54
情報セキュリティと標準化II 参考資料 クラウドコンピューティングのセキュリティ2 ドラフト-2013-05-21-01

情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

Embed Size (px)

Citation preview

Page 1: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

情報セキュリティと標準化II 参考資料

クラウドコンピューティングのセキュリティ2ドラフト-2013-05-21-01

Page 2: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報処理技術者試験:

情報セキュリティ対策①物理セキュリティ対策:物理的な脅威から情報資産

を保護する。耐震設備、電源設備、入退室管理(IDカード)

②技術的セキュリティ管理:技術的な脅威から情報資 産をまもる。

コンピュータウィルス対策、WEB認証、アクセス制 御など

③人的セキュリティ対策:人的な脅威から情報資産を 保護する。

従業員、組織の人員の管理、セキュリティポリシー を守らせる(周知させる)。

Page 3: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

情報セキュリティのCIA

confidentiality

Integrity availability

機密性情報が組織や個人に

よって定められたルール

通りに保護できること。

可用性システムを必要に

応じて利用・制御ができ

ること。

完全性情報が破壊、改ざん又

は消去されていない状

態を確保すること

暗号・認証

アクセス制御・認証

暗号・アクセス制御

Page 4: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

情報セキュリティのCIA

C

I A

アクセス制御、パスワード認

証、暗号化、入退室管理

暗号化、デジタル署名、ハッシュによる改ざん防止

情報漏洩WEBクラッキング

パスワードが盗まれる

アクセス制御、冗長構成、認証

不正アクセスWEBが改竄される

サイバー攻撃WEB封鎖

アクセスできなくなる

Page 5: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

情報セキュリティの3条件 CIA(秘匿性・完全性・可用性)

• 秘匿性 Confidentiality許可されたものが情報にアクセスできる。

• 完全性 Integrity情報が正確であり、改ざんされないこと。

• 可用性 Availability許可されたユーザが情報にアクセスし利用できる。

Page 6: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

秘匿性:秘密(C)を守る

送信

第3者に情報が漏洩しないか

暗号化されていな

いデータにアクセス

されないか

Page 7: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

認証:完全性(I)を守る

送信

相手認証通信相手が本人かどうか

メッセージ認証通信の途中で

メッセージが改ざんされ

ていないか

デジタル署名送信する文書が正当化かどうか

Page 8: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

脆弱性管理:(A)を守る

リスク

脆弱性

脅威

発生する前の想定

脆弱性:リスクを発生

させる原因のこと。

プログラムを間違って

書くと発生する。

発生した後の事象

Page 9: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

暗号化:C(秘匿性)を守るための

2種類の暗号化手法

平文 暗号文 平文

暗号鍵 復号鍵

共通鍵暗号方式:

暗号鍵と復号鍵に同じ鍵を用いる

公開鍵暗号方式:

暗号鍵と復号鍵が違う

暗号鍵は公開する(多)。秘密鍵で復号する(一)。

Page 10: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

インターネット通信で使う2つの処理

暗号化とハッシュ

平文メッセージ

暗号文計算(変換)

平文メッセージ

ハッシュ計算(変換)

通信の途中でメッセージの内容が第3者にわからないようにする。

メッセージの内容を短くして表現してメッセージが改ざんされていないかの確認に使う。

Page 11: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

2種類の暗号化手法

平文 暗号文 平文

暗号鍵 復号鍵

共通鍵暗号方式:

暗号鍵と復号鍵に同じ鍵を用いる

公開鍵暗号方式:

