報処理安全確保支援士試験の概要
情報処理安全確保支援士試験の概要について列記すると以下の通りです。
1)年2回実施されます
2)試験時間は合計300分です
3)午前T、午前U、午後T、午後Uという形で出題されます
4)合格レベルは、すべての科目で60%以上の正解率が求められます。
❸1)について、具体的にお話しすると、春4月と秋10月に実施されます。年二回あるので、ギリギリ落ちた人なら、半年待てば合格するチャンスがめぐってくることになります。
❸2)は、以下のような時間配分で出題されます。
午前T 50分
午前U 40分
午後T 90分
午後U 120分
❸3)4)について具体的に説明すると、
■午前T
・プロジェクトマネージャー試験
・データベーススペシャリスト試験
・エンベデッドシステムスペシャリスト試験
・システム監査技術者試験
と共通の試験で、システムエンジニアなら知っていると思われる、一般的な知識が求められるマークシート試験で60点以上で合格となります。
■午前U
セキュリティエンジニアになる人だったら知っているだろう基本的なレベルのマークシート試験で60点以上で合格となります。
■午後T
テーマが決まっている、セキュリティに関する記述式の問題で、より深いレべで技術的な知識及び運用的な部分を問われる試験問題です。問題が3問出題され、そのうち2問を選択しその合計で合格点が計算され、60点以上で合格となります。
■午後U
午後Tを複数の問題合せて解くような総合的な記述式問題です。2問出題され、そのうち1問を選択解答し、60点以上で合格となります。
だいたいどんな感じで出題されるかイメージできましたでしょうか?午前の問題は比較的解答しやすく、不合格になるということはほとんどありませんが、問題は午後になります。技術についてよく知っているからと言って受かるような試験ではなく、文章問題が不得意の人は合格するのが難しいです。私のような文章問題が苦手な人間も、合格しているので、普通のエンジニアら合格できると思います。ただ、一応努力はしました。
どんな努力をしたかについては、明日お話ししましょう!
では、また!!!
■【情報処理安全確保支援士資格取得のすすめ】
2022年09月04日
情報処理安全確保支援士取得のすすめ〜情報処理安全確保支援士の必要性とその概要〜 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
本日は、セキュリティ研究室から、昨日から引き続き、YouTubeで紹介しました「情報処理安全確保支援士のすすめ」についてお話したいと思います。
| 2023年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
内容としては、
❶情報処理安全確保支援士取得の必要性
❷情報処理安全確保支援士概要
❸情報処理安全確保支援士試験の概要
❹情報処理安全確保支援士合格の最短方法
と紹介させていただいていますが、今日は、前半の❶❷についてお話したいと思います。
❶情報処理安全確保支援士取得の必要性
今回、紹介するにあたり情報処理安全確保支援士を取得する必要性として、2点ご紹介しています。
1)自分のサーバーが踏み台攻撃にあった事件について
2)「従業員の失敗を会社がとるなんてナンセンス!!!」
項番❶1)は、自分の失敗談に触れ、セキュリティの知識がないとこんな失敗をしますよと例示的にお話しています。
項番❶2)については、実際に裁判になった事例で、セキュリティを無視し開発したシステムについて、依頼した顧客から会社が訴えられた時、会社側が会社には問題ないとした、会社の言い分をタイトルにしたものです。サムネイルのタイトルにも使用させていただいている文句です。システムは動けば合格というわけではなく、セキュリティも含めたトータルなサービスであり、その責任は従業員にも求められます。だから、セキュリティは重要で、できれば、情報処理安全確保支援士レベルの知識があれば、いいですよ!と紹介してます。
❷情報処理安全確保支援士とは?
情報処理安全確保支援士とはなんぞやということを動画にしています。
1)平成29年4月より新しく創設された、国家資格です
2)経済産業省の試験ワーキンググループでは、「情報処理安全確保支援士は、最新のセキュリティに関する知識・技能を備えた、高度かつ実践的人材に関する国家資格」と定義づけをしています
3)主宰は、独立法人IPAです
4)合格者の認定は経済産業大臣が行います
5)レベル4の最高難関の資格試験です
6)年2回実施されます
7)午前T、午前U、午後T、午後Uという形で出題されます
8)試験時間は合計300分です
以上です。
セキュリティについては、2004年から自宅でシステムをゼロから作り、❶1)のような事があってから、日常的に触れていたので、日常的には、取得前と取得後は、何の変化もありません。世間的にも「情報処理安全確保支援士」と履歴書に書いたからと言って、企業からのスカウトの内容が変わったかというとあまり変わっていないようです。セキュリティは、社会的にまだ認知されておらず、コストの位置づけでしかないことが、その対応からうかがい知ることができます。
ただ、一昨年からハッカーからの攻撃の脅威が強まり、今後変化があるかもしれません。しかも、システムを作るということに関しては、非常に重要なので、勉強する意義はあります。がんばって取得しましょう!
今日はこの辺で!この続きはまた明日!
では、また!
■【情報処理安全確保支援士資格取得のすすめ】
2022年09月03日
【情報処理安全確保支援士】 オンライン講座を受講し終えて [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
8月31日に、情報処理安全確保支援士のオンライン講座をすべて終えることができました。いろいろ書きましたが、いろいろやっていて悩む部分も多く、以下の手順で実施しました。
 | 2022年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
1)すべての資料のダウンロード
2)講座を受講
3)テストの実施
4)アンケートの記入
5)資料の見直し
4)のアンケートの記入を終えると、受講証明書が表示され、
これで完了になるようです。情報処理安全確保支援士のサイトにログインしてみると、受講履歴を見てみると、「修了」となっており、各テストが「合格」と表示されています。情報処理安全確保支援士の合格を目指していた時と、勉強した内容と方向性が違ったので、ちょっと、戸惑った部分はありましたが、非常に勉強になりました。講座では表面上の勉強になってしまったので、これから、ダウンロードした各資料を見直しながら、同資料を熟読していきたいと思います。今回のオンライン講座で特筆すべきことがあるとしたら、テストですかね?情報処理安全確保支援士に合格したという気負いもありましたし、たった各単元5問しかないので、一発で合格しようとしたのですが、一発で合格したのは単元1〜6のうち、単元2だけでした。
最初、該当する全て選べという問題の、[全て]という文字を見落とし、???っということまりましたが、こういう問題の形式で、IPAの試験は受験したことはなかったので、面くらいました。このテスト、全問正解しないと合格にならないのですが、意外と間違えます。単元5だったような気がしますが、4回やり直してやっと合格になりました。間違えたやり直しの問題が、そのまま出題されるなら、そんなに難しくはないのですが、違う問題も出題されます。単元4、5は、資料を見返したぐらいです。難しいと話していた人がインターネット上でいましたが、なんで、難しいか理解ができました。
一応9月30日まで期限があった、オンライン講座ですが、8月31日にやり終えたのですが、ダラダラやっていて、他の作業、勉強に差支えがあるということと同時に、期限があるものはできるだけ早くやり終えたいという気持ちで、1カ月前にやり終えました。これから、資料の見直しをするのですが、その中で、ご紹介できるような内容というか、公開されている情報なので、公開できると思うのですが、同情報でみなさんに知っていいただきたいものがありましたら、このブログで紹介していきたいと思います。
情報処理安全確保支援士に合格し、オンライン講座を受講してみて、やっぱり受かってよかったなと感じています。
技術者のみなさんなら、受かると思いますので、是非一度受験してみてください。
| 2022年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
不合格でも、覚えたことは業務に役立ちますし、発言が変わります。YouTubeで「情報処理安全確保支援士資格取得のすすめ」という動画も作っていますので、その動画で、どのような試験なのか知ることができます。加えてセキュリティの重要性も切迫感をもって理解できると思いますので、是非ご覧ください。
では、また!
