セキュリティのとらえ方
| 機密性 | condfidentiality | 許可された正当なユーザのみが情報にアクセスできる。 |
| コンフィデンシャリティ | ||
| 完全性 | integrity | 情報が完全で、改ざん・破壊されないことを保証する。 |
| インテグリティ | ||
| 可用性 | availability | 利用可のな状態を維持する。 |
| アベイラビリティ |
| 脅威 | 不正アクセスの手法 |
| ポートスキャン | |
| ディレクトリトラバーサル攻撃 | |
| セキュリティホール攻撃 | 脆弱(ぜいじゃく) |
その他の手法
| ソーシャルエンジニアリング |
| 盗聴 |
| サイドチャネル攻撃 |
| サラミ法 |
| IPスプーフィング |
| DNSキャシュポイズニング |
| 標的攻撃 |
| スパムメール |
| クロスサイトスクリプティング |
| SQLインジェクション |
| 対策機器 |
| IDS |
| (Intrusion Detection System) |
| 侵入検知システム |
| NIDS |
| HIDS |
| IDC |
| ハニーポット |
リスクマネージメント
| リスク分析 | ||
| ① | 分析対象の理解と分析計画 | |
| ② | 脆弱性の発見と識別 | |
| ③ | 事故態様の関連分析と損失額予想 | |
| ④ | 損失の分類と影響度の表か | |
| ⑤ | 対策の検討・評価と優先順位の決定 |
| JRAM | JIPDEC(日本情報処理開発協会) |
| ALE | 米国立標準技術院 |
| リスク対策 |
| リスクコントロール |
| リスク回避 |
| リスク最適化 |
| リスク移転 |
| リスク保有 |
| リスクファイナンス |
| リスク移転 |
| リスク保有 |
| セキュリティ評価の標準化 | ||
| ISO/IEC 15408 | 情報システムを構成する機器がどれだけセキュリティを実装しているかを示すための国際基準 | |
| ISMS | 情報セキュリティマネージメント規格 | |
| ISO/IEC 27001 | 組織のセキュリティ運用体制を規定 | |
| ベストプラクティス | ||
| PDCAサイクル | ||
| 情報セキュリティポリシ | ||
| 基本方針 | 組織としてのセキュリティへの取り組み指針。事業の特徴、組織、その所在地、資産及び技術を考慮して策定する。 | |
| 対策基準 | 部署ごとの事情を加味して、基本方針を具体化したもの | |
| 対策 | 実施手順、規定類 |