セキュリティ用語の違いについて基本情報技術者試験の用語として違いを確認しておきましょう。
IT未経験や文系の方も就職や転職の資格として、プログラミング以外に基本情報技術者試験はとても重要です。
目次
基本情報技術者試験重要用語!ISMSとセキュリティまとめ
ISMS
・機密性、可用性、完全性
・Plan(計画策定)→Do(運用)→Check(レビュー)→Act(是正と改善)
・リスクの特定・識別→リスクアセスメント・分析→リスク対応→管理目的や管理策の選択
主なセキュリティ規格
・ISO/IEC27001, 27002, JIS Q 27001, 27002 ・・・ ISMSの要求事項や実践規範
・ISO/IEC15408, JIS X 5070, Common Criteria ・・・ 製品のセキュリティ評価規準
リスクの対策
リスク移転(転嫁)
リスクが顕在化した時の責任や金銭負担を他の組織と分散共有するか転嫁すること。具体的に、損害保険や外部委託などが当てはまる。
リスク回避
リスクのある状況自体を抹消すること。具体的に、事業からの撤退などが当てはまる。
リスク軽減(低減)
リスク発生確率や被害を小さくするよう対策をとること。具体的に、転倒防止装置や消火器などが当てはまる。
リスク保有(受容)
リスクを容認し、自らが損害を負担すること。
セキュリティ技術
SSL
・Webサーバーとブラウザ間で暗号化や認証を実現する。
・サーバー認証時にはサーバーの証明書をブラウザに送信する。
・暗号化通信には共通鍵(セッション鍵)方式で行う。
IPsec
IPv4に暗号化・認証機能を追加する拡張技術のこと。
S/MIME
電子メールに暗号化・認証機能を追加する拡張技術のこと。
ファイアウォール
ネットワークの境界に設置しアクセス制御を行う。
パケットフィルタリング
送信元及び宛先のIPアドレスやポート番号をもとに、パケットの通過許可・禁止を決定する。
DMZ
外部と内部の双方からアクセス可能な中間的ゾーンのこと。公開サーバーなどを配置する。
VPN
仮想的な専用網を構築する技術のこと。IPsec型やSSL型がある。