■【情報処理安全確保支援士資格取得のすすめ】[セキュリティ研究室]
2022年08月15日
情報処理安全確保支援士 オンライン講習 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
システム監査技術者試験の勉強を本格的にし始めてから、情報処理安全確保支援士の勉強がなかなか進みませんが、今月いっぱいで終わらせるようにスケジューリングして頑張っています。
中の勉強を見ると、監査に関する項目もあり、現在しているシステム監査技術者試験でも役に立ちそうな情報も入っているので、試験に無駄ということにはならないようです。
システム的な監査には、二種類あり、システム監査と、情報セキュリティ監査があります(監査という意味では、他に会計監査や業務監査などがあります)。現在、オンラインで勉強をしているのは、情報セキュリティ監査なのですが、システム監査と、手法という意味では重なる点が多く、その手法について、詳しく勉強でき、そして、それに関するいろいろな情報を提供している組織などにも触れることができ、非常に助かっています。試験の時は技術的な部分が大きかったのですが、このオンライン学習では、情報セキュリテイ監査がメインといっていいかもしれません。
そのような中記述の中で、注意喚起を促すという部分にも多くのページをさいています。
IPAとか、JPCERT/CCなどは、情報処理安全確保支援士で勉強している人なら当然触れているとは思うのですが、面白いと思ったのは、警察庁も情報セキュリティに関する情報を流しています。当然、不正アクセスとか、機密情報を盗むとかは、犯罪なので、このような情報を扱うのは当然なのですが、違和感を感じました。なぜなら、警察って事件にならないと動かないから、事件になっていない、事前の情報を発信してるのを見て、今までと体制が変わったのかなと思わせます。オレオレ詐欺みたいな部分でも積極的に防止策などをながしていますしね・・・。
アメリカで銃乱射事件とか頻発していますが、殺人事件は、以前聞いた情報では、10分に1度発生し、アメリカの警察官は常に、命の危険にさらされています。そのため、交通事故なんていう事件は、1人の警察官がきて処理をするそうです。そんなアメリカからしたら犯罪件数が少なく、聞いている話の範囲内では、日本の方が給料がかなり高く、かつ、仕事の仕方を見ると、人的にかなり余裕があるように見えます。だったら、事前の対策にも、もっと踏み込んでやってほしいです。
以前の話になりますが、ストーカー殺人事件がありましたが、対策をもっとしっかりやっていれば、防げた犯罪です。ストーカー殺人は、情報セキュリティとは違いますが、いろいろな方面での事前の対応をお願いしたいと思います。
今回勉強して、初めて知った情報として、公開日一致の原則というルールがセキュリティ業界にあるそうです。無断転載禁止とかいろいろ書いてあるので、話しづらいのですが、いただいた資料には、IPA、JPCERT/CCなどが記載されています。多分、警察庁も同じ扱いになるのでしょうね?だから、事案が発生して、その事案を分析、調査して、対策案ができてから、情報公開日を決める。そして、情報公開日に各機関が一斉に情報を公開するといった感じになるのでしょうか?私は資料から、そのように理解しました。理解が違っていたら申し訳ございません。
なぜ、公開日一致の原則なるものがあるかも書いてありますが、それについては、また後日お話ししましょう。
いろいろなサイトに触れて、セキュリティに関するシステムも作らないといけないと思っていましたが、この情報を信じるなら、IPAのサイトだけを見ていれば、大丈夫っていうことになるのでしょうか?
まっ、ちょっと、普段から複数のサイトに注意を払って、更新状況を見ていきたいと思います。
では、また!
・IPA
https://www.ipa.go.jp/security/announce/20191202.html
・JPCERT/CC
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
・警察庁
https://www.npa.go.jp/cyberpolice/
ナビゲータのEVEです。
システム監査技術者試験の勉強を本格的にし始めてから、情報処理安全確保支援士の勉強がなかなか進みませんが、今月いっぱいで終わらせるようにスケジューリングして頑張っています。
中の勉強を見ると、監査に関する項目もあり、現在しているシステム監査技術者試験でも役に立ちそうな情報も入っているので、試験に無駄ということにはならないようです。
システム的な監査には、二種類あり、システム監査と、情報セキュリティ監査があります(監査という意味では、他に会計監査や業務監査などがあります)。現在、オンラインで勉強をしているのは、情報セキュリティ監査なのですが、システム監査と、手法という意味では重なる点が多く、その手法について、詳しく勉強でき、そして、それに関するいろいろな情報を提供している組織などにも触れることができ、非常に助かっています。試験の時は技術的な部分が大きかったのですが、このオンライン学習では、情報セキュリテイ監査がメインといっていいかもしれません。
そのような中記述の中で、注意喚起を促すという部分にも多くのページをさいています。
IPAとか、JPCERT/CCなどは、情報処理安全確保支援士で勉強している人なら当然触れているとは思うのですが、面白いと思ったのは、警察庁も情報セキュリティに関する情報を流しています。当然、不正アクセスとか、機密情報を盗むとかは、犯罪なので、このような情報を扱うのは当然なのですが、違和感を感じました。なぜなら、警察って事件にならないと動かないから、事件になっていない、事前の情報を発信してるのを見て、今までと体制が変わったのかなと思わせます。オレオレ詐欺みたいな部分でも積極的に防止策などをながしていますしね・・・。
アメリカで銃乱射事件とか頻発していますが、殺人事件は、以前聞いた情報では、10分に1度発生し、アメリカの警察官は常に、命の危険にさらされています。そのため、交通事故なんていう事件は、1人の警察官がきて処理をするそうです。そんなアメリカからしたら犯罪件数が少なく、聞いている話の範囲内では、日本の方が給料がかなり高く、かつ、仕事の仕方を見ると、人的にかなり余裕があるように見えます。だったら、事前の対策にも、もっと踏み込んでやってほしいです。
以前の話になりますが、ストーカー殺人事件がありましたが、対策をもっとしっかりやっていれば、防げた犯罪です。ストーカー殺人は、情報セキュリティとは違いますが、いろいろな方面での事前の対応をお願いしたいと思います。
今回勉強して、初めて知った情報として、公開日一致の原則というルールがセキュリティ業界にあるそうです。無断転載禁止とかいろいろ書いてあるので、話しづらいのですが、いただいた資料には、IPA、JPCERT/CCなどが記載されています。多分、警察庁も同じ扱いになるのでしょうね?だから、事案が発生して、その事案を分析、調査して、対策案ができてから、情報公開日を決める。そして、情報公開日に各機関が一斉に情報を公開するといった感じになるのでしょうか?私は資料から、そのように理解しました。理解が違っていたら申し訳ございません。
なぜ、公開日一致の原則なるものがあるかも書いてありますが、それについては、また後日お話ししましょう。
いろいろなサイトに触れて、セキュリティに関するシステムも作らないといけないと思っていましたが、この情報を信じるなら、IPAのサイトだけを見ていれば、大丈夫っていうことになるのでしょうか?
まっ、ちょっと、普段から複数のサイトに注意を払って、更新状況を見ていきたいと思います。
では、また!
・IPA
https://www.ipa.go.jp/security/announce/20191202.html
・JPCERT/CC
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
・警察庁
https://www.npa.go.jp/cyberpolice/
2022年08月12日
情報処理安全確保支援士ドットコム [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
今日のこの時間は、情報処理安全確保支援士ドットコムというサイトについて紹介したいと思います。このサイト、私が、情報処理安全確保支援士試験に合格するのに、大変たすかったサイトです。
情報処理安全確保支援士の試験について深く知ることができました。一般ユーザに提供されているシステムは、午前T、Uとあるのですが、基本午前Uをメインにその機能を提供しています。
情報処理安全確保支援士は、試験が、午前T、午前U、午後T、午後Uと4つの分野に分かれており、そのうちの午前T、午前Uをサポートしてくれています。このサイトで毎日問題を解き、その解説を読むことにより、かなりの実力が付きました。
私が、情報処理安全確保支援士試験に合格した半分はこのサイトのおかげです。本を見ながら問題を解くのと違い、システムで解くその手法は、気軽に反復して学ぶことができ短期間で合格レベルまで達することができました。そして、以前どこが間違えていて、自分がどこが弱いのか一目で分かり、その分野を中心に勉強ができるといったメリットもあります。
半分はこのサイトのおかげといいましたが、午前T、午前Uが合格するレベルに、短期間でなることができれば、あと私の苦手な午後の試験に集中することができるのです。
現在、システム監査技術者試験の勉強をし、同じようなサイトを利用しているのですが、ここまで洗練し、ハイレベルのサイトがありません。ただ、まっ、無償で提供してくれているので、文句は言えないのですが、そんなサイトを利用していると、情報処理安全確保支援士ドットコムが懐かしいです。
現在もセキュリティ研究室から午前Uの問題を解説するときに、このサイトを解きながら、独り言をいうようにテロップという形で情報を提供しています。最初はぎこちなかった動画ですが、新しくなればなるほど、できがよくなっていると思うので、受験の参考としてください。情報処理安全確保支援士ドットコムでは提供していない情報も提供させていただいています。問題を解いた最後には、自分が間違えた問題をなんで間違えたのか考察を交えて、解説しています。
もしかしたら、解いている最中の部分より、最後の解説の方が役に立つかもしれません。最初の方に目次があるので、目次でお好みの箇所からご覧ください。
なんて、合格してからもお世話になっているサイトですが、情報処理安全確保支援士を受験しようと考えている人は是非お役立てください。短期で半分だけでも合格できるレベルになるって非常にメリットが大きいですよ!