暗号鍵と復号鍵が違う

暗号鍵は公開する(多)。秘密鍵で復号する(一)。

Page 12: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

インターネットと暗号化

暗号化

復号化

インターネットでは見知らぬ第3者のコ

ンピュータを経由して通信がおこなわれる。

第3者が見てもわからないようにする。

鍵を使ってデータを戻す。

Page 13: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

2種類の暗号化手法

鍵X

鍵A

鍵Y

鍵A

共通鍵方式は送信と受信で同じ鍵を

使う。

公開鍵方式は送信と受信で違う鍵を使う。2つの鍵を使う

鍵Xで暗号化した

データは鍵Yでしか

復号できない。

Page 14: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

共通鍵暗号の弱点:鍵を盗まれる

鍵A鍵A

鍵Aを盗まれると

第3者によってデータが復号されて

しまう。

共通鍵方式は送信と受信で同じ鍵を

使う。

Page 15: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

対策①:公開鍵暗号を使う

鍵X鍵Y

公開鍵方式は送信と受信で違う鍵を使う。2つの鍵を使う

鍵Xで暗号化した

データは鍵Yでしか

復号できない。

鍵X

攻撃者に鍵Xが渡っても鍵Yでないとデータは

復号(復元できない)

Page 16: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

公開鍵暗号の欠点:中間者攻撃

公開鍵

X1

共通鍵Y1公開鍵方式は

送信と受信で違う鍵を使う。2つの鍵を使う

鍵Xで暗号化した

データは鍵Yでしか

復号できない。

①鍵Xを偽っ

て配布する。②偽って配布した鍵X1で暗号化して

いるので攻撃者の鍵X2を使って復号

化できてしまう。

共通鍵

X2

送信者受信者

③攻撃者を受信

者の公開鍵Y1を

使って盗んだ

データをさらに暗

号化して送る。

公開鍵Y1

Page 17: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

対策②:デジタル署名を使う

鍵X鍵Y

公開鍵方式は送信と受信で違う鍵を使う。2つの鍵を使う

鍵Xで暗号化した

データは鍵Yでしか

復号できない。

攻撃者にデータと鍵Xが渡っても鍵Yでないとハッシュ値は

復号できない。

送信者受信者

ハッシュを計算

共通鍵で

暗号化

データは別途暗号化して送っておく

公開鍵で

復号化ハッシュ

を計算

比較して一致していれば送信者

が正当だと判断できる。

Page 18: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

クラウドコンピューティング

従来は手元のコンピュータで管理・利用していたようなソフトウェアやデータなどを、インターネットなどのネットワークを通じてサービスの形で必要に応じて利用する方式。IT業界ではシステム構成図でネットワークの向こう側を雲(cloud:クラウド)のマークで表す慣習があることから、このように呼ばれる。

クラウド・コンピューティングとは、インターネットの先にあるサーバーに処理をしてもらうシステム形態を指す言葉である。ユーザーが何らかの作業を行う ときに、自分の目の前にあるパソコ

ンや会社のネットワーク上にあるサーバーではなく、インターネット上のサーバーを利用して処理してもらう。

Page 19: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

クラウドコンピューティング

クラウドコンピューティングとは、ネットワーク、サーバー、ストレージ、アプリケーション、サービスなどの構成可能なコンピューティングリソースの共用プールに対して、便利かつオンデマンドにアクセスでき、最小の管理労力またはサービスプロバイダ間の相互動作によって迅速に提供され利用できるという、モデルのひとつである。このクラウドモデルは可用性を促進し、5つの基本特性と、3つのサービスモデルと、4つの配置モデルによって構成される. アメリカ国立標準技術研究所 (NIST)による定義

従来の利用形態

クラウドコンピューティング

ユーザの手元に記憶媒体、CPU入出力デバイス

がある。

CPUと記憶媒体はイン

ターネット越しに利用する。

Page 20: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報技術者 平成24年春期 クラウドコンピューティング

①あらゆる電化製品をインテリジェント化しネットワークに接続することによって,いつでもどこからでもそれらの機器の監視や操作ができるようになること

②数多くのPCの計算能力を集積することによって,スーパコン

ピュータと同程度の計算能力を発揮させること

③コンピュータの資源をネットワークを介して提供することによって,利用者がスケーラピリティやアベイラピリティの高いサービスを容易に受けられるようになること

④特定のサーバを介することなく,ネットワーク上のPC同士が

対等の関係で相互に通信を行うこと

Page 21: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報技術者 平成24年春期 クラウドコンピューティング

