ITパスポートの過去問「情報セキュリティ管理」でわからなかった単語をコピペ、感想を書いていく。

情報セキュリティにおける三要素は、機密性、完全性および可溶性です。可用性とは、障害が発生しても安定したサービスを提供でき、ユーザが必要なときに必要なだけシステムを利用可能である度合いのことです。

とりあえず概念は覚えておこう的な抜粋。

PDCA(ピーディーシーエー)は、Plan(計画)→Do(実行)→Check(評価)→Act(見直し・改善)の4段階を繰り返すことによって、業務を継続的に改善する手法です。

PDCAはよく見る単語っすね。PDCAサイクルがきちんと回るって結構難しいと思うんだけどね（）

サイバーレスキュー隊(J-CRAT)は、「標的型サイバー攻撃特別相談窓口」にて受け付けた相談や情報に対して調査分析を実施し、JPCERT/CCやセキュリティベンダ等と連携して助言や支援および情報共有を行うことで被害の低減と攻撃の拡大防止を図るIPAの取り組みです。標的型サイバー攻撃の被害低減と拡大防止を活動目的としています。

某製粉会社の騒動でもで出動したのかな？専門家がいてくれるのは良き。

ISMSのリスクアセスメントは、リスクの大きさを評価し、そのリスクが許容できるか否かを決定する全体的なプロセスです。JIS Q 27000で「リスク特定，リスク分析及びリスク評価のプロセス全体」と定義されているように、「リスク特定」「リスク分析」「リスク評価」までの一連の活動を含みます。

特定→分析→評価の順で活動するってさ。対応はリスクアセスメントの範囲外。

リスク移転　他者とリスクを共有すること
例）保険に加入する、リスクのある業務をアウトソーシングする

リスク回避　リスク源を除去して、リスクが現実化する確率をゼロにすること
例）リスクを生じさせる活動を、開始または継続しないと決定する

リスク低減　リスクの起こりやすさ、またはリスクが現実化したときの損失を低下させること
例）機器を二重化する、入退室管理を厳重にする

リスク保有　リスクを許容し、あえて何の対策も講じないこと
例）対策費用が損害額を上回るので対策をとらない

それぞれ理解してないとややこしいので覚える。 リスク移転はどっちかというと分散の方がイメージしやすい、かもね。

バイオメトリクス認証は、生体認証とも呼ばれ、人間の身体的な特徴や行動の特性など個人に固有の情報を用いて本人の認証を行う方式です。事前に本人の生体特徴情報を認証システムに登録しておき、認証時にはセンサで読み取った情報と比較することで本人確認を行う仕組みになっています。認証方式として、指紋認証、静脈パターン認証、虹彩認証、声紋認証、顔認証、網膜認証などの種類があります。

出勤管理に静脈認証やってたとこあったけど本当に必要か？？と思っていたことは内緒。居酒屋にそれは必要か？？

CSIRT(Computer Security Incident Response Team，シーサート)は、セキュリティ対応を専門とする組織のことで、企業内などの一定範囲で発生したセキュリティインシデントについて活動を行うチームです。サイバーセキュリティ経営ガイドライン(ver2.0)では「インシデントの発生に対応するための体制のこと。」と定義されています。

 他の単語わかってりゃ正解する系の問題で出てた。「シーサーとセキュリティ対応する」で覚えることにする。

JVN(Japan Vulnerability Notes)は、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。JVNが公開している"JVN#12345678"などの番号は脆弱性識別番号と呼ばれ、脆弱性情報ごとに一意に割り振られます。JVNのWebサイトでは、脆弱性情報ごとに概要、影響を受けるシステム、詳細情報、想定される影響、対策方法などを閲覧できます。またJVN iPediaでは、脆弱性情報をデータベースから検索できるようになっています。

 本当にJVNで調べたらあった…知らんかった…、セキュリティ系のこと調べるにはこういうとこで調べるのがよさそう。