第6章 情报セキュリティ関连の法规と制度 ～まとめ编 .docVIP

情報セキュリティ読本 教育用プレゼンテーション資料 まとめと演習 第1章　IT（情報技術）に潜む危険　～まとめ編～ 1. ITの落とし穴 ■要点 ○情報セキュリティ被害における典型的な実例 ■解説 要　点 参照ページ 解　説 情報セキュリティ被害における典型的な実例 2～5 情報セキュリティ読本では、次の実例が紹介されています。 ?P2Pファイル交換ソフトを介した情報漏えい ?SQLインジェクション ?フィッシング詐欺 ?スパイウェア ?ワンクリック不正請求 2. 危険の認識と対策 ■要点 ○危険性のまとめ ○対処方法の大まかな指針 ■解説 要　点 参照ページ 解　説 危険性のまとめ 6～7 次の3つに大きく分けられます。 ?インターネットに潜む危険 ?メールに潜む危険 ?日常業務に潜む危険 対処方法の大まかな指針 7～8 情報セキュリティ読本では、次のような対処方法がこの順番で説明されています。 ?情報セキュリティの基本を知る ?ウイルスなどの不正プログラムについて理解する ?セキュリティ対策を施す ?情報セキュリティに使われている技術を理解する ?法律について認識する 第1章　IT（情報技術）に潜む危険　～演習編～ ■問題1 次の文章は、情報セキュリティの被害について述べたものです。正しいものを1つ選択してください。 (1) P2Pファイル交換ソフトを使用しているノートパソコンでも、ウイルス対策ソフトをインストールすれば、会社のネットワークに接続してもよい。 (2) SQLインジェクションで狙われるのは主に個人の掲示板やブログである。 (3) フィッシングは愉快犯的な要素が多く、実際に金銭的な被害が出ることは少ない。 (4) スパイウェアはユーザに気づかれずに侵入し、ユーザの個人情報やアクセス記録を盗み出そうとする。 (5) ワンクリック不正請求を受けたら、自分には身に覚えのない請求であると抗議をする。 ■問題2 次の文章は、インターネットに潜む危険について述べたものです。正しくないものを1つ選択してください。 (1) Webページを閲覧するだけでは、ファイルはダウンロードされない。 (2) 有用なプログラムに見えるソフトウェアでも、トロイの木馬の可能性もあるので、無闇なダウンロードは避ける。 (3) Webページやメールに記載されているURLは、必要がない限りクリックしない。 (4) 宣伝や勧誘目的で大量に送られてくる迷惑なメールをスパムメールという。スパムフィルタを利用する、開かずに削除するなどの方法で対処する。 (5) 実在の会社からのメールを装い、罠のWebサイトにユーザを導き、パスワードやクレジットカード番号等を入力させようとするフィッシングメールというものがある。 ■解答 問題番号 正解 参照先ページ番号 1 4 p.2～5 解説：(5) ワンクリック不正請求を行っている相手に連絡するのは非常に危険なので、絶対に連絡しないこと。基本的には無視し、心配な場合は消費生活センターや国民生活センターなどに相談しましょう 2 1 p.6～8 解説：Webページに仕掛けられた仕組みにより、自動的にウイルスファイルなどの不正プログラムがダウンロードされることがあります。 第2章　今日のセキュリティリスク　～まとめ編～ 1. 情報セキュリティ ■要点 ○情報セキュリティの基本概念 ○維持すべき3要素 ○脅威、リスク、インシデントの相互関係 ■解説 要　点 参照ページ 解　説 情報セキュリティの基本概念とは? 10 正当な権利をもつ個人や組織が、情報や情報システムを意図通りに制御できること。 維持すべき3要素とは? 10 情報の機密性、完全性、可用性。 脅威、リスク、インシデントの相互関係は? 11～12 脅威: 情報の機密性?完全性?可用性を阻害する要因。外部からの要因と内在する要因がある。 リスク: 脅威によって情報資産が損なわれる可能性。 インシデント: 実際に情報資産が損なわれてしまった状態。 2. 高水準で推移するウイルス被害 ■要点 ○ウイルスの最近の傾向 ■解説 要　点 参照ページ 解　説 ウイルスの最近の傾向 13 2001年をピークとして減少傾向でしたが、2004年以降急増しています。ウイルス自体が巧妙化?凶悪化しています。 3. 外部からの侵入（不正アクセス） ■要点 ○システムへの侵入方法 ○不正行為の種類（具体的に） ■解説 要　点 参照ページ 解　説 システムへの侵入方法 15～16 事前調査、権限取得、不正実行、後処理の段階を経て行われます。 不正行為の種類（具体的に） 17 盗聴、改ざん、なりすまし、破壊、コンピュータ不