気になる情報(サイバー)セキュリティ用語集
フェールセーフはシステムに障害が発生しても安全が維持できるようにする考え方です。フェールセーフの具体例として、信号機は故障や停電により正常な稼働が出来なくなった場合、赤点滅と黄点滅を表示することで安全を確保するよう設計していることが挙げら…
フェールソフトは障害対策の考え方で、機器が故障しても一部の機能を減らして運転を続けることです。フェールソフトの具体例としてよく挙げられるのは、飛行機です。飛行機にはエンジンが複数搭載されていて、エンジンがひとつ壊れても飛び続けることができ…
フォールトトレランス は、耐障害性という意味です。火災や電力障害などがきっかけで、システム障害が発生した場合に、稼働を継続させる対策です。障害に対する対処法としては、機器が故障しても一部の機能を減らして運転を継続するフェールソフトと、安全確…
ワンタイムパスワードは、言葉通り、本人のネットワーク上の認証において、毎回変化する 1回限りのパスワードです。ワンタイムパスワードの方式は以下の2つに大別されます。 タイムスタンプ認証方式 認証をする際の時刻をもとにワンタイムパスワードを生成…
コールドサイトは、機器やシステムを冗長化して信頼性を向上させるバックアップシステムのひとつです。稼働中と同じ構成の予備の機材などを用意しておきますが普段は停止させておきます。障害が発生して設定やデータの投入を行うので、回復までに時間はかか…
ホットサイトは情報システムの障害対策として可用性を維持するために行われる予備となるバックアップシステムです。本システムと同じプログラムやデータを常に同期させることで、本システムに障害が発生した際、即時に運用を切り替えることが可能です。対し…
耐タンパ性 は、ICチップなどの情報記録媒体が、外部から記録されたデータなどを解析されたり、改ざんが されにくいようにする状態を指します。※こちらも見てみてください。 www.three-wise-monkeys.comハードウェアなどに対して外部から不正に行われる内部…
ショルダーハックは、パソコンを操作する人の背後や隣で、パスワードなどの秘密情報を入力する様子を盗み見ることで、不正に情報を得ることです。ソーシャルエンジニアリングと呼ばれる、コンピュータの技術的な隙ではなく、人間の隙を突いて情報を不正に入…
セキュリティを確保するべきエリアに外部からの侵入を拒む方法は入退室を管理することです。入室を管理するには、認証が必要です。認証方法としては、①IDカード、②パスワード、③バイオメトリックスがあります。このとき、入室権限を持った社員の後について不…
スキャベンジングはゴミあさりのことです。重要な紙媒体がゴミとして捨てられるのは脅威です。情報セキュリティでは、廃棄した紙やハードディスクなどから、企業の機密情報や個人情報を盗み出すことをスキャベンジングといいます。紙媒体はシュレッダーで廃…
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報の機密性・完全性・可用性の3要素(情報セキュリティのCIAといいます)をバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。 ISM…
プライバシーマークは、JISQ15001(個人情報保護マネジメントシステム ― 要求事項)という、事業者が取り扱う個人情報を適切に管理するための標準である、日本規格協会の原案によって策定された日本工業規格に基づく認証です。プライバシーマークの認証は、…
マイナンバー法(番号利用法)は、社会保障、税、災害対策に於ける行政の効率化や公平・公正な社会の実現を目的とするマイナンバー制度の根拠となる法律です。住民に割り当てされるマイナンバーを含む情報は特定個人情報といいます。特定個人情報は、マイナ…
不当競争防止法は、企業間の競争が「公正」に行われるための法律です。そして、不正競争防止法の営業秘密は「秘密として管理されている生産方法、販売方法、その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」と定義され…
特許権は、新規の発明(自然法則を利用した技術的思想の創作のうち高度のもの)に対する知的財産権で、特許出願から20年間、特許発明を独占的に利用できる権利です。特許権の保護対象となるものは、産業上利用できる発明です。学術的、実験的、個人的にのみ…
