すべてのカテゴリ

今回からしばらくは資格試験勉強を兼ねてブログを更新しいていこうと思います。タイトルの頭に当該試験の符号であるSG：をつけていきます。プロフィールに記載の通り情報通信のアプリケーション階層についてはごくごく基本的な資格のみ保有しています。概ねOS I参照でいうところのレイヤ３まではそれなりに・・・なので、足がかりとして当該資格試験の受験をしてみたいと思いました。なお、独立行政法人であるIPAのサイトには以下のように定義されています。ーーーーーー情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験ですーーーーーーざっくりいうと、ITパスポート資格のセキュリティ専門・・・入門編といったところでしょうか。IPA公開しているシラバスに記載されている内容を以下に転載します。対象者像情報システムの利用部門にあって，情報セキュリティリーダーとして，部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程（情報セキュリティポリシーを含む組織内諸規程）の目的・内容を適切に理解し，情報及び情報システムを安全に活用するために，情報セキュリティが確保された状況を実現し，維持・改善する者．業務と役割情報システムの利用部門において情報セキュリティが確保された状況を実現し，維持・改善するために，次の業務と役割を果たす。① 部門における情報資産の情報セキュリティを維持するために必要な業務を遂行する。② 部門の情報資産を特定し，情報セキュリティリスクアセスメントを行い，リスク対応策をまとめ

業務効率を向上させるために業務をシステム化する企業様も多いことと思います。システム化することで、人材リスクの軽減や業務上のミスを減らしたり効率化したりする効果が見込まれます。一方で新たなリスクが生まれることも事実です。そのリスクと対策法を簡単に紹介いたします。新たなリスクとはまず情報セキュリティは以下の3要素を維持することと定義されています。この3要素である「機密性（アクセス権限を持った者だけが当該情報にアクセスできること）」「完全性（情報資産の正確さを維持し、改ざんさせないこと）」「可用性（必要な時に情報資産にいつでもアクセスできること）」を覚えていてください。その上で「人的リスク」「技術的リスク」「物理的リスク」の観点で見ていきましょう。人的リスク人的リスクとは文字通り人に関わるリスクです。人とは従業員や不正を働く第三者などで、故意に不正を働く場合もありますし、単純ミスの場合もあります。故意の不正とは、従業員であれば情報資産を盗んだり、不正なことに利用したりします。第三者は情報資産やパスワードを盗み見したり、ゴミなどから情報資産を探す、電話などで情報資産を不正入手したりします。単純ミスの場合は、例えば企業貸与のPCや携帯電話を紛失したり、情報資産のデータを誤った方法で操作し、意図せず改ざんしたり情報を破棄してしまったりすることです。紙面だけの業務であれば、例えば大量の情報（大量の紙面資料）を持ち出すことは困難だということを考えると、情報資産をデータ化することにより人的リスクは高まることがわかります。そしてこのように人による情報漏洩が発生すると「機密性」「完全性」「可用性」す