【ITパスポート勉強記録|21日目】情報セキュリティの脅威、リスクマネジメントを学習!

資格勉強
スポンサーリンク

今日の学習内容

使用教材:【令和7年度】 いちばんやさしい ITパスポート 絶対合格の教科書+出る順問題集 (絶対合格の教科書シリーズ)
勉強時間:45分間
学習範囲:
Lesson15-01「情報セキュリティの脅威」
Lesson15-02「リスクマネジメント」
Lesson15-03「情報セキュリティマネジメント」
出る順!過去問&完全解説

今日学んだ内容のポイントまとめ

Lesson15-01「情報セキュリティの脅威」

情報セキュリティとは情報資産を守ること。

情報セキュリティに関する脅威は大きく分けると「人的脅威」「技術的脅威」「物理的脅威」の3種類ある。

人的脅威とは人によって引き起こされる脅威のこと。クラッキングやソーシャルエンジニアリングが該当する。

クラッキングとは悪意を持ってコンピュータに不正侵入し、データを盗み見たり破壊したりすること。

ソーシャルエンジニアリングとは特別なツールや技術は使わず、人間の心理的な隙を利用して秘密情報を入手すること。

技術的脅威とは技術的な手段によって引き起こされる脅威のこと。マルウェア、バックドア、フィッシング等、様々なものがある。

マルウェアとは悪意のあるソフトウェアの総称。具体的にはボット、スパイウェア、ランサムウェア、トロイの木馬、RAT等がある。

バックドアとはシステムに意図的に設けられた秘密のアクセス経路のこと。

フィッシングとは金融機関などを装い、利用者を偽サイトに誘導し、暗証番号やクレジットカード番号などを入力させて、それらを不正に取得すること。

スパムメールとは受信者の承諾なしに無差別に送付されるメールのこと。

オートランとは外部記憶媒体をパソコンに接続した際に、自動的にその媒体の中のプログラムを実行するOSの機能のこと。

DoS攻撃とは電子メールやWebサーバーへの要求などを大量に送りつけて、ネットワーク上のサービスを提供不能にすること。

パスワードを割り出す攻撃として、パスワードとして考えられる文字列のすべての組み合わせを試す総当たり攻撃、辞書や人名録などにのっている単語をすべて試す辞書攻撃、不正で入手したIDとパスワードの一覧を使って正規ルートから不正アクセスするパスワードリスト攻撃がある。

クロスサイトスクリプティングとはWebページにユーザーの入力データをそのまま表示するフォーム、または処理があるときに、第三者が悪意あるスクリプトを埋め込むことでcookieなどのデータを盗む攻撃のこと。

セキュリテイホールとはコンピュータシステムやネットワークに存在する弱点や欠陥のこと。脆弱性とも呼ばれる。

物理的脅威とは施設や機器などが物理的な手段によって直接的に損害を受ける脅威のこと。具体的には災害や停電、盗難、破壊などがある。

Lesson15-02「リスクマネジメント」

リスクマネジメントとは企業の活動に伴って発生するあらゆるリスクを管理し、そのリスクによる損失を最小の費用で食い止めるためのプロセスのこと。

リスクマネジメントのプロセス「リスク特定」「リスク分析」「リスク評価」「リスク対応」の順番で行う。リスク特定~リスク評価までを合わせてリスクアセスメントと言う。

リスクの対応策「リスク回避」「リスク低減」「リスク共有」「リスク保有」の4種類ある。

Lesson15-03「情報セキュリティマネジメント」

情報セキュリティマネジメントは情報セキュリテイの確保に組織的、体系的に取り組むこと。

ISMS(情報セキュリテイマネジメントシステム)とは、組織の情報資産について機密性、完全性、可用性の3つをバランスよく維持・改善するための仕組みのこと。ISMSにおいてはコストパフォーマンスを考慮することが重要。

情報セキュリティポリシーとは情報セキュリティに関するその組織の取り組み、対策をまとめた文書のこと。「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施」手順の3つの文書で構成されている。

情報セキュリティ基本方針とは、情報セキュリテイに関する取り組みを示す文書のこと。経営の上位者が策定し、すべての従業員と社外の利害関係者に対して情報セキュリテイに対する取り組みを公表する。

情報セキュリティ対策基準とは情報セキュリティ基本方針で作成した目標を達成するためのルール集のこと。人事規定や就業規則などの「規程類」が該当し、各部門が作成・管理を行う。公開範囲は社内関係者のみ。

情報セキュリティ実施手順とは情報セキュリティ対策基準で定めたルールを実施するための手順書。いわゆるマニュアルのことで、各部門が作成・管理を行う。公開範囲は社内関係者のみ。

出る順!過去問&完全解説

14問中13問正解

物理的に離れたパソコンをネットワーク経由で遠隔操作をするマルウェアを選択する問題で間違えました。
答えは「RAT」。サイバー攻撃の種類の豊富さに、ただただ驚くばかりですね。
覚えるのが大変。

感想・気づき・つまづいた点

トロイの木馬、フィッシング、ランサムウェア、DoS攻撃などはニュース等でも取り上げられているのを見かけるため、わかりやすいですが、それ以外にも、たくさんのサイバー攻撃の手法があることに驚きました。

今後は、さらにインターネットが普及すると共に、これらのサイバー攻撃の手法が出てくると思うので、ITパスポート試験後も対策については勉強が必要だなと思いました。

リスクマネジメントに関してはプロジェクトマネジメントと内容がかなり似通っているので、マネジメント系とテクノロジ系で分野は違いますが、見比べながら覚える方が効率が良さそうだと思いました。

明日の予定

今日は予定通りLesson15-01「情報セキュリティlの脅威」~Lesson15-03「情報セキュリティマネジメント」を終了することができました。

明日の目標はLesson15-04「暗号技術の基本」~Lesson15-06「脅威への対策」を学んで
いきたいと思います。

明日で1周目終わります。

明後日以降、どういう風に勉強するか、まだ悩み中ですが、とりあえず明日も勉強がんばります。

スポンサーリンク

コメント

Secured By miniOrange
タイトルとURLをコピーしました