叡智の三猿

森羅万象を情報セキュリティマネジメントで捉える

気になる情報セキュリティ用語

耐タンパ性:気になる情報セキュリティ用語

耐タンパ性 は、ICチップなどの情報記録媒体が、外部から記録されたデータなどを解析されたり、改ざんが されにくいようにする状態を指します。※こちらも見てみてください。 www.three-wise-monkeys.comハードウェアなどに対して外部から不正に行われる内部…

ショルダーハック:気になる情報セキュリティ用語

ショルダーハックは、パソコンを操作する人の背後や隣で、パスワードなどの秘密情報を入力する様子を盗み見ることで、不正に情報を得ることです。ソーシャルエンジニアリングと呼ばれる、コンピュータの技術的な隙ではなく、人間の隙を突いて情報を不正に入…

ピギーバック:気になる情報セキュリティ用語

セキュリティを確保するべきエリアに外部からの侵入を拒む方法は入退室を管理することです。入室を管理するには、認証が必要です。認証方法としては、①IDカード、②パスワード、③バイオメトリックスがあります。このとき、入室権限を持った社員の後について不…

スキャベンジング:気になる情報セキュリティ用語

スキャベンジングはゴミあさりのことです。重要な紙媒体がゴミとして捨てられるのは脅威です。情報セキュリティでは、廃棄した紙やハードディスクなどから、企業の機密情報や個人情報を盗み出すことをスキャベンジングといいます。紙媒体はシュレッダーで廃…

ISO/IEC 27001(JIS Q 27001):気になる情報セキュリティ用語

ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報の機密性・完全性・可用性の3要素(情報セキュリティのCIAといいます)をバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。 ISM…

プライバシーマーク:気になる情報セキュリティ用語

プライバシーマークは、JISQ15001(個人情報保護マネジメントシステム ― 要求事項)という、事業者が取り扱う個人情報を適切に管理するための標準である、日本規格協会の原案によって策定された日本工業規格に基づく認証です。プライバシーマークの認証は、…

マイナンバー法(番号利用法):気になる情報セキュリティ用語

マイナンバー法(番号利用法)は、社会保障、税、災害対策に於ける行政の効率化や公平・公正な社会の実現を目的とするマイナンバー制度の根拠となる法律です。住民に割り当てされるマイナンバーを含む情報は特定個人情報といいます。特定個人情報は、マイナ…

不当競争防止法:気になる情報セキュリティ用語

不当競争防止法は、企業間の競争が「公正」に行われるための法律です。そして、不正競争防止法の営業秘密は「秘密として管理されている生産方法、販売方法、その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」と定義され…

特許権:気になる情報セキュリティ用語

特許権は、新規の発明(自然法則を利用した技術的思想の創作のうち高度のもの)に対する知的財産権で、特許出願から20年間、特許発明を独占的に利用できる権利です。特許権の保護対象となるものは、産業上利用できる発明です。学術的、実験的、個人的にのみ…

著作権法:気になる情報セキュリティ用語

著作権は著作物を保護するための権利です。 著作権法による定義では、「 思想又は感情を創作的に表現したものであって、文芸 、学術 、美術又は音楽の範囲に属するもの」としています。この法律にいう著作物を例示すると、おおむね次のとおりとなり、プログ…

知的財産権:気になる情報セキュリティ用語

知的財産権は、知的創造活動によって生み出されたものを、創作した人の財産として保護するための制度です。「知的財産」は、発明、考案、植物の新品種、意匠、著作物その他の人間の創造的活動により生み出されるもの。商標、商号その他事業活動に用いられる…

プロバイダ責任制限法:気になる情報セキュリティ用語

「プロバイダ責任制限法」の正式名称は「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」という異常に長い名前です。この法律ではふたつを規定しています。 損害賠償責任の制限:誹謗・中傷の書き込みなど、他人の権利を侵害…

通信傍受法:気になる情報セキュリティ用語

通信傍受法は「犯罪捜査のための通信傍受に関する法律」のことで、警察が犯罪捜査をする場合に限って、盗聴やメール履歴を盗み見ることを許す法律です。ネットワークに接続されアクセスが制限されているコンピュータに対して、システムのセキュリティ上の弱…

