Please enable JavaScript.
Coggle requires JavaScript to display documents.
155734D 箕輪 亜加梨 (5回目 (情報セキュリティ (リスクマネジメント, セキュリティマネジメント, リスクアセスメントとリスク対応,…
155734D 箕輪 亜加梨
5回目
情報セキュリティ規格
ITサービス(ITSMS):ISO/IEC
環境(EMS):ISO14001
情報セキュリティ
リスクマネジメント
セキュリティマネジメント
リスクアセスメントとリスク対応
要素:機密性,完全性,可用性,真正性,責任追跡性,否認防止,信頼性
ISO:1947年より始まり正式名称は国際標準化機構
IEC:1906年より始まり,正式名称は国際電気標準会議
9回目
セキュリティインシデント報告
セキュリティインシデントの状況把握の正確性は弱く,ログを解析して被害状況は確認しているが,実際どんな方法を用いて確認したかが不明
アクシデントへの対処方針の妥当性はひどく,本部情報処理係がクラックされたPCを確認した時点でお知らせより先にネットから切り離すことを考えるべきだった.
インシデント再発防止策の妥当性は少し甘すぎと感じる.認証を失敗した際の規制をもう少し厳しくするべき
10回目
ISMSインシデント対応ロールプレイ
方針:感染した機械のネットを切断し,感染した原因をログの確認等で特定する
技術的対処:感染していた間に不正アクセスされた形跡がないか調べ,怪しい通信をブロックかつ短期間での複数アクセスへの対処.ウイルス対策ソフトをアップデートし最新にした上でスキャンにかける
再発防止策:許可されていないソフトウェアの禁止,ウイルス対策ソフトを常に最新に.常にログを監視する
11回目
インシデント事例対応A
付属書A5~18の管理策のいづれに関連が強いかを見つける
インシデント内容:媒体紛失,個人情報漏えい等
12回目
インシデント事例対応B
付付属書A5~18の管理策のいづれに関連が強いかを見つける
インシデント内容:データ消失,ウイルス感染等
13回目
サイバー攻撃
外部へ不正アクセスがあったり情報が抜き取られたりしていルコとも.
対処法:ソフトは最新の状態を保ち,攻撃の手口を知ること.共有設定をもう一度確認し,パスワードを強化する.
スマホの乗っ取り
不正アプリ等のインストールで乗っ取られたりする可能性
対処法:原因アプリを即刻アンインストール.インストールする前に許可を求める画面で不必要な許可を求めるものがあるか危惧すべき
偽警告
ブラウザに唐突としてウイルス感染をしている等の文書が出現.ユーザーの操作を妨害し変なソフトをインストール&購入させようとする.
対処法:実はブラウザの一過性のものであるため,一度ブラウザ自体を再起動させて見ると良い.
1回目
マルウェア
ウイルス
他のプログラムに依存し,自己増殖を繰り返す.主にユーザに百合駅な影響を与えるプログラム等の総称
害をなすソフトウェアの総称.
ワーム
自己増殖する点はウイルスと変わらない.しかし他のプログラムに依存せず独立で存在可能.ネット接続のみでも感染する可能性あり.
トロイの木馬
アプリや画像,文書ファイル等に偽造し,コンピュータ内部に侵入したあとその端末を外部から操る.自己増殖なし
主な侵入経路
メールの添付ファイル
マルウェアが潜伏しているサイトへアクセスする
外部接続メモリからの感染
アプリに偽装しており知らずのうちにダウンロードしてしまう
4回目
著作権
著作権は著作者を擁護する目的,
著作者人格権を他人に譲渡することはできない.
著作物の種類
写真
二次的著作物
共同著作物
編集著作物
ゲームソフト
複製権
2次創作や鼻歌等
6回目
ISMS用語:機密性,完全性,可用性,エンティティ,プロセス,真正性,否認防止,信頼性
セキュリティ対策
ウイルスや不正プログラム等の外部要因への対策
自分の不注意に対する対策
ウイルスに感染した場合速やかにネットから切り離す方法
1,太い本に挟む
2,ネットを断つ
3,水にドボン
4,アルミホイルで包む
7回目
ネットトラブル
ソーシャルエンジニアリング
トラッシング
なりすまし
侵入
キーロガー
アドウェア
スパイウェア
ワンクリック詐欺
フィッシング
メールの宛先指定
宛先:メールの主要な送り先のメールアドレスを指定
CC:主要ではないものの同じメールを複数人に送る場合に指定.他の誰に送られたか受信者同士で見ることができる
BCC:ほぼCCと同様であるが,他の誰に送られたか受信者同士で見ることができない.
8回目
リスクアセスメント
リスク特定:リスクを発見し,認識し,記述するプロセス
リスク分析:リスクの特質を理解し,リスクレベルを決定するプロセス
リスク評価:リスクとその大きさが許容可能かを決定するためにリスク分析の結果をリスク基準と比較するプロセス
リスク管理
リスク管理プロセス
情報資産のリスク分析
情報資産のリスク対応
リスク回避
リスク低減
リスク移転
リスク保有
2回目
ネットに関する法律
プロバイダ責任法が2002年に制定
親告罪:ドイツと日本くらいにしか存在しない
個人情報保護法と番号法
この二つには保護対象や適用除外,利用範囲や第三者への提供に違いがある
3回目
法律
1970:著作権法
2000:不正アクセス禁止法
2001:電子署名法,IT基本法
2002:プロバイダ責任制限法,特定電子メール法,特手商取引法
2005:個人情報保護法
2015:番号法(マイナンバー法)
2016:個人情報保護法