▼FE平成30年度秋期:問39 JIS Q 27000:2014 (情報セキュリティマネジメントシステム-用語)における真正性及び信頼性に対する定義 a~d の組みのうち、適切なものはどれか。
[定義]
a 意図する行動と結果が一貫しているという特性
b エンティティは、それが主張するとおりのものであるという特性
c 認可されたエンティティが要求したときに、アクセス及び使用が可能であるという特性
d 許可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しないという特性
▼上に出てきた用語の意味
【JIS Q 27000:2014】ISOの規格の日本版。
【真正性 Authenticity】情報にアクセスする企業組織や個人あるいは媒体が「アクセス許可された者」であることを確実にする方法。例:デジタル署名、二段階認証、多要素認証(生体認証を含む)。(NTT東日本)
【信頼性 Reliability】データやシステムを利用した動作が、意図した通りの結果を出すこと。方法:システムやソフトウェアが不具合を起こさない設計を行う、不具合のない設計をもとに構築を行う、ヒューマンエラー(操作ミスなど)が起こっても、データが改ざんされたり消失したりしない仕組みを施す。(NTT東日本)
【機密性 Confidentiality】社員の個人情報・顧客情報・新製品の開発情報・パスワードなどの情報に対するアクセス権限を徹底して保護・管理すること。方法:アクセスコントロールのルール設定やパスワード認証、情報自体の暗号化。(NTT東日本)
【完全性 Integrity】改ざんや過不足のない正確な情報が保持されている状態。方法:情報にはデジタル署名をつける、情報へのアクセス履歴を残す、情報の変更履歴を残す、バックアップなどの情報を保管するルールを決める。(NTT東日本)
【可用性 Availability】情報をいつでも使える状態を保持すること。方法:システムの二重化(多重化)、HDDのRAID構成、UPS(無停電電源装置)、BCP(事業継続対策)、システムのクラウド化。(NTT東日本)
▼今回の問いとFEのシラバス(セキュリティ)の関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼シラバスでの位置付け
1.情報セキュリティ >
(1)情報セキュリティの目的と考え方 :機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を確保・維持することによって様々な脅威から情報システム及び情報を保護し情報システムの信頼性を高める。
[用語例]真正性(Authenticity)、責任追跡性(Accountability)、否認防止(Non-Repudiation)、信頼性(Reliability)、以下略。
関連して、2.情報セキュリティ管理 >
(5)情報セキュリティマネジメントシステム(ISMS): 組織体における情報セキュリティ管理の水準を高め、維持・改善していく ISMS (Information Security Management System:情報セキュリティマネジメントシステム)の仕組みを理解する。
[用語例]JIS Q 27001(ISO/IEC 27001)、以下略。
▼解答イ