それと、姉妹サイトに、
・ITパスポート試験ドットコム
・情報セキュリティマネジメント試験ドットコム
・基本情報技術者試験ドットコム
・応用情報技術者試験ドットコム
・ネットワークスペシャリストドットコム
・データベーススペシャリストドットコム
・プロジェクトマネージャ試験ドットコム
などがあります。利用したことはありませんが、情報処理安全確保支援士ドットコムのクオリティから想像すると、かなりレベルが高いと思いますので、併せてご利用をご検討ください。
なお、本サイトは、私とは全く関係のないサイトなので、その点はご承知ください。ただ、素晴らしいサイトなので紹介させていただいています。
今日のこの時間は、この辺で!
では、また!!!
■情報処理安全確保支援士ドットコム
https://www.sc-siken.com/
■平成24年春 情報処理安全確保支援士試験 午前U解説
ナビゲータのEVEです。
今日のこの時間は、情報処理安全確保支援士ドットコムというサイトについて紹介したいと思います。このサイト、私が、情報処理安全確保支援士試験に合格するのに、大変たすかったサイトです。
情報処理安全確保支援士の試験について深く知ることができました。一般ユーザに提供されているシステムは、午前T、Uとあるのですが、基本午前Uをメインにその機能を提供しています。
情報処理安全確保支援士は、試験が、午前T、午前U、午後T、午後Uと4つの分野に分かれており、そのうちの午前T、午前Uをサポートしてくれています。このサイトで毎日問題を解き、その解説を読むことにより、かなりの実力が付きました。
私が、情報処理安全確保支援士試験に合格した半分はこのサイトのおかげです。本を見ながら問題を解くのと違い、システムで解くその手法は、気軽に反復して学ぶことができ短期間で合格レベルまで達することができました。そして、以前どこが間違えていて、自分がどこが弱いのか一目で分かり、その分野を中心に勉強ができるといったメリットもあります。
半分はこのサイトのおかげといいましたが、午前T、午前Uが合格するレベルに、短期間でなることができれば、あと私の苦手な午後の試験に集中することができるのです。
現在、システム監査技術者試験の勉強をし、同じようなサイトを利用しているのですが、ここまで洗練し、ハイレベルのサイトがありません。ただ、まっ、無償で提供してくれているので、文句は言えないのですが、そんなサイトを利用していると、情報処理安全確保支援士ドットコムが懐かしいです。
現在もセキュリティ研究室から午前Uの問題を解説するときに、このサイトを解きながら、独り言をいうようにテロップという形で情報を提供しています。最初はぎこちなかった動画ですが、新しくなればなるほど、できがよくなっていると思うので、受験の参考としてください。情報処理安全確保支援士ドットコムでは提供していない情報も提供させていただいています。問題を解いた最後には、自分が間違えた問題をなんで間違えたのか考察を交えて、解説しています。
もしかしたら、解いている最中の部分より、最後の解説の方が役に立つかもしれません。最初の方に目次があるので、目次でお好みの箇所からご覧ください。
なんて、合格してからもお世話になっているサイトですが、情報処理安全確保支援士を受験しようと考えている人は是非お役立てください。短期で半分だけでも合格できるレベルになるって非常にメリットが大きいですよ!
それと、姉妹サイトに、
・ITパスポート試験ドットコム
・情報セキュリティマネジメント試験ドットコム
・基本情報技術者試験ドットコム
・応用情報技術者試験ドットコム
・ネットワークスペシャリストドットコム
・データベーススペシャリストドットコム
・プロジェクトマネージャ試験ドットコム
などがあります。利用したことはありませんが、情報処理安全確保支援士ドットコムのクオリティから想像すると、かなりレベルが高いと思いますので、併せてご利用をご検討ください。
なお、本サイトは、私とは全く関係のないサイトなので、その点はご承知ください。ただ、素晴らしいサイトなので紹介させていただいています。
今日のこの時間は、この辺で!
では、また!!!
■情報処理安全確保支援士ドットコム
https://www.sc-siken.com/
■平成24年春 情報処理安全確保支援士試験 午前U解説
2022年08月08日
情報処理安全確保支援士 オンライン講習 7日目 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
昨日、夕方のブログをアップロードしてから、今後数年間の方針について考えてみました。
・オンライン学習の履歴を3年間保存する。4年以上になった場合古いものから削除する
・「情報セキュリティサービス基準」といったマスターとして管理すべき冊子については、 年度をまたいで、一元的に管理する。
なんて、考えて、昨日はあれから、すべてのPDFを1つのフォルダに移して、重複する資料は削除し、資料を整理しました。作業をやってみて、思ったより重複している資料がないのには驚きましたね・・・。ダウンロードしている最中は、またか・・・っと思っていたんですが、気のせいだったようです。
整理した資料は全部で200以上・・・。チェックシートといったもののほとんどはExcelとなっているので、それはまだ、整理していませんが、ちょっとマスターとしては多いようです。多分、教える側からするとすべて重要で、理解してほしいため資料として指定していると思います。その意図を組んで整理したいと思います。
現在、最初から順を追って資料に目を通していたのですが、情報処理安全確保支援士試験午前Uで何気に問題として出ていた資料がたくさんあります。それと説明の本文とリンクして読んでいますが、こんなに重要だったんですか???っていう感じです。午前Uの問題を解いているときは、このレベルで重要性を感じることができませんでした。
という言い訳をしながら、今日紹介できる気になった情報について紹介しましょう。
それは、「情報セキュリティの10大脅威2021」です。これは、年次で紹介されている統計で、すべての人が見ることができます。
■報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html
個人は、順位を見ると、スマホ決済の不正利用が相変わらず多いですね・・・。一時、ゆう貯とか、Docomoが、やっちゃいましたという報道があったのですが、近頃聞いていないにもかかわらず被害件数が多いようです。もう、不正をされるのが日常となっているので、ニュースにもならないといったところでしょうか?
続いては、フィッシング詐欺、ネット上の誹謗・中傷・デマと続きます。
組織の順位を見ると、こちらは、直近に盛んに報道されていた、ランサムウェアによる被害が多いようです。情報処理安全確保支援士的には、交渉してはいけないとされていると思うのですが、実際のところ実は、犯人グループと交渉している組織もあるそうです。但し、交渉しデータが元の状態になるかというと、そうでない組織もあるとのこと・・・。テロリストの話になりますが、情報処理安全確保支援士のテキストと同様に、一度交渉に応じると被害が拡大するから交渉には応じるなと言われていますが、この場合はどうなのでしょうか?もし、被害にあった場合、難しい判断を求められるようです。とどのつまり、事前にバックアップをきちんととり、そのバックアップを正しい運用で管理するということが重要なようです。
その後には、標的型攻撃が続き、3位にNewとして、テレワークが狙われているようです。このコロナ下テレワークをしないという判断はあり得ませんから、この3位は考えモノですね・・・。以前テレビ報道されたものだと、テレワークのシステムの脆弱性を利用されたという話もありましたが、3位に入ってくるということはそれだけではないと思われます。どんな状況で攻撃されたのか、ちょっと知りたいですね・・・。
ってな感じで、10位まで紹介されているので、ご確認ください。以前情報処理安全確保支援士のYouTubeの動画でも紹介しましたが、攻撃を知ったらその防御方法を調べるというのは鉄則です。特に情報システム部の方はがんばってください。
この時間はこの辺で・・・。
では、また!!!
ナビゲータのEVEです。
昨日、夕方のブログをアップロードしてから、今後数年間の方針について考えてみました。
・オンライン学習の履歴を3年間保存する。4年以上になった場合古いものから削除する
・「情報セキュリティサービス基準」といったマスターとして管理すべき冊子については、 年度をまたいで、一元的に管理する。
なんて、考えて、昨日はあれから、すべてのPDFを1つのフォルダに移して、重複する資料は削除し、資料を整理しました。作業をやってみて、思ったより重複している資料がないのには驚きましたね・・・。ダウンロードしている最中は、またか・・・っと思っていたんですが、気のせいだったようです。
整理した資料は全部で200以上・・・。チェックシートといったもののほとんどはExcelとなっているので、それはまだ、整理していませんが、ちょっとマスターとしては多いようです。多分、教える側からするとすべて重要で、理解してほしいため資料として指定していると思います。その意図を組んで整理したいと思います。
現在、最初から順を追って資料に目を通していたのですが、情報処理安全確保支援士試験午前Uで何気に問題として出ていた資料がたくさんあります。それと説明の本文とリンクして読んでいますが、こんなに重要だったんですか???っていう感じです。午前Uの問題を解いているときは、このレベルで重要性を感じることができませんでした。
という言い訳をしながら、今日紹介できる気になった情報について紹介しましょう。
それは、「情報セキュリティの10大脅威2021」です。これは、年次で紹介されている統計で、すべての人が見ることができます。
■報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html
個人は、順位を見ると、スマホ決済の不正利用が相変わらず多いですね・・・。一時、ゆう貯とか、Docomoが、やっちゃいましたという報道があったのですが、近頃聞いていないにもかかわらず被害件数が多いようです。もう、不正をされるのが日常となっているので、ニュースにもならないといったところでしょうか?