不正アクセス禁止法:気になる情報セキュリティ用語

不正アクセス禁止法はアクセスが制限されているコンピュータに対して他人のIDとパスワードを使用したり、セキュリティホールを悪用して侵入する行為を処罰する法律です(不正アクセス行為の禁止等に関する法律)。不正アクセス行為の禁止等に関する法律で禁…

不正指令電磁的記録:気になる情報セキュリティ用語

刑法のひとつでいわゆるコンピュータ・ウイルスの作成、提供、供用、取得、保管行為による罰則です(不正指令電磁的記録に関する罪)。 ウイルス供用罪:正当な理由がないのに、コンピュータ・ウイルスを、その使用者の意図とは無関係に勝手に実行される状態…

リスクコントロール:気になる情報セキュリティ用語

リスクコントロールは、リスクが現実にならないようリスクの発生を防止したり、発生しても被害を最小限に抑えるための対応策です。リスクコントロールには次の手法があります。 リスク低減:発生頻度や影響度を下げるための対策を講じること。 リスク回避:…

リスク特定:気になる情報セキュリティ用語

リスク特定はリスクマネジメントに於けるリスクを発見(特定)する行為です。リスクマネジメントの対象となる組織にてリスクを洗い出しリスト化していきます。リスクを特定する手法として知られるのが、デルファイ法やチェックリスト分析です。 デルファイ法…

リスク分析:気になる情報セキュリティ用語

情報セキュリティ対策におけるリスク分析とは、情報を抱えている守るべきシステムが脅威にさらされたとき、どんなことが起こりうるかを明確にしておくことです。リスク分析の手法は、定量的リスク分析と定性的リスク分析があります。 定量的リスク分析:リス…

情報セキュリティポリシー:気になる情報セキュリティ用語

情報セキュリティポリシーは組織が所有する情報の機密性、完全性、可用性を維持していくために規定する組織の方針や行動指針をまとめたものです。 情報セキュリティポリシーは「基本方針」「対策基準」で構成されることが一般的です。 基本方針:組織におけ…

OECD8原則:気になる情報セキュリティ用語

個人情報保護の原則となったガイドラインが、1980年にOECD(経済協力開発機構)から公表された「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(通称、OECD8原則)」です。OECD8原則 収集制限…

個人情報:気になる情報セキュリティ用語

個人情報保護法に基づく個人情報は次のように定義しています。生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識…

可用性:気になる情報セキュリティ用語

可用性とは情報セキュリティの3要素のひとつで、許可された者が、必要な時に必要な情報にアクセスできることを確実にすることです。可用性を損ねる事象としては、たとえば、PC やサーバーなどの機器がランサムウェアと呼ばれるウイルスにより感染すると、保…

完全性:気になる情報セキュリティ用語

完全性とは情報セキュリティの3要素のひとつで、情報や情報の処理方法が、正確で完全であるようにすることです。もしも、組織で管理しているサーバ上のデータが改ざんされたり、機器の設定が不正に書き換えされていると完全性を損ねます。また、SNS上ではイ…

機密性:気になる情報セキュリティ用語

機密性とは情報セキュリティの3要素のひとつで、許可された者だけが情報にアクセスできるようにすることです。アクセス権をもたない者からのアクセスを遮断し、情報改ざん、不正情報の混入や漏えいを防止することで機密性を確保します。情報セキュリティと…

インシデント:気になる情報セキュリティ用語

JIS Q 27000:2014では、情報セキュリティインシデントを以下のように定義しています。情報セキュリティインシデント:望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくす…

脆弱性:気になる情報セキュリティ用語

脆弱性とは、脅威がつけこめることができる組織や情報システムを指します。組織に於ける脆弱性としては、機密情報や個人情報を管理する為の体制がしっかりしていないことが挙げられます。情報システムに於ける脆弱性は、ソフトウェアやハードウェアの欠陥に…

脅威:気になる情報セキュリティ用語

情報セキュリティの脅威は、大きく分けて人為的要因によるものと環境的要因によるものに分類できます。人的要因によるものは意図的におこなわれるものと、偶然おこってしまうものがあります。データを不正に暗号化して、お金を要求するランサムウェアによる…

リスク:気になる情報セキュリティ用語

情報セキュリティのリスクは、組織が守るべき情報資産の脆(ぜい)弱性につけ込み、危害が与えられる可能性を意味しています。組織の外部若しくは内部の脅威が、システムの脆弱性を攻撃した際に、情報資産が損害を被る事態を招きます。脅威、脆弱性、リスク…