著作権は著作物を保護するための権利です。 著作権法による定義では、「 思想又は感情を創作的に表現したものであって、文芸 、学術 、美術又は音楽の範囲に属するもの」としています。この法律にいう著作物を例示すると、おおむね次のとおりとなり、プログ…
知的財産権は、知的創造活動によって生み出されたものを、創作した人の財産として保護するための制度です。「知的財産」は、発明、考案、植物の新品種、意匠、著作物その他の人間の創造的活動により生み出されるもの。商標、商号その他事業活動に用いられる…
「プロバイダ責任制限法」の正式名称は「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」という異常に長い名前です。この法律ではふたつを規定しています。 損害賠償責任の制限:誹謗・中傷の書き込みなど、他人の権利を侵害…
通信傍受法は「犯罪捜査のための通信傍受に関する法律」のことで、警察が犯罪捜査をする場合に限って、盗聴やメール履歴を盗み見ることを許す法律です。ネットワークに接続されアクセスが制限されているコンピュータに対して、システムのセキュリティ上の弱…
不正アクセス禁止法はアクセスが制限されているコンピュータに対して他人のIDとパスワードを使用したり、セキュリティホールを悪用して侵入する行為を処罰する法律です(不正アクセス行為の禁止等に関する法律)。不正アクセス行為の禁止等に関する法律で禁…
刑法のひとつでいわゆるコンピュータ・ウイルスの作成、提供、供用、取得、保管行為による罰則です(不正指令電磁的記録に関する罪)。 ウイルス供用罪:正当な理由がないのに、コンピュータ・ウイルスを、その使用者の意図とは無関係に勝手に実行される状態…
リスクコントロールは、リスクが現実にならないようリスクの発生を防止したり、発生しても被害を最小限に抑えるための対応策です。リスクコントロールには次の手法があります。 リスク低減:発生頻度や影響度を下げるための対策を講じること。 リスク回避:…
リスク特定はリスクマネジメントに於けるリスクを発見(特定)する行為です。リスクマネジメントの対象となる組織にてリスクを洗い出しリスト化していきます。リスクを特定する手法として知られるのが、デルファイ法やチェックリスト分析です。 デルファイ法…
情報セキュリティ対策におけるリスク分析とは、情報を抱えている守るべきシステムが脅威にさらされたとき、どんなことが起こりうるかを明確にしておくことです。リスク分析の手法は、定量的リスク分析と定性的リスク分析があります。 定量的リスク分析:リス…
情報セキュリティポリシーは組織が所有する情報の機密性、完全性、可用性を維持していくために規定する組織の方針や行動指針をまとめたものです。 情報セキュリティポリシーは「基本方針」「対策基準」で構成されることが一般的です。 基本方針:組織におけ…
個人情報保護の原則となったガイドラインが、1980年にOECD(経済協力開発機構)から公表された「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(通称、OECD8原則)」です。OECD8原則 収集制限…
個人情報保護法に基づく個人情報は次のように定義しています。生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識…
可用性とは情報セキュリティの3要素のひとつで、許可された者が、必要な時に必要な情報にアクセスできることを確実にすることです。可用性を損ねる事象としては、たとえば、PC やサーバーなどの機器がランサムウェアと呼ばれるウイルスにより感染すると、保…
完全性とは情報セキュリティの3要素のひとつで、情報や情報の処理方法が、正確で完全であるようにすることです。もしも、組織で管理しているサーバ上のデータが改ざんされたり、機器の設定が不正に書き換えされていると完全性を損ねます。また、SNS上ではイ…
機密性とは情報セキュリティの3要素のひとつで、許可された者だけが情報にアクセスできるようにすることです。アクセス権をもたない者からのアクセスを遮断し、情報改ざん、不正情報の混入や漏えいを防止することで機密性を確保します。情報セキュリティと…