続いては、フィッシング詐欺、ネット上の誹謗・中傷・デマと続きます。
組織の順位を見ると、こちらは、直近に盛んに報道されていた、ランサムウェアによる被害が多いようです。情報処理安全確保支援士的には、交渉してはいけないとされていると思うのですが、実際のところ実は、犯人グループと交渉している組織もあるそうです。但し、交渉しデータが元の状態になるかというと、そうでない組織もあるとのこと・・・。テロリストの話になりますが、情報処理安全確保支援士のテキストと同様に、一度交渉に応じると被害が拡大するから交渉には応じるなと言われていますが、この場合はどうなのでしょうか?もし、被害にあった場合、難しい判断を求められるようです。とどのつまり、事前にバックアップをきちんととり、そのバックアップを正しい運用で管理するということが重要なようです。
その後には、標的型攻撃が続き、3位にNewとして、テレワークが狙われているようです。このコロナ下テレワークをしないという判断はあり得ませんから、この3位は考えモノですね・・・。以前テレビ報道されたものだと、テレワークのシステムの脆弱性を利用されたという話もありましたが、3位に入ってくるということはそれだけではないと思われます。どんな状況で攻撃されたのか、ちょっと知りたいですね・・・。
ってな感じで、10位まで紹介されているので、ご確認ください。以前情報処理安全確保支援士のYouTubeの動画でも紹介しましたが、攻撃を知ったらその防御方法を調べるというのは鉄則です。特に情報システム部の方はがんばってください。
この時間はこの辺で・・・。
では、また!!!
2022年08月07日
情報処理安全確保支援士 オンライン講習6日目 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
ちょっと、情報処理安全確保支援士 オンライン講習の勉強の仕方を変えました。
まず、パワーポイント風の資料を見ながら、各資料の繋がりを図式化し、その作業をする一方で、資料が後で見て役に立つモノかどうか判断し、なっていなければ修正していきます。
そして、ダウンロードした資料はその図式化した資料を見ながら、必要な資料は全て目を通し、そして、各単元ごとにテストをするという方法です。
最初ただ読んだだけだったのですが、知っている情報だよな・・・って感じで、漠然と読んで終わってしまっていました。ただ、図式化し、この資料とこの資料はこう繋がって、こんなことを言いたいんだなということを考えながら学習していくとまた違ったことが見えてきます。
その中で、ダウンロードした資料は、行間を埋める形になるのでしょう?そして、覚えたかどうかテストで確認するという感じです。
それほど、頭のスペックがいいと思っていないので、単元6やり終えた後、単元1を覚えているかというと、やはり、単元1を勉強した当時より忘れている部分があると思われますし・・・。そのために、今回学習した資料を体系立てて残しています。そして、どこにどんなことが書かれているということさえ、しっかり覚えてさえおけば、ここにこんなことが書かれていたなと、資料を見ながら思い返すことができます。そのための資料です。
そんなこんなで、現在、パワーポイント風の資料に目を通しながら、各資料の関係図を作成中です。今日は、日曜日ということで、起きる時間も遅く、ちょっと、進捗が少ないですが、実のある形で早めに勉強を終わらせます。
それと、先月、田舎に行って睡眠時間を元に戻そうと思っていたのですが、結局大都会に戻ってきたら、夜更かし状態が続いており、昼間眠い状況が続いています。都会の雑音がうるさいということもあるのですが、それよりも暑さの方が応えているようです。クーラーをつけると寒いし、付けないと暑いし、クーラーがついているから布団を掛けると暑いし、取ると寒いしと、ちょうどいい感じで寝ることができません。
田舎って、音がなくてよく寝れるという話をしましたが、この時期気温もちょうどいいんですよね?場所にもよると思うのですが、山林に囲まれたちょっと高い山奥ならこの時期でもクーラーは必要はありません。大の字になって寝れるあの雰囲気本当に好きです。ただ、いろいろ不便ですしね・・・。長期間住むのは難しいかもしれません。
ただ、田舎で仕事ができる状況になったら、検討をしたいと思います。なんて、現在は考えています。
この時間は、この辺で!
では、また!
ナビゲータのEVEです。
ちょっと、情報処理安全確保支援士 オンライン講習の勉強の仕方を変えました。
まず、パワーポイント風の資料を見ながら、各資料の繋がりを図式化し、その作業をする一方で、資料が後で見て役に立つモノかどうか判断し、なっていなければ修正していきます。
そして、ダウンロードした資料はその図式化した資料を見ながら、必要な資料は全て目を通し、そして、各単元ごとにテストをするという方法です。
最初ただ読んだだけだったのですが、知っている情報だよな・・・って感じで、漠然と読んで終わってしまっていました。ただ、図式化し、この資料とこの資料はこう繋がって、こんなことを言いたいんだなということを考えながら学習していくとまた違ったことが見えてきます。
その中で、ダウンロードした資料は、行間を埋める形になるのでしょう?そして、覚えたかどうかテストで確認するという感じです。
それほど、頭のスペックがいいと思っていないので、単元6やり終えた後、単元1を覚えているかというと、やはり、単元1を勉強した当時より忘れている部分があると思われますし・・・。そのために、今回学習した資料を体系立てて残しています。そして、どこにどんなことが書かれているということさえ、しっかり覚えてさえおけば、ここにこんなことが書かれていたなと、資料を見ながら思い返すことができます。そのための資料です。
そんなこんなで、現在、パワーポイント風の資料に目を通しながら、各資料の関係図を作成中です。今日は、日曜日ということで、起きる時間も遅く、ちょっと、進捗が少ないですが、実のある形で早めに勉強を終わらせます。
それと、先月、田舎に行って睡眠時間を元に戻そうと思っていたのですが、結局大都会に戻ってきたら、夜更かし状態が続いており、昼間眠い状況が続いています。都会の雑音がうるさいということもあるのですが、それよりも暑さの方が応えているようです。クーラーをつけると寒いし、付けないと暑いし、クーラーがついているから布団を掛けると暑いし、取ると寒いしと、ちょうどいい感じで寝ることができません。
田舎って、音がなくてよく寝れるという話をしましたが、この時期気温もちょうどいいんですよね?場所にもよると思うのですが、山林に囲まれたちょっと高い山奥ならこの時期でもクーラーは必要はありません。大の字になって寝れるあの雰囲気本当に好きです。ただ、いろいろ不便ですしね・・・。長期間住むのは難しいかもしれません。
ただ、田舎で仕事ができる状況になったら、検討をしたいと思います。なんて、現在は考えています。
この時間は、この辺で!
では、また!
タグ:オンライン講習
2022年08月06日
情報処理安全確保支援士 オンライン講習5日目 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
今日のこの時間は、数日報告していなかった、情報処理安全確保支援士のオンライン講座の資料のダウンロード状況について業務報告をしたいと思います。報告しなかったのは、8月4日10:00〜16:00までシステムが停止していて作業ができなかったということもあり、思った進捗がなかったからです(案内を忘れていました)。そんなこんなで、昨日、今日で作業が完了しまして見た目すべての資料のダウンロードが完了しました。進捗1日遅れです。
■各単元のダウンロードしたファイル容量
単元1 110M弱
単元2 135M弱
単元3 90M弱
単元4 50M弱
単元5 45M弱
単元6 172M弱
一番大変だったのが、単元6でしたね・・・。海外のサイトの参照も多く、ダウンロードする資料がたくさんありました。ダウンロードしていて気になったのは、日本のセキュリティ業界の標準を作っていると思っていたIPAなのに、外部の参照が多いこと・・・。最近の攻撃とかいったところは、関連会社から情報を取得するという部分はあると思っていましたが、ちょっと、予想が外れていました。IPAの組織の概要を見ると、
「IPAは、絶え間なく進化するIT社会の潮流や技術動向を広い視野で捉え、社会課題の解決や産業の発展につながる指針を示していくとともに、情報セキュリティ対策の強化や、優れたIT人材を育成するための活動に取り組み、安全で利便性の高い“頼れるIT社会”の実現に貢献してまいります。」
まっ、ありきたりの文句ですよね?その他にIPAの仕事の内容について書かれているページを見つけることができず、改めて、今更ですが、どんな組織だっけ?と疑問を持った作業最終日でした。
作業の途中で、そういえばこんな団体があって、こんな資料ほしかったんだよな〜♪という情報も入手でき、明日から有意義な期間になりそうです。
最初オンライン講習の内容が分からず、作業内容を決めてから始めたことなのですが、このような作業は、本来全て目を通してから、作業内容を決めるべきでした。ちょっと、サラリーマンから遠ざかり、仕事の仕方を忘れているようです。また思い出しますか?いろいろ作業も入ってくる予定なので・・・。
これから、ダウンロードした資料が後日見て分かる内容になっているかどうか吟味しながら、資料の内容を覚えていきます。そして、公開できそうないい情報がありましたら、このブログで紹介していきますので、しばらくお待ちください。
この時間は、これで!