①あらゆる電化製品をインテリジェント化しネットワークに接続することによって,いつでもどこからでもそれらの機器の監視や操作ができるようになること

②数多くのPCの計算能力を集積することによって,スーパコン

ピュータと同程度の計算能力を発揮させること

③コンピュータの資源をネットワークを介して提供することによって,利用者がスケーラピリティやアベイラピリティの高いサービスを容易に受けられるようになること

④特定のサーバを介することなく,ネットワーク上のPC同士が

対等の関係で相互に通信を行うこと

Page 22: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

クラウドコンピューティングの定義

• クラウドコンピューティングとは、ネットワーク、サー バー、ストレージ、アプリケーション、サービスなどの

構成可能なコンピューティングリソースの共用プー ルに対して、便利かつオンデマンドにアクセスでき、

最小の管理労力またはサービスプロバイダ間の相 互動作によって迅速に提供され利用できるという、 モデルのひとつである。このクラウドモデルは可用 性を促進し、5つの基本特性と、3つのサービスモデ

ルと、4つの配置モデルによって構成される。

— NIST:アメリカ国立標準技術研究所

Page 23: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

クラウドコンピューティングの例

Page 24: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

情報セキュリティへの脅威の分類

とクラウドコンピューティング①データセキュリティ大事なデータ(個人情報など)が守られること。

②システムセキュリティ個人のコンピュータやデバイスが守られること。

③ネットワークセキュリティ複数の人が使うネットワークやサービスが安全に利用できること。

④人的セキュリティ悪意のある人が大事な情報やシステムにアクセスできないようにすること。

物理マシンは外部のクラウド

事業者が防御する。

アクセス制御は基本的にクラウド事業者が行う。

Page 25: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

クラウド環境での機密性

• 自分の組織内のクラウドコンピューティングのシステ ムをクラウドに移すと、自社のクライアントとサーバ

でやり取りしていたデータはすべてインターネット上 を流れるため、盗聴や中間者攻撃などによりデータ の機密性が損なわれる。

• クラウドコンピューティングではマルチテナントを介し てサービスを提供するため、共用している物理マシ

ンの設定ミスなどにより、自社のデータが外部に漏 れるなどの機密性の損失の可能性がある。

Page 26: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

クラウドコンピューティングと

マルチテナント会社A

会社B

会社Cクラウド(インターネット)を通じて複数の組織

(他人同士)が同じ物理マシンを利用すること

をマルチテナントという。

Page 27: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

クラウド環境での可用性

• クラウドコンピューティングはインターネットを 介してサービスを利用するため、インターネッ ト回線に問題があると可用性が損なわれる。

• クラウドコンピューティングではマルチテナン トを介してサービスを提供するため、同じ物理

マシンの他の組織のサービスが攻撃されると 自分の組織のサービスの可用性が損なわれ る。

Page 28: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

クラウドコンピューティングとWEB アプリケーション

クラウドコンピューティングではデータの読み書きはWEBブラウザを

使ってインターネット越しに行うため、

WEBブラウザでの

暗号化と認証は必須

中間者攻撃

通信している送信者Aと受信者Bの間に攻撃者Xが介入する。

Bの公開鍵を盗用しAと通信する。Xは秘密鍵を生成し、Aのものだと偽ってXに送信し、Aと通信

する。

中間者攻撃を防ぐには正しく認証を行う必要がある。

Page 29: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

WEBアプリケーションのセキュリティ

WEBサーバ

DBサーバ

攻撃者1フィッシング

盗聴

攻撃者2クロスサイト

攻撃

攻撃3SQL

インジェクション

Page 30: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

WEB通信の暗号化: 鍵をさらに暗号化するクライアントは

WEBサーバに

入力した内容を

見られたくない 攻撃者盗聴

サーバ秘密

鍵が盗まれている

可能性がある。

①ファイル(データ)をクライアントが生成した共通鍵で暗号化して送信

②暗号に使った共通鍵を公開鍵でさらに暗号化して送信

③サーバは暗号化された鍵を秘密鍵で元の鍵に戻し、送られてきたデータを復号

