情報処理技術者試験
情報処理安全確保支援士は、1年に1度の共通講習(オンライン講習)と、3年に1度の実践講習(実践講習または特定講習)を受講する義務があります*1。この講習を受講するには3年間で14万円かかります*2。企業や組織に所属する情報処理安全確保支援士の場合、こ…
セキュリティと利便性はトレードオフの関係にある、とかよく言われているようですが、個人情報に関して言えば、 その情報が個人を特定可能か(「個人情報」の定義通り) その情報が個人を追跡可能か(履歴系の情報や、複数サービスにまたがって使われる情報…
そもそも情報セキュリティとは、次の事柄を確かにすること。 機密性 (confidentiality) 他の人から見れないこと。乱暴に言うと、暗号化されていること。 完全性 (integrity) 改竄が検知できること。 可用性 (availability) 乱暴に言うと、落ちないこと(あと…
「リスク対策」と言うけれど、方法はいろいろある。 リスク回避 リスクになりそうなことを、根本から止めてしまう。あるいは、代替のもので置き換えてしまう。サービスを止めちゃったり。 リスク軽減 取り扱いルールを作ったり、アクセス制限したり。いちば…
説明を探してみたが、モノによって言ってることが違う! *1 *2 *3 メッセージ認証に使うもの、ということだけは一致している。 完全性の保証が可能なことは分かった、機密性については記述がまちまち。技術自体の問題というよりは運用の問題だと思うけどね。…
セキュアドはこんな勉強もします。ガラス屋かよ! IDC なんかは、外から内が見える窓がないのが理想的。窓を破って侵入されることがないし、第一「そこがサーバ室だ」ということが分からなければ狙われる危険性も下がる。 窓がある部屋を使う場合、窓ガラス…
消火剤に使われる二酸化炭素、窒素、アルゴン等のガスのことをまとめて「不活性ガス」と呼ぶ。 スプリンクラーや泡消火剤と違って、電気機器が故障したりしないのがいいところ。二酸化炭素を使った場合のみ、部屋に人が閉じ込められると死んでしまうのが弱点…
「水冷パソコン」「水冷サーバ」みたいのとは違って、水冷の空調は給排水系が要る。病院の駐車場なんかに、夏になると水しぶきを振り撒いてる設備があったっけなぁ(ちょっと違う?)。 熱交換効率はいいんだろうけど、電気系と給排水系のどちらかがやられる…
「ログの二重化」および「複数サーバのログの相互関係を監視できる」というのが利点。後者を行う場合は各サーバで時刻の同期を忘れないこと。過去問を解いていて「ログを送る側のサーバがやられても syslog サーバに入れるとは限らないでしょ」という利点を…
Rworks のページ *1 より引用。両方とも、 2007年7月(ISO IEC 27001:2005が゛発行されてから18ヵ月後)までに廃止される予定です。 とのこと。 *1:http://www.rworks.jp/msc_isms.html
BS7799-2, ISMS 認証基準 Ver.2.0, ISO/IEC 27001, それぞれ assessor の一覧みたいなものがあると思うんだけど、見つからない。一応、ISMS 認証基準 Ver.2.0 については、ISMS の FAQ を見ると…… ISMS審査登録機関一覧 が「認定対象機関」である。 ISMS審査…
単に ISMS と言った場合、 ISMS 適合性評価制度のことを指す *1 らしい。認証基準の方じゃないのね。 *1:手元の本 2: NRIラーニングネットワーク株式会社, "平成18年度 情報セキュリティアドミニストレータ パーフェクトラーニング過去問題集", 技術評論社, …
情報セキュリティ管理/監査基準は、経済産業省の「情報セキュリティ監査制度」のページ *1 にある。 ISMS 認証基準 Ver.2.0 は、 JIPDEC の「ISMS認証基準(Ver.2.0)について」のページ *2 にある。 ISO/IEC 27001 (JIS Q 27001) は例によって購入の必要あり…
「ISMS認証基準と情報セキュリティ管理基準の関連」 *1 の図が分かりやすいと思う。 で、この図の「認証のための企画」である BS7799-2:2002 と ISMS 認証基準 Ver.2.0 がもとになって、 ISO/IEC 27001(および JIS Q 27001)ができたってわけね *2。そうそ…
情報セキュリティ管理基準には「コントロール」と「サブコントロール」というものがある。で、これらの項目数が、元々の BS7799 にあった管理策の「128 個」とかより明らかに多くて、それぞれ 130 とか 960 とかある *1。 これってどこから来たの? という話…
違いがさっぱり分からない。 情報セキュリティ監査制度に関する @IT の記事 *1 *2 を参考にすると、どうやら次のようなことらしい。 情報セキュリティ管理基準 (監査の判断の尺度) 「監査人はここをチェックしろ!」。監査される側にとっては「こういうこ…
「セキュリティマネジメントって何やるの?」「何がやってあればいいの?」ということが書いてある規格。 WWW 上にあるもの *1 *2 *3 を見てみると…… BS7799-1 が「すぐに使えるベストプラクティス」で、 BS7799-2 が「セキュリティ管理プロセスの仕様書」 B…
MTBF 故障と故障の間隔かと思いがちだが、正しくは連続稼働時間の平均のことを言う。 MTTR 修理のみにかかった時間だけではなく、故障してから修理を始めるまでの時間も含んだ平均である。
パソコン−コンピュータの機能 より。 デュアルシステム 二つのシステムが常時動いていて、両方の結果を常にコンペアする。結果に差が出た場合にどちらを正しいとするかは不明(人間が判断する?)。 デュプレックスシステム システムを二つ用意してあるが、…
索引編成ファイル [徹底研究!情報処理試験] , http://www.yscon.co.jp/ysstore/aobaroot/am6.htm , 通信技術<ネットワーク<Web教材<木暮 を見てみたが正直ややっこしい。図にするとこんな感じらしい。 DTE 割と端末側の機器の総称。 DCE 割と回線側の…
「ファイル編成」というのは、どのようにファイルを管理するか(ディレクトリ云々)、とかいう話じゃなくて、「メディア 1 つにつき 1 つのファイルしか保存できなかったらどうするか?」みたいな話、らしい。ファイルシステムを持つファイルの設計方法、と…
スレッド ‐ 通信用語の基礎知識 によると 「スレッド≦(タスク≒プロセス)≦ ジョブ」らしい。 あと、「ジョブ」という単位が人間の主観で決まるのに対して、「プロセス」という単位はコンピュータ側の都合で決まる(と思う)。
狭義の外部割り込み、機械チェック割り込み、入出力割り込みの差が分からないので整理する。 機械チェック割り込み 外部割り込み。プログラムの実行が継続できなくなるような重大な通知が該当する。優先順位は高い。電源電圧の低下等。メモリのパリティエラ…
旧二種とかの勉強をしていると、やたら「トランザクション処理」とかいう言葉が出てくるんですが、さて「トランザクション」って何よ? データベースへのアクセスを含む、一連の処理のことをトランザクションと言う? データベースに対して変更を加えるよう…
これもまぎらわしい。 Computer multitasking - Wikipedia によれば…… マルチプログラミング 実行中プロセスの切り替えは、入出力割り込みが発生した時のみ行われる。バッチ処理(一つのプロセスがずーっと CPU を占有していても OK な環境)向け。 マルチタ…
「フェールソフト」と「フォールバック」という言葉の意味を調べても同じようなことしか書いてないので混乱しがちだが…… フェールソフト 障害等が発生したときでも、「自動的に」一部の機能を停止したり性能を犠牲にしたりして動作を継続させる「機能」のこ…