ナビゲータのEVEです。
今日のこの時間は、数日報告していなかった、情報処理安全確保支援士のオンライン講座の資料のダウンロード状況について業務報告をしたいと思います。報告しなかったのは、8月4日10:00〜16:00までシステムが停止していて作業ができなかったということもあり、思った進捗がなかったからです(案内を忘れていました)。そんなこんなで、昨日、今日で作業が完了しまして見た目すべての資料のダウンロードが完了しました。進捗1日遅れです。
■各単元のダウンロードしたファイル容量
単元1 110M弱
単元2 135M弱
単元3 90M弱
単元4 50M弱
単元5 45M弱
単元6 172M弱
一番大変だったのが、単元6でしたね・・・。海外のサイトの参照も多く、ダウンロードする資料がたくさんありました。ダウンロードしていて気になったのは、日本のセキュリティ業界の標準を作っていると思っていたIPAなのに、外部の参照が多いこと・・・。最近の攻撃とかいったところは、関連会社から情報を取得するという部分はあると思っていましたが、ちょっと、予想が外れていました。IPAの組織の概要を見ると、
「IPAは、絶え間なく進化するIT社会の潮流や技術動向を広い視野で捉え、社会課題の解決や産業の発展につながる指針を示していくとともに、情報セキュリティ対策の強化や、優れたIT人材を育成するための活動に取り組み、安全で利便性の高い“頼れるIT社会”の実現に貢献してまいります。」
まっ、ありきたりの文句ですよね?その他にIPAの仕事の内容について書かれているページを見つけることができず、改めて、今更ですが、どんな組織だっけ?と疑問を持った作業最終日でした。
作業の途中で、そういえばこんな団体があって、こんな資料ほしかったんだよな〜♪という情報も入手でき、明日から有意義な期間になりそうです。
最初オンライン講習の内容が分からず、作業内容を決めてから始めたことなのですが、このような作業は、本来全て目を通してから、作業内容を決めるべきでした。ちょっと、サラリーマンから遠ざかり、仕事の仕方を忘れているようです。また思い出しますか?いろいろ作業も入ってくる予定なので・・・。
これから、ダウンロードした資料が後日見て分かる内容になっているかどうか吟味しながら、資料の内容を覚えていきます。そして、公開できそうないい情報がありましたら、このブログで紹介していきますので、しばらくお待ちください。
この時間は、これで!
タグ:オンライン講習
2022年08月03日
情報処理安全確保支援士 オンライン講習3日目 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
情報処理安全確保支援士試験 オンライン講習3日目・・・。
ひたすら、ページからリンクされたデータをダウンロードしています。ほぼページを読むことなく作業と化しています。作業が完了している単元の容量は以下のような感じです。
単元1 110M弱
単元2 135M弱
単元3 90M弱
途中でやめようかという心理状態にもなりましたが、始めたことって最後までやらないと気が済まない性格です。多分、明日、明後日で、この作業が終わるので我慢してやりたいと思います。
作業をしていて、同じ資料を何回かダウンロードしていることに気付きます。まっ、ダウンロードする奴がいるとは思っていないので、参照用としてリンクを付けているんだと思います。下記のページ数の感じから、1頁1分として考えて、1単元1時間、それが、6単元あるから6時間を想定しているんだと思いますが、それにしては、IPAの資料に加えて、その他の団体の資料などリンクをつけすぎです。リンクがついているから読まなければならないという義務感が生じますが、多いものだと100頁近いモノもあるようで多分全部読むことは想定していないし、やる必要はないと思います。
ただ、個人的に興味がある資料があり、そこについては、全部の作業をやり、全てのページを読んで、そして、テストを終えてから、その分野の深堀をし、リポートしたいと思います。今日作業をしていて、感じたのは、とりあえずやり終えることが大事だと感じました。
【各単元のページ数】
単元1 70頁
単元2 50頁
単元3 62頁
単元4 50頁
単元5 55頁
単元6 47頁
それと、作業をしていて、気になったのが、セキュリティに関する団体が非常に多いということです。仕事の内容まで踏み込んでまだ見ていませんが、こんなに団体が必要なのかな〜っと、その数に驚きながら作業をしています。
今後の作業の予定としては、とりあえず、資料の正確性を確認しながら、オンライン講習を終えて、その後テストを受けて今週中には、講習を終えたいと思います。
コツは分かったので、来年からは、講習を受けれるようになった段階で、できるだけ早い段階で受講したいと思います。
来年は、どんな内容になるのか楽しみなのですが、セキュリティの最新情報以外は毎年同じなんじゃないかな〜っと、想像してみましたが、いかがでしょうか?多分、来年以降は、重複する部分はやる気はないので、ほとんど作業をする必要は無くなると思います。
ちょっと、短いですがこの時間はこの辺で!
では、また!
ナビゲータのEVEです。
情報処理安全確保支援士試験 オンライン講習3日目・・・。
ひたすら、ページからリンクされたデータをダウンロードしています。ほぼページを読むことなく作業と化しています。作業が完了している単元の容量は以下のような感じです。
単元1 110M弱
単元2 135M弱
単元3 90M弱
途中でやめようかという心理状態にもなりましたが、始めたことって最後までやらないと気が済まない性格です。多分、明日、明後日で、この作業が終わるので我慢してやりたいと思います。
作業をしていて、同じ資料を何回かダウンロードしていることに気付きます。まっ、ダウンロードする奴がいるとは思っていないので、参照用としてリンクを付けているんだと思います。下記のページ数の感じから、1頁1分として考えて、1単元1時間、それが、6単元あるから6時間を想定しているんだと思いますが、それにしては、IPAの資料に加えて、その他の団体の資料などリンクをつけすぎです。リンクがついているから読まなければならないという義務感が生じますが、多いものだと100頁近いモノもあるようで多分全部読むことは想定していないし、やる必要はないと思います。
ただ、個人的に興味がある資料があり、そこについては、全部の作業をやり、全てのページを読んで、そして、テストを終えてから、その分野の深堀をし、リポートしたいと思います。今日作業をしていて、感じたのは、とりあえずやり終えることが大事だと感じました。
【各単元のページ数】
単元1 70頁
単元2 50頁
単元3 62頁
単元4 50頁
単元5 55頁
単元6 47頁
それと、作業をしていて、気になったのが、セキュリティに関する団体が非常に多いということです。仕事の内容まで踏み込んでまだ見ていませんが、こんなに団体が必要なのかな〜っと、その数に驚きながら作業をしています。
今後の作業の予定としては、とりあえず、資料の正確性を確認しながら、オンライン講習を終えて、その後テストを受けて今週中には、講習を終えたいと思います。
コツは分かったので、来年からは、講習を受けれるようになった段階で、できるだけ早い段階で受講したいと思います。
来年は、どんな内容になるのか楽しみなのですが、セキュリティの最新情報以外は毎年同じなんじゃないかな〜っと、想像してみましたが、いかがでしょうか?多分、来年以降は、重複する部分はやる気はないので、ほとんど作業をする必要は無くなると思います。
ちょっと、短いですがこの時間はこの辺で!
では、また!
