情報セキュリティの国家試験である『安全確保支援士』試験をこの秋受験する。
毎年、春と秋に実施され仕事のキャリアアップのため来年春までに合格したいと考えている。
秋の試験には直前となるが今日から勉強を始めたところ。学んだことのポイントを書き留めておく。
まずは情報セキュリティの3大特性について。情報セキュリティの重要な要素として国際規格(ISO/IEC27000ファミリー)の情報システムマネジメント規格(略称:ISMS、ISO/IEC27001)で『機密性』『完全性』『可用性』の3つが定義されている。
『機密性』(confidentiality)
アクセス権限のある人しか情報にアクセスできない特性
→保証するには、アクセス制限、データの暗号化、認証がある。
『完全性』(integrity)
情報が破損や改ざんされず、完全である特性
→保証するには、デジタル署名などで対応する。
『可用性』(availability)
いつでもサービスが使える特性
→ネットワークや設備に二重化、データのバックアップ
また、追加の特性として『真正性』『責任追跡性』『否認防止性』が定義されている。
この『機密性』『完全性』『可用性』を元に個人や会社の資産(個人情報や重要データ)などのリスク(将来起こりうる問題や危険:情報漏洩や不正アクセスなど)をリスクアセスメント(リスクを特定、分析、対策、有効性の評価)を行うことが情報セキュリティを管理する上でポイントとなってくる。
コメント