3-1 セキュリティの基礎とリスク
セキュリティの基礎とリスク
情報セキュリティはITパスポートで非常に重要な頻出分野です。単に攻撃名を覚えるだけでなく、情報資産を守る目的、リスク管理、組織的な対策まで理解します。
1. 情報セキュリティの3要素
| 要素 | 内容 | 例 |
|---|---|---|
| 機密性 | 許可された人だけが情報を見られる | アクセス権限、暗号化 |
| 完全性 | 情報が正確で改ざんされていない | 改ざん検知、ログ |
| 可用性 | 必要なときに利用できる | 冗長化、バックアップ |
2. リスク管理
リスクは、脅威が脆弱性を突いて損害を与える可能性です。
| 用語 | 内容 |
|---|---|
| 情報資産 | 守るべきデータ、システム、設備、人材 |
| 脅威 | 損害を与える原因 |
| 脆弱性 | 弱点や欠陥 |
| リスクアセスメント | リスクを洗い出し評価すること |
| リスク対応 | 回避、低減、移転、受容など |
3. セキュリティポリシ
組織として守るべき方針やルールを定めたものです。
| 階層 | 内容 |
|---|---|
| 基本方針 | 組織のセキュリティに対する考え方 |
| 対策基準 | 何を守るか、どの程度守るか |
| 実施手順 | 具体的な操作手順や運用ルール |
4. 事故対応
- インシデントを検知する。
- 影響範囲を確認する。
- 被害拡大を防ぐ。
- 原因を分析し、再発防止策を実施する。
- 必要に応じて関係者や監督機関へ報告する。
試験での注意点
セキュリティ対策は技術だけでは不十分です。教育、ルール、権限管理、ログ確認、バックアップなど、人的・組織的な対策も選択肢に出ます。
この章の理解を確認しよう
練習問題で知識を定着させましょう