2022年08月02日
情報処理安全確保支援士 オンライン講習 単元1を終えて [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
昨日夜になってから、情報処理安全確保支援士のオンライン講習の申込みをし、どんな学習をするのか検討し、今日はじめたのですが、大変です。ちょっと、どんなことをオンライン学習でするのか昨日はとりとめもなく書いていたので一覧にしてみます。
・パワーポイント風のすべてのページに目を通す
・パワーポイント風の各ページにリンクされたPDF等をダウンロードし目を通す
・パワーポイント風の各ページがWebページの場合、同ページをPDF化し、同ページにPDF等がリンクされていた場合、ダウンロードし目を通す
という作業をしながら、学習を進めようと決めたのですが、単元1から既に挫折です。前半それほどパワーポイント風のページにリンクはなかったのですが、読み進めて行くとその数は増し、途中から読むということより各WebページをPDF化し、PDFをダウンロードするという作業だけをするようになりました。今単元1のフォルダを確認すると容量が100Mあります。テストといわれるものは、5問程度しかなく、間違ったら何回でもやり直せるもので、すべて正解するまで解き続けるというテストだと分かりました。内容までは見ていないのですが、とりあえず予定通り、すべての単元を読むことを優先し、読んだ後テストを実施するという予定は変更する必要はなさそうです。
単元2以降は分からないのですが、とりえず読むということよりも資料を残し最終的に同資料を読みながら、集めた資料が後で理解できるレベルに整理されていることを確認した方がよさそうです。
最後に【参考】として各資料のリンクがあるのですが、それは途中で紹介したものとイコールなのでしょうか?それも特に書いていないので、ちょっと調べて見ます。それと、気になったのが、2つほどリンクが切れたページがあるということです。これは、IPAに問合せした方がいいでしょう?他の団体を紹介した情報なら仕方がないと思うのですが、IPAのページでも同様のことがありました。
今、IPv6の本を読んでいるという話しを、別の日のブログで話しましたが、その中にRFCに関する話が出てきます。IETFが主に作っている文書なのですが、それは一度公開したRFCは削除することはしません。削除する場合、修正する場合は、また別のRFCを作成することにより実施するそうです。できれば、IPAもそういう仕方で管理してくれないかな〜って思った本日のオンライン講習でした。
まっ、そうやった場合、後でどれが残ってどれが生きているのか分かりにくいのですが、文書としては残っているんだけれど、システムで見ればそれは一目瞭然という感じで管理されているんじゃないかな〜って予想しています。まだ見てもいないので、想像の域は出ませんが、時間ができたら見に行きたいと思います。まず、IPv6ならIPv6の知識を得ることの方が大切です。そういうことは後回しにするのが普通でしょう?
そうそう、普通の文書ってデジュールスタンダード(法律により標準化された)なんだけれど、RFCってデファクトスタンダードだそうです?それと、個人でも参加でき、RFCという形で業界的に爪痕を残すことができるそうです。ちょっと、興味がありますね?
自分が何か投稿することにより、標準的なものが残せ、先ほど話しましたが、削除されないRFCを残すことができるかもしれません。なんて、なんの組織にも帰属していないからかもしれませんが、ちょっと、興味を持ってしまいました。
この時間は、この辺で!またね!
ナビゲータのEVEです。
昨日夜になってから、情報処理安全確保支援士のオンライン講習の申込みをし、どんな学習をするのか検討し、今日はじめたのですが、大変です。ちょっと、どんなことをオンライン学習でするのか昨日はとりとめもなく書いていたので一覧にしてみます。
・パワーポイント風のすべてのページに目を通す
・パワーポイント風の各ページにリンクされたPDF等をダウンロードし目を通す
・パワーポイント風の各ページがWebページの場合、同ページをPDF化し、同ページにPDF等がリンクされていた場合、ダウンロードし目を通す
という作業をしながら、学習を進めようと決めたのですが、単元1から既に挫折です。前半それほどパワーポイント風のページにリンクはなかったのですが、読み進めて行くとその数は増し、途中から読むということより各WebページをPDF化し、PDFをダウンロードするという作業だけをするようになりました。今単元1のフォルダを確認すると容量が100Mあります。テストといわれるものは、5問程度しかなく、間違ったら何回でもやり直せるもので、すべて正解するまで解き続けるというテストだと分かりました。内容までは見ていないのですが、とりあえず予定通り、すべての単元を読むことを優先し、読んだ後テストを実施するという予定は変更する必要はなさそうです。
単元2以降は分からないのですが、とりえず読むということよりも資料を残し最終的に同資料を読みながら、集めた資料が後で理解できるレベルに整理されていることを確認した方がよさそうです。
最後に【参考】として各資料のリンクがあるのですが、それは途中で紹介したものとイコールなのでしょうか?それも特に書いていないので、ちょっと調べて見ます。それと、気になったのが、2つほどリンクが切れたページがあるということです。これは、IPAに問合せした方がいいでしょう?他の団体を紹介した情報なら仕方がないと思うのですが、IPAのページでも同様のことがありました。
今、IPv6の本を読んでいるという話しを、別の日のブログで話しましたが、その中にRFCに関する話が出てきます。IETFが主に作っている文書なのですが、それは一度公開したRFCは削除することはしません。削除する場合、修正する場合は、また別のRFCを作成することにより実施するそうです。できれば、IPAもそういう仕方で管理してくれないかな〜って思った本日のオンライン講習でした。
まっ、そうやった場合、後でどれが残ってどれが生きているのか分かりにくいのですが、文書としては残っているんだけれど、システムで見ればそれは一目瞭然という感じで管理されているんじゃないかな〜って予想しています。まだ見てもいないので、想像の域は出ませんが、時間ができたら見に行きたいと思います。まず、IPv6ならIPv6の知識を得ることの方が大切です。そういうことは後回しにするのが普通でしょう?
そうそう、普通の文書ってデジュールスタンダード(法律により標準化された)なんだけれど、RFCってデファクトスタンダードだそうです?それと、個人でも参加でき、RFCという形で業界的に爪痕を残すことができるそうです。ちょっと、興味がありますね?
自分が何か投稿することにより、標準的なものが残せ、先ほど話しましたが、削除されないRFCを残すことができるかもしれません。なんて、なんの組織にも帰属していないからかもしれませんが、ちょっと、興味を持ってしまいました。
この時間は、この辺で!またね!
情報処理安全確保支援士試験 オンライン講習 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
本日、情報処理安全確保支援士のオンライン講習を申し込みました。
オンライン講習といっても、パワーポイント風の教材を見ることがメインのようです。 最初のパワーポイントの表紙にあたる部分に、「教材の複製・転載・配布を禁止します」と記載があるので、あまり、細かい内容は話すのはやめた方がいいのかもしれませんが、全部で6単元用意されており、最初の単元を受講したところ、単元1はだいたい、50ページぐらいのようです。まだ、熟読中・・・。他の単元もだいたい同じぐらいなのでしょうか?
パワーポイント風なので、本文の字は大きいのですが、解説は細かく、かつ、添付ファイルがたくさんです。これ全部読まなくても大丈夫なのかどうか分からないのですが、インターネットでオンライン講習について検索してみると、最後にテストがあるようです。確かに、情報処理確保支援士専用サイトの[受講中のオンライン講習]に、オンライン講習の[最終受講日時]と[テスト結果]という項目があります。そして、実際に受講した人の感想を読んでみるとそのテストは難しく時間がかかるといった内容が書かれていました。
難しいということは、多分読まなければいけないんだな〜っと思ったのですが、本オンライン講習だいたい全部で6時間で受講することを前提としているようです。
難しいと書いたその人は、10時間かけて全部の講座を受講し終えたようです。しかし、10時間でも添付ファイルの内容まで目を通すことができるかどうか疑問です。講座外で読むことを前提としているのでしょうか?受講時間が6時間という数字の意味にちょっと理解に苦しみますが、まっ、とりあえず、この講座の受講の意味するところは、スキル維持と、セキュリティのトレンドをおさえるという部分にあると思われます。
それと、情報処理安全確保支援士試験の時と大きく違うのは、試験はスキルの確認が主だったような気がしますが、今回のオンライン講習は、現場を意識したカリキュラム構成になっているという部分だと思います。いろいろな組織との連携、そして法令順守など現場でどうやって活躍していくのかといった部分が大きいと思います。まっ、当然最新のセキュリティについての単元もあるのようですが、できるだけ今週中にやってしまいたいと思います。
というのは、6時間2万円ですか〜って感じはあるのですが、他にやることもありますし、私は日々自分が必要としているセキュリティ技術については勉強しています。
ということで、明日から一気に講座を受講して、最後にテストを一気に受けるスタイルでできたらいいな〜って考えています。まだ、テストまで見ることができていないので、もしかしたら、思った通りに受講できないかもしれないのですが・・・。
そして、英語のサイトは除外しますが、その他のサイトからダウンロードした資料にはできるだけ目を通しましょう!できますかね?今日ダウンロードしただけでも10ファイルで一番大きいファイルのサイズは、4Mあります。同ファイルの中身を見てみるとページ数にすると60ページです。まっ、一番大きいファイルで60ページなら何とかできるでしょう?
ちょっと、明日ペースがどのくらいになるのか測定し、残りの単元の時間配分を決めたいと思います。
今日ログインし、他の受講者意見を見ましたが、片手間でやるのは難しいようです。
そのため、まずオンライン講習を終えてから、また、動画作成とか、システム監査技術者試験の勉強などを始めたいと思います。
ちょっと、気になるのが、今まで受講した人たちのブログを見ると、オンライン講習AとかCとか言っているんだけれど、それは何なのでしょうか?受講中の画面には、AとかCとかついていないのですが・・・。
それと、テストを受けて合格点に達しなければどうなるのでしょうか?何かデメリットがあるのでしょうか?免許取り消しとか・・・。ちょっと、ドキドキしちゃいますね・・・?
