セキュアド
セキュリティと利便性はトレードオフの関係にある、とかよく言われているようですが、個人情報に関して言えば、 その情報が個人を特定可能か(「個人情報」の定義通り) その情報が個人を追跡可能か(履歴系の情報や、複数サービスにまたがって使われる情報…
そもそも情報セキュリティとは、次の事柄を確かにすること。 機密性 (confidentiality) 他の人から見れないこと。乱暴に言うと、暗号化されていること。 完全性 (integrity) 改竄が検知できること。 可用性 (availability) 乱暴に言うと、落ちないこと(あと…
「リスク対策」と言うけれど、方法はいろいろある。 リスク回避 リスクになりそうなことを、根本から止めてしまう。あるいは、代替のもので置き換えてしまう。サービスを止めちゃったり。 リスク軽減 取り扱いルールを作ったり、アクセス制限したり。いちば…
説明を探してみたが、モノによって言ってることが違う! *1 *2 *3 メッセージ認証に使うもの、ということだけは一致している。 完全性の保証が可能なことは分かった、機密性については記述がまちまち。技術自体の問題というよりは運用の問題だと思うけどね。…
セキュアドはこんな勉強もします。ガラス屋かよ! IDC なんかは、外から内が見える窓がないのが理想的。窓を破って侵入されることがないし、第一「そこがサーバ室だ」ということが分からなければ狙われる危険性も下がる。 窓がある部屋を使う場合、窓ガラス…
消火剤に使われる二酸化炭素、窒素、アルゴン等のガスのことをまとめて「不活性ガス」と呼ぶ。 スプリンクラーや泡消火剤と違って、電気機器が故障したりしないのがいいところ。二酸化炭素を使った場合のみ、部屋に人が閉じ込められると死んでしまうのが弱点…
「水冷パソコン」「水冷サーバ」みたいのとは違って、水冷の空調は給排水系が要る。病院の駐車場なんかに、夏になると水しぶきを振り撒いてる設備があったっけなぁ(ちょっと違う?)。 熱交換効率はいいんだろうけど、電気系と給排水系のどちらかがやられる…
「ログの二重化」および「複数サーバのログの相互関係を監視できる」というのが利点。後者を行う場合は各サーバで時刻の同期を忘れないこと。過去問を解いていて「ログを送る側のサーバがやられても syslog サーバに入れるとは限らないでしょ」という利点を…
Rworks のページ *1 より引用。両方とも、 2007年7月(ISO IEC 27001:2005が゛発行されてから18ヵ月後)までに廃止される予定です。 とのこと。 *1:http://www.rworks.jp/msc_isms.html
BS7799-2, ISMS 認証基準 Ver.2.0, ISO/IEC 27001, それぞれ assessor の一覧みたいなものがあると思うんだけど、見つからない。一応、ISMS 認証基準 Ver.2.0 については、ISMS の FAQ を見ると…… ISMS審査登録機関一覧 が「認定対象機関」である。 ISMS審査…
単に ISMS と言った場合、 ISMS 適合性評価制度のことを指す *1 らしい。認証基準の方じゃないのね。 *1:手元の本 2: NRIラーニングネットワーク株式会社, "平成18年度 情報セキュリティアドミニストレータ パーフェクトラーニング過去問題集", 技術評論社, …
情報セキュリティ管理/監査基準は、経済産業省の「情報セキュリティ監査制度」のページ *1 にある。 ISMS 認証基準 Ver.2.0 は、 JIPDEC の「ISMS認証基準(Ver.2.0)について」のページ *2 にある。 ISO/IEC 27001 (JIS Q 27001) は例によって購入の必要あり…
「ISMS認証基準と情報セキュリティ管理基準の関連」 *1 の図が分かりやすいと思う。 で、この図の「認証のための企画」である BS7799-2:2002 と ISMS 認証基準 Ver.2.0 がもとになって、 ISO/IEC 27001(および JIS Q 27001)ができたってわけね *2。そうそ…
情報セキュリティ管理基準には「コントロール」と「サブコントロール」というものがある。で、これらの項目数が、元々の BS7799 にあった管理策の「128 個」とかより明らかに多くて、それぞれ 130 とか 960 とかある *1。 これってどこから来たの? という話…
違いがさっぱり分からない。 情報セキュリティ監査制度に関する @IT の記事 *1 *2 を参考にすると、どうやら次のようなことらしい。 情報セキュリティ管理基準 (監査の判断の尺度) 「監査人はここをチェックしろ!」。監査される側にとっては「こういうこ…
「セキュリティマネジメントって何やるの?」「何がやってあればいいの?」ということが書いてある規格。 WWW 上にあるもの *1 *2 *3 を見てみると…… BS7799-1 が「すぐに使えるベストプラクティス」で、 BS7799-2 が「セキュリティ管理プロセスの仕様書」 B…