Page 31: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

WEBアプリケーション:フィッシング

正規WEB1234.com

攻撃者はユーザが入力するIDと

パスワードが知りたい。

悪意WEB1243.com

正規WEBとよく似た

サイトにユーザを誘導し、

パスワード等を入力させる。

協力

Page 32: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

WEBアプリケーション: クロスサイトスクリプティング

正規WEB1234.com

攻撃者1フィッシング

盗聴

リンクが貼ってある1234.com+

悪意のあるコード

悪意のあるWEBサーバ

①ユーザが悪意のWEBサーバ

上のリンクをクリックする

②悪意のあるコード付きでアクセスしてしまう。

③正規WEBで悪意

のあるスクリプトが生成され、ユーザへ送信され実行されてしまう。

Page 33: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

従来の利用形態とクラウドの利用形態

従来の利用形態 クラウドの利用形態

ファイアウォール内部のサーバは、知っている人間しか使わない。

境界(ファイアウォール)がない。

セキュリティを共同で管理

内部ネットワークやサーバの構成を

外部や他人に公開しない。

複数のユーザがマルチテナントで

同居することを想定した管理

ハードディスクやキャッシュ、メモリ上の、データの適

切な消去が可能

削除されたデータが消えない、

削除できないことがある。

データのバックアップ先や、

情報セキュリティ監査の対象が明確

データのバックアップ先や監査が

ユーザ側から把握できない場合もある。

複数のサービス事業者を利用できる。特定クラウドサービス業者に

ロックインされる。

回線の二重化や冗長化によって

可用性を向上できる。

インターネット回線の可用性の限界は超えられない。

Page 34: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

クラウドの種類

ハードウェア

仮想マシン

OS

アプリケーションプラットフォーム

アプリケーション

IaaS

ハードウェア

仮想マシン

OS

アプリケーションプラットフォーム

アプリケーション

PaaS

ハードウェア

仮想マシン

OS

アプリケーションプラットフォーム

アプリケーション

SaaS

Page 35: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

データ

コンテンツ

ミドルウェア

OS

ネットワーク

ハードウェア

SaaS PaaS IaaS セキュリティ対策

アクセス制御の設定データを暗号する

セキュアプログラミング脆弱性の発見・診断

脆弱性パッチアクセス権限設定

脆弱性を修正フィルタリング

物理セキュリティ運用手順

クラウド事業者がセキュリティ担当 クラウド利用者がセキュリティ担当

区画化アクセス設定

Page 36: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

クラウドコンピューティングのセキュリティ

[SaaS]SaaS 利用企業は、データやコンテンツに関してのみ自社でセキュリティ対策をする。ログインIDやWEBコンテンツのアクセス設定を行う。その他、アプリケーションから

サービス運用までの領域はクラウド事業者がセキュリティ対策をする。

可用性管理:サービスが止まらないようにクラウド事業者側がデータベース、OSやハードウェアの管理をする。

[PaaS]PaaS 利用企業は、データからアプリケーションまでの領域のセキュリティ対策が必

要です。アプリケーションとデータベースまでを防御する必要がある。可用性管理:クラウド事業者側は、主にOSとミドルウェアの管理をする。

[IaaS]IaaS 利用企業は、データからミドルウェア、OSまで幅広くセキュリティ対策をする必

要がある。可用性管理:クラウド事業者側は、主にハードウェアやデバイスドライバなどの管理をする。

Page 37: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報処理技術者試験 WEBアプリケーションのセキュリティ

①クロスサイトスクリプティング(Cross Site Scripting)

:他の正規WEBサイトの脆弱性を利用し

て、悪意のあるプログラムを埋め込み、クライアント にダウンロードさせて利用すること。

②SQLインジェクション(SQL Injection)悪意のあるデータベース操作命令(SQL命令)を

WEBを通じて入力することで、WEBサーバに接続 されているデータベースの情報を不正に入手するこ と。

③フィッシング

(phishing) :ショッピングサイトや金融 機関のサイトを偽装し、利用者を誘導することで、ク

レジットカードなどの個人情報を不正に入手すること。

Page 38: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報処理試験(H21秋)