がんばろっと!
ブログは引き続き定期的に更新しますのでよろしく・・・。
では、また!!!
ナビゲータのEVEです。
本日、情報処理安全確保支援士のオンライン講習を申し込みました。
オンライン講習といっても、パワーポイント風の教材を見ることがメインのようです。 最初のパワーポイントの表紙にあたる部分に、「教材の複製・転載・配布を禁止します」と記載があるので、あまり、細かい内容は話すのはやめた方がいいのかもしれませんが、全部で6単元用意されており、最初の単元を受講したところ、単元1はだいたい、50ページぐらいのようです。まだ、熟読中・・・。他の単元もだいたい同じぐらいなのでしょうか?
パワーポイント風なので、本文の字は大きいのですが、解説は細かく、かつ、添付ファイルがたくさんです。これ全部読まなくても大丈夫なのかどうか分からないのですが、インターネットでオンライン講習について検索してみると、最後にテストがあるようです。確かに、情報処理確保支援士専用サイトの[受講中のオンライン講習]に、オンライン講習の[最終受講日時]と[テスト結果]という項目があります。そして、実際に受講した人の感想を読んでみるとそのテストは難しく時間がかかるといった内容が書かれていました。
難しいということは、多分読まなければいけないんだな〜っと思ったのですが、本オンライン講習だいたい全部で6時間で受講することを前提としているようです。
難しいと書いたその人は、10時間かけて全部の講座を受講し終えたようです。しかし、10時間でも添付ファイルの内容まで目を通すことができるかどうか疑問です。講座外で読むことを前提としているのでしょうか?受講時間が6時間という数字の意味にちょっと理解に苦しみますが、まっ、とりあえず、この講座の受講の意味するところは、スキル維持と、セキュリティのトレンドをおさえるという部分にあると思われます。
それと、情報処理安全確保支援士試験の時と大きく違うのは、試験はスキルの確認が主だったような気がしますが、今回のオンライン講習は、現場を意識したカリキュラム構成になっているという部分だと思います。いろいろな組織との連携、そして法令順守など現場でどうやって活躍していくのかといった部分が大きいと思います。まっ、当然最新のセキュリティについての単元もあるのようですが、できるだけ今週中にやってしまいたいと思います。
というのは、6時間2万円ですか〜って感じはあるのですが、他にやることもありますし、私は日々自分が必要としているセキュリティ技術については勉強しています。
ということで、明日から一気に講座を受講して、最後にテストを一気に受けるスタイルでできたらいいな〜って考えています。まだ、テストまで見ることができていないので、もしかしたら、思った通りに受講できないかもしれないのですが・・・。
そして、英語のサイトは除外しますが、その他のサイトからダウンロードした資料にはできるだけ目を通しましょう!できますかね?今日ダウンロードしただけでも10ファイルで一番大きいファイルのサイズは、4Mあります。同ファイルの中身を見てみるとページ数にすると60ページです。まっ、一番大きいファイルで60ページなら何とかできるでしょう?
ちょっと、明日ペースがどのくらいになるのか測定し、残りの単元の時間配分を決めたいと思います。
今日ログインし、他の受講者意見を見ましたが、片手間でやるのは難しいようです。
そのため、まずオンライン講習を終えてから、また、動画作成とか、システム監査技術者試験の勉強などを始めたいと思います。
ちょっと、気になるのが、今まで受講した人たちのブログを見ると、オンライン講習AとかCとか言っているんだけれど、それは何なのでしょうか?受講中の画面には、AとかCとかついていないのですが・・・。
それと、テストを受けて合格点に達しなければどうなるのでしょうか?何かデメリットがあるのでしょうか?免許取り消しとか・・・。ちょっと、ドキドキしちゃいますね・・・?
がんばろっと!
ブログは引き続き定期的に更新しますのでよろしく・・・。
では、また!!!
タグ:オンライン講習
2022年08月01日
情報処理安全確保支援士の資格取得後の講習について [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
明日から、また新たなタスクが入ってきます。それは、オンライン講習・・・。なんのって???それは、情報処理安全確保支援士のオンライン講習です。情報処理安全確保支援士って、受かったら終わりじゃなくって、そこから毎年、オンライン講習があり、3年に1度実践講習があります。それぞれ期限があり、昨年情報処理安全確保支援士試験に合格した私は、オンライン講習の期限は、2022年9月30日です。
スキル維持と、資格の持つブランド価値を維持するためだと思うのですが、今の私には、時間的に大変です。
オンライン講習は今年初めて受講するのですが、どのような講習なのでしょうか?しかも受講料を見て驚きました。2万円です。始めから知っていれば、驚かない数字ですが、受講費用を見る前は、1万円ちょっとという認識だったので、たか〜って感じてしまいました(笑)。
しかも、3年に1度の実践講習は、8万円です。こちらの方は知っていたので、驚きはしないのですが、期限の60日前までに受講しなくてはいけないので、期限は、2024年の7月末って感じなのでしょうか?めんどくさいので、受講料をためて、今年の年末か、来年の始めには受講したいと思っています。
一応この業界でやっていこうと考えたら、持っていたい資格で当然更新しますが、更新の期限を気にしなくてはいけないのは非常に煩わしいです。メールが時々来るのですが、私個人に対するメールではなく、同報通信っていう感じのやつです。システムで配信するなら、私の個人情報が入っているはずなので、システムからきめ細やかな案内を出してくれればいいのにと感じているのは私だけでしょうか?他の団体だったらそんな高望みはしないのですが、そこは、他ならぬIPAです。予算の関係もあるとは思うのですが、是非実現してほしいものです。
ただ、情報処理安全確保支援士合格者専用のサイトがあります。そこに与えられたユーザIDと任意のパスワードを入力することによりログインすることができるのですが、ログイン直後の[講習]というボタンを押下すると、オンライン講習未受講という表示されており、期限が記載されていました。まっ、今回ログインしたのは、3、4回目で、毎日ログインするような用事はないので、やはり、メールにしていただいた方がうれしいです。メールにできないなら、セキュリティ情報などの普段知りたいと思うような特別な情報が提供がされているなら、毎日ログインするのですが・・・。
しかも、3年に1度実践講習の期限が記載されているページがありません。資格有効期限の60日前といっためんどくさいルールを作るなら、せめて、同システムに記載してほしいものです。
なんて、IPAの方が聞いたら、めっちゃ印象が悪い発言をしていますが、明日からは、とりあえず、オンライン講習を受講します。内容にもよるのですが、また、いろいろと進捗が遅れそうです。
動画を楽しみにしてくれている人はいるのでしょうか?ちょっと、プライオリティを下げていますが、少しでも楽しみにしている方がいましたら、チャンネル登録よろしくお願いします。
ちょっと、今日は短いですが、この辺で!
では、また!!!
《2022年7月31日の進捗報告》
・株式市場研究室 動画製造
ネームの作成 本日は進捗がありませんでした
・システム監査技術者試験
平成26年午前U 演習実施
平成27年午前U 演習実施
・IPv6の自学自習 64/474完了
ナビゲータのEVEです。
明日から、また新たなタスクが入ってきます。それは、オンライン講習・・・。なんのって???それは、情報処理安全確保支援士のオンライン講習です。情報処理安全確保支援士って、受かったら終わりじゃなくって、そこから毎年、オンライン講習があり、3年に1度実践講習があります。それぞれ期限があり、昨年情報処理安全確保支援士試験に合格した私は、オンライン講習の期限は、2022年9月30日です。
スキル維持と、資格の持つブランド価値を維持するためだと思うのですが、今の私には、時間的に大変です。
オンライン講習は今年初めて受講するのですが、どのような講習なのでしょうか?しかも受講料を見て驚きました。2万円です。始めから知っていれば、驚かない数字ですが、受講費用を見る前は、1万円ちょっとという認識だったので、たか〜って感じてしまいました(笑)。
しかも、3年に1度の実践講習は、8万円です。こちらの方は知っていたので、驚きはしないのですが、期限の60日前までに受講しなくてはいけないので、期限は、2024年の7月末って感じなのでしょうか?めんどくさいので、受講料をためて、今年の年末か、来年の始めには受講したいと思っています。
一応この業界でやっていこうと考えたら、持っていたい資格で当然更新しますが、更新の期限を気にしなくてはいけないのは非常に煩わしいです。メールが時々来るのですが、私個人に対するメールではなく、同報通信っていう感じのやつです。システムで配信するなら、私の個人情報が入っているはずなので、システムからきめ細やかな案内を出してくれればいいのにと感じているのは私だけでしょうか?他の団体だったらそんな高望みはしないのですが、そこは、他ならぬIPAです。予算の関係もあるとは思うのですが、是非実現してほしいものです。
ただ、情報処理安全確保支援士合格者専用のサイトがあります。そこに与えられたユーザIDと任意のパスワードを入力することによりログインすることができるのですが、ログイン直後の[講習]というボタンを押下すると、オンライン講習未受講という表示されており、期限が記載されていました。まっ、今回ログインしたのは、3、4回目で、毎日ログインするような用事はないので、やはり、メールにしていただいた方がうれしいです。メールにできないなら、セキュリティ情報などの普段知りたいと思うような特別な情報が提供がされているなら、毎日ログインするのですが・・・。
しかも、3年に1度実践講習の期限が記載されているページがありません。資格有効期限の60日前といっためんどくさいルールを作るなら、せめて、同システムに記載してほしいものです。
なんて、IPAの方が聞いたら、めっちゃ印象が悪い発言をしていますが、明日からは、とりあえず、オンライン講習を受講します。内容にもよるのですが、また、いろいろと進捗が遅れそうです。
動画を楽しみにしてくれている人はいるのでしょうか?ちょっと、プライオリティを下げていますが、少しでも楽しみにしている方がいましたら、チャンネル登録よろしくお願いします。
ちょっと、今日は短いですが、この辺で!
では、また!!!
《2022年7月31日の進捗報告》
・株式市場研究室 動画製造
ネームの作成 本日は進捗がありませんでした
・システム監査技術者試験
平成26年午前U 演習実施
平成27年午前U 演習実施
・IPv6の自学自習 64/474完了
2022年07月25日
2022年度情報処理安全確保支援士 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
昨日といいますか、日が変わり一昨日になりますが、Amazonから、TACの「2022年度情報処理安全確保支援士」の教科書兼問題集が届きました。昨年2021年は、平年同様の本の厚さで、ページ数にすると620ページだったのに、今年は、611ページと数ページ減ったのですが、本の厚さがかなり厚くなった印象があります。紙を良質にしたのでしょうか?そういえば、私は、本はかならず、PDFにします。Kindleとかで購入もするのですが、それって、Amazonあってのものですし、自分のモノになった気がしません。そのため、必ず、紙の本を購入後PDFに変換するのですが、良質になったせいでしょうか?ScanSnapというPDF変換機がジャムりませんでした。まっ、去年の本は廃品回収に出してしまったので、気のせいなのかもしれませんが???自炊に興味がある方は、私が保有しているScanSnapの後継機に相当する製品を紹介しますので、ご購入をご検討ください。
昨年合格した「情報処理安全確保支援士」ですが、合格したからセキュリティについては完璧かというとそういうわけではありません。得手不得手ということもありますし、セキュリティとは、対象が、人だったら社員、契約社員、外注などいろいろな人たちが職場にいますし、物だったら製品、種類(L2、L3など)によって違います。ようは範囲が広いのです。それと、その内容が劇的に変わる時があるというのも事実です。近年では、顕著に目を引いたのが、公開暗号方式です。2020年までは、以下の表を用いて、コンピュータの計算速度向上にあわせて、多分推測だとは思うのですが、以下のような表が用意されていました。しかし、2021年の教科書からは、無くなっていました。同時にRSAの有効性についての記述が小さくなったような気がします。
その代わりといってはなんですが、PFS(Perfect Forward Secrecy)がでてきて、鍵交換プロトコルとしてDHが使われるなど、教科書の発行年によりセキュリティのトレンドが変わってきています。
変わった理由について触れておくと、今までのRSAによる通信は、先ほどの図で記載されている年代まで暗号について解読されることはないが、それ以降は保証できないといっています。ということは、暗号化データを保存しておいてそれを、その年代以降に解読しようとすれば解読できるということになります。それでは、個人情報などの機微情報をインターネットで扱うのは難しいということになるでしょう?そこで、出てきたのが、PFSです。これは、サーバの秘密鍵が漏洩した場合でも、過去に遡って暗号化通信データが解読されることのないようにするという鍵交換の考え方です。
あくまでも憶測ですが、そのような事情で、上記表が教科書からなくなり、今後PFSがいいのではというトーンに教科書がなっているのかもしれません。
というように、発行年ごとに教科書も内容が変わり、それを時系列に押さえていくことも重要だと考えています。以前どこかの動画にはスキルレベル維持のため毎年購入するという話を話したような気がしますが、それに加えて、技術の変遷を押さえておきたいという点も付け加えさせてください。
また、それと教科書以外の問題の部分について感じましたが、午後T、午後Uも今後解くようにした方がいいかもしれません。午後Tは、問題にもよるのですが、今なら30分程度で解くことが可能なので、平成21年から毎日少しずつならできるような気がしますが、午後Uは、まじで120分かかる時もあるので、近年だけにしようかなって思っています。ブログの内容を頻繁に見ていただいている人には分かると思いますが、やることが盛りだくさんなので・・・。
ブログを書きながら、ダラダラしていられないなって感じた、寝る間際でした。
ではまた!
■今回購入した本です。セキュリティに興味がある方はご購入検討ください
■私が保有しているScanSnapは型が古くS1500という製品を使用してます。それに一番近い製品でかつ評判がいいものを紹介させていただきます
ナビゲータのEVEです。
昨日といいますか、日が変わり一昨日になりますが、Amazonから、TACの「2022年度情報処理安全確保支援士」の教科書兼問題集が届きました。昨年2021年は、平年同様の本の厚さで、ページ数にすると620ページだったのに、今年は、611ページと数ページ減ったのですが、本の厚さがかなり厚くなった印象があります。紙を良質にしたのでしょうか?そういえば、私は、本はかならず、PDFにします。Kindleとかで購入もするのですが、それって、Amazonあってのものですし、自分のモノになった気がしません。そのため、必ず、紙の本を購入後PDFに変換するのですが、良質になったせいでしょうか?ScanSnapというPDF変換機がジャムりませんでした。まっ、去年の本は廃品回収に出してしまったので、気のせいなのかもしれませんが???自炊に興味がある方は、私が保有しているScanSnapの後継機に相当する製品を紹介しますので、ご購入をご検討ください。
昨年合格した「情報処理安全確保支援士」ですが、合格したからセキュリティについては完璧かというとそういうわけではありません。得手不得手ということもありますし、セキュリティとは、対象が、人だったら社員、契約社員、外注などいろいろな人たちが職場にいますし、物だったら製品、種類(L2、L3など)によって違います。ようは範囲が広いのです。それと、その内容が劇的に変わる時があるというのも事実です。近年では、顕著に目を引いたのが、公開暗号方式です。2020年までは、以下の表を用いて、コンピュータの計算速度向上にあわせて、多分推測だとは思うのですが、以下のような表が用意されていました。しかし、2021年の教科書からは、無くなっていました。同時にRSAの有効性についての記述が小さくなったような気がします。
その代わりといってはなんですが、PFS(Perfect Forward Secrecy)がでてきて、鍵交換プロトコルとしてDHが使われるなど、教科書の発行年によりセキュリティのトレンドが変わってきています。
変わった理由について触れておくと、今までのRSAによる通信は、先ほどの図で記載されている年代まで暗号について解読されることはないが、それ以降は保証できないといっています。ということは、暗号化データを保存しておいてそれを、その年代以降に解読しようとすれば解読できるということになります。それでは、個人情報などの機微情報をインターネットで扱うのは難しいということになるでしょう?そこで、出てきたのが、PFSです。これは、サーバの秘密鍵が漏洩した場合でも、過去に遡って暗号化通信データが解読されることのないようにするという鍵交換の考え方です。
あくまでも憶測ですが、そのような事情で、上記表が教科書からなくなり、今後PFSがいいのではというトーンに教科書がなっているのかもしれません。
というように、発行年ごとに教科書も内容が変わり、それを時系列に押さえていくことも重要だと考えています。以前どこかの動画にはスキルレベル維持のため毎年購入するという話を話したような気がしますが、それに加えて、技術の変遷を押さえておきたいという点も付け加えさせてください。
また、それと教科書以外の問題の部分について感じましたが、午後T、午後Uも今後解くようにした方がいいかもしれません。午後Tは、問題にもよるのですが、今なら30分程度で解くことが可能なので、平成21年から毎日少しずつならできるような気がしますが、午後Uは、まじで120分かかる時もあるので、近年だけにしようかなって思っています。ブログの内容を頻繁に見ていただいている人には分かると思いますが、やることが盛りだくさんなので・・・。
ブログを書きながら、ダラダラしていられないなって感じた、寝る間際でした。
ではまた!
■今回購入した本です。セキュリティに興味がある方はご購入検討ください
| 2022年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ] 価格:3,080円 |
■私が保有しているScanSnapは型が古くS1500という製品を使用してます。それに一番近い製品でかつ評判がいいものを紹介させていただきます
 | 価格:49,780円 |