クロスサイトスクリプティング• WEBサーバへのユーザへの内容のチェックがされていない

場合、悪意をもったスクリプトを埋め込まれてしまい、偽の ページの表示や攻撃スクリプトがユーザのブラウザで実行さ

れてしまうこと。

• WEBサイトへの入力データを検査し、HTMLタグ、 JavaScript、SQL文などを変換し、入力を無害化することを

サニタイジング(無害化)という。

• 動的にJavaScriptなどのWebページを生成するアプリケー ションの脆弱性を利用し、正規サイトと悪意のあるWEBサイ トの横断して(クロスサイト)、悪意のあるスクリプトを生成し、 ユーザのクッキー(IDやパスワードが入っていることがある)

を漏洩させるなどの攻撃を行う行為。

Page 39: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報処理試験

フィッシング

• 実在する金融機関や買い物サイトなどの正 規のメールやWEBをサイトを装い、ユーザを

そこに誘導させ、ユーザIDやパスワード、暗 証番号などを入手する手法

• 偽の電子メールを発信して、ユーザを誘導し、 実在する会社を装ったWEBサイトにアクセス

させ、ユーザに個人情報を入力させる。

Page 40: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

対策1 WAF (Web Application Firewall)

• SQLインジェクションやクロスサイトスクリプ ティングなど、Webアプリケーション上の脆弱

性をカバーする装置。WAFは通常のファイア ウォールと同様 にすべてのHTTP/HTTPSト

ラフィックを中継し、通信の内容を精査する。 GNUライセンスの下で公開されているオープ ンソースのWebアプリケー

ションファイア

ウォールであるmod_securityなどが有名で ある。

Page 41: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報処理技術者試験

セキュアプログラミング【1】設計:利用できる各技術要素が安全に利用できるか検討する。

【2】実装①:バッファーオーバーフロー、SQLインジェクション、

セッション管理などを安全にする。

【3】実装②:フェールプルーフ(利用者はミスをするという前提)で実装する。

【4】テスト:複数の環境設定や入力において正しく動作するか検査する。

【5】運用:ソフトウェアが実際に運用されて始めてでくる問題点の洗い出しや、問題を修正するための体制を確立しておく。

Page 42: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

対策2 セキュアWEBプログラミングの例

セッション対策クロスサイトスクリプティング(CSRF)対策セッション乗っ取り対策#1: セッションIDとその侵害手口セッション乗っ取り対策#2: セッションIDの強度を高めるセッション乗っ取り対策#3: https:の適切な適用セッション乗っ取り対策#4: セッションIDお膳立てへの対策セッション乗っ取り対策#5: 乗っ取り警戒と被害の不拡大予定外ナビゲーション対策

IPA セキュアプログラミング

WEBアプリケーション編https://www.ipa.go.jp/security/awareness/vendor/programm

ingv2/web.html

Page 43: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

資料

Page 44: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

クラウド上の仮想マシンの

セキュリティ

①仮想マシンのディスクイメージはデフォルトで 最低限の安全な設定をしておく。

②ホストベースで最小限のサービス(HTTP、 SSH)などのアクセスを許可しておく。

③ソフトウェアのバージョン管理を行う。

④仮想マシンの設定をバージョン管理し、適切 な設定変更が行えるようにする。

⑤各種ログの取得をする。

⑥ログのレビューや、IDS・IPSの設置をする。

Page 45: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

共通鍵は鍵の管理が大変

A

B

C

D

E

共通鍵で通信する場合鍵の数はn×(n-1)÷2

B,C,D,Eの4人と通信する場合、Aは4つの鍵を管理する必要がある。

送信側、受信側とも鍵を第3者に教えてはいけない。

Page 46: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

公開鍵は鍵の数が少なくて済む。

A

B

C

D

E

悪意

公開鍵で通信する場合鍵の数は2nで済む。

悪意のある送信者に

鍵が渡っても問題ない。

Page 47: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報処理技術者試験:認証

• 相手認証:通信相手が正しいか、本人かどうか確認 する技術

– コールバック、共通鍵、公開鍵暗号方式が使われる。

• メッセージ認証:通信文やファイルに改ざん(悪意の ある変更)が加えられたかを検出する技術。

• デジタル署名:文書の正当性を保証する技術

Page 48: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報処理技術者試験:機密保護

①暗号化:一定の規則でデータを変換して第三 者にわからなくする。

共通鍵暗号方式

公開鍵暗号方式

②認証:アクセスしている人や通信先が本人で あること、正当な利用者であることを確認する こと。

③アクセス管理:コンピュータシステムの資源に 対する不正なアクセスを防ぐこと。

Page 49: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

脅威の種類

• 破壊:データやコンピュータを壊す• 漏洩:組織の機密情報や個人情報を外部に漏らす• 改ざん:ホームページなどが改ざんする• 盗聴:メールなどが盗み見される• 盗難:コンピュータやUSBメモリなどが盗まれる

• サービス停止:組織が提供しているサービスが落とされる• 不正利用:組織のネットワークやシステムが別の目的で不正に

利用される。• 踏み台:他の組織の情報システムを攻撃する手段に利用される。• ウィルス感染:ウィルス感染により組織の大事なデータが破壊さ

れる。• なりすまし:パスワードを盗まれ、本人のアカウントが情報を盗ま

れたり、買い物をされる。• 否認:文書がメールで送信した内容を、否定される。

Page 50: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

参考(参照)文献

【1】図解入門

よくわかる最新情報セキュリティの基本と仕組み

- 基礎から学ぶセキュリティリテラシー

相戸 浩志

秀和システム

【2】基本情報処理技術者試験情報処理教科書 基本情報技術者 2013年版日高 哲郎

(翔泳社)

情報処理教科書 応用情報技術者 2013年版日高 哲郎

(翔泳社)

【3】ポケットスタディ

情報セキュリティスペシャリスト村山 直紀

秀和システム

Page 51: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報処理技術者試験 セキュリティポリシー

情報セキュリティ基本方針

情報セキュリティ対策基準

情報セキュリティ対策手続き規定類

情報セキュリティポリシは、経営層の同意に基づき、組織の保 有する情報資産(ハードウェア、ソフトウェア、ネットワーク、デー

タ、設備など)を脅威から守るために、組織の情報システムの機 密性、完全性、可用性を確保するために規定するきまりのこと。

Page 52: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報処理技術者試験

情報セキュリティ基本方針と対策基準

• 情報セキュリティ基本方針:組織のリスクマネ ジメントの一貫として、情報セキュリティの方

針を、組織に属する人に伝達することを目的 に作成される。

• 情報セキュリティ対策基準:情報セキュリティ 基本方針に基づいて、組織に属する人に具

体的な基準を示して、実際の義務と責任を割 り当てるために作成される。

Page 53: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

基本情報処理技術者試験

情報セキュリティ管理と対策

• 情報セキュリティポリシーとISMSIMIS (information security

management system)• リスク管理

純粋リスクと投機的リスク

• 情報セキュリティ対策

物理的対策、技術的対策、人的対策

Page 54: 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2

サイバースペース

Cyberspace = cybernetics + spaceの造語。

①オンラインによるコミュニケーションが行われるコンピュータ ネットワークの電子媒体のこと

②相互接続された情報技術によって表現され、さまざまな通信 機能や制御機能を持つ製品やサービスで構成されたもの

③コンピュータやネットワークの中に広がるデータ領域を、多数 の利用者が自由に情報を流し、情報を得たりすることができ る仮想的な空間のこと。

④物理的に存在する形があるものではなく、インターネットに接 続される機器やネットワークの技術的手段によって、インター ネット上において、人、ソフトウェア、サービスの関わり合い

からもたらされる複合環境