- 1. 1.プロトコル
- 2. 2.端末情報
- 3. 3.中継装置
- 4. 4.インターネットのしくみ
- 5. 5.無線通信
- 6. 6.無線LAN
- 7. 7.情報セキュリティー①
- 8. 8.情報セキュリティ②
- 9. 9.情報セキュリティ③
- 10. 10.情報セキュリティ④
- 11. 11.リスクマネジメント
- 12. 12.情報セキュリティ管理
- 13. 13.個人情報保護・セキュリティ機関
- 14. 14.情報セキュリティ対策①
- 15. 15.情報セキュリティ②
- 16. 16.暗号化と認証のしくみ
- 17. 17.公開鍵基盤とIoTシステムのセキュリティ
- 18. 18.セキュリティ関連法規①
- 19. 19.セキュリティ関連法規②
- 20. 20.セキュリティ関連法規
1.プロトコル
プロトコル:コンピュータ同士が通信する際に守らなくてはいけない決まり事。
①インターネットプロトコル
HTTP(HyperText Transfer Protocol):Webページを表示するとき。
HTTPS(HyperText Transfer Protocol over SSL/TLS):暗号化されたWebページを表示するとき。
②電子メールのプロトコル
SMTP(Simple Mail Transfer Protocol):メールを送信するとき。
POP(Post Office Protocol):メールを受信するとき。受信したメールをPCにダウンロードして管理。
IMAP(Internet Message Access Protocol):メールを受信するとき。受信したメールをサーバに置いたままで管理。
MIME(Multipurpose Internet Mail Extensions):メールに画像、ファイルなどを添付するとき。
S/MIME(Secure/Multipurpose Internet Mail Extensions):メールを暗号化するとき。
③ファイルのダウンロードやアップロードをするためのプロトコル
FTP(File Transfer Protocol):データを転送するとき。
④時刻を同期するためのプロトコル
NTP(Network Time Protocol):アクセスログ(通信の記録)の解析を正確に行うために、Webサーバやデータベースサーバなどのサーバ間で時刻を一致させるとき。
⑤データを転送するためのプロトコル
TCP/IP(Transmission Control Protocol/Internet Protocol):インターネット通信やメールの送受信などを支えるために使う。TCPはデータをもれなく転送し、IPは目的の相手にデータを転送するためのプロトコル。IPはv4とv6があり、v6には通信の暗号化機能が追加されている。
2.端末情報
①端末情報
ハードウェアを特定するMACアドレス、ネットワーク上の端末を特定するIPアドレスなどがある。
| 端末情報 | 役割 |
| MACアドレス | ・端末の通信規格を特定する情報 ・ハードウェア(通信装置(有線/無線)に割り振られている世界中で一意な番号 ・16ビット、48ビットで表す |
| IPアドレス | ・ネットワーク上の端末を特定する情報 インターネット上で一意なアドレス ・OSが管理している番号 ・IPv4:10進数、32ビットで表す ・IPv6:16進数、128ビットで表す |
| ポート番号 | ・端末で動作しているアプリケーションを特定する番号 |
②グローバルIPアドレスとプライベートIPアドレス
インターネット上で一意なアドレスをグローバルIPアドレスといい、LAN内でのみ有効なアドレスをプライベートIPアドレスという。このアドレスの変換機能のことをNAT(Network Address Translation)といい、ルータがアドレスの変換を行っている。
③WAN(Wide Area Network)
電話回線などを使った離れた拠点で構成するネットワーク。
3.中継装置
①ネットワークインターフェースカード
PCなどの端末に内蔵されているLANと接続するための通信装置のこと。NICと略されたり、ネットワークアダプタとも呼ばれる。MACアドレスが割り当てられる。
②ハブ、リピータ
電気信号を中継するための装置で、ケーブルでつながっている端末すべてにデータが流れる。すべてに送信すると無駄な通信が発生することから、使用される場面は少なくなっている。
③ブリッジ、L2スイッチ(Layer2スイッチ)
LAN内の端末にデータを転送するための装置で、データの中の宛先(MACアドレス)を識別して転送し、データは該当の端末にのみ転送される。
④ルータ、L3スイッチ(Layer3スイッチ)
LANとインターネットの間などでデータを転送するための装置。データの中の宛先(IPアドレス)を識別して転送する。ルータはデータがLANからインターネットへ出ていく際の出入り口となることから、デフォルトゲートウェイを呼ばれることもある。
4.インターネットのしくみ
①URL(Uniform Resource Locator)
URLはインターネット上のリソース(ファイルや画像などのコンテンツ)の格納場所を示す。
②DNS(Domain Name System)
「名前解決」とも呼ばれ、ドメイン名とIPアドレスを対応させて変換するシステムのこと。この名前解決を行うサーバがDNSサーバ。
③DHCP(Dynamic Host Configuration Protocol)
端末にIPアドレスを自動で設定する。端末は電源を入れると、DHCP機能を持ったサーバにIPアドレスを要求し、DHCPサーバがIPアドレスを割り当てる。Wi-Fiルータは、ルータとDNSとDHCPの機能を兼ね備えている。
④プロキシ
社内のコンピュータがインターネットにアクセスするときに、インターネットとの接続を代理で行う。プロキシサーバを設置することで、インターネットから社内のコンピュータを隠蔽でき、業務外コンテンツのフィルタリング(ブロック機能)、一度閲覧したページのキャッシュ(ためておくこと)などによって、応答スピードが向上するメリットがある。
5.無線通信
①LTE/4G(Long Term Evolution)
モバイル通信の規格で、通信速度は下り最大100Mbps以上、上り最大50Mbps以上。※bps(bits per second)は1秒当たりの伝送速度を表す。
②5G
モバイル通信の規格。回線多接続、超低遅延、省電力、低コスト、高速・大容量化を実現。通信速度は10Gbps。
③Wi-Fi
無線LANの規格。通信範囲は数十から数百メートル。通信速度は6.9Gbps。最新のWi-Fi6では9.6Gbps。
④Bluetooth®
近距離無線の規格で、通信範囲は10メートル前後で通信速度は24Mbps。
⑤BLE(Bluetooth Low Energy)
近距離無線の規格。省電力、低速で、IoTデバイスとの通信にも利用されている。通信範囲は10メートル前後、通信速度は最大1Mbps。人や物の位置情報検知に使われ、従業員の勤怠管理や工場での工程管理に利用されている。
⑥LPWA(Low Power Wide Area)
遠距離通信の規格。省電力、低速で、IoTデバイスとの通信にも利用されている。通信範囲は最大10Km、通信速度は250Kbps程度。遠隔の機器や装置の監視などに利用されている。
⑦アドホック接続
アクセスポイントを介さずに、端末同士で直接通信する無線LANの通信方法。
⑧フェムトセル
電波の届きにくい家庭やオフィスに設置する、携帯電話の小型基地局システム。
6.無線LAN
①無線LANの規格
| 規格 | 周波数帯 | 最大通信速度 |
| IEEE802.11b | 2.4GHz | 11Mbps |
| IEEE802.11a | 5GHz | 54Mbps |
| IEEE802.11g | 2.4GHz | 54Mbps |
| IEEE802.11n | 2.4GHz/5GHz | 600Mbps |
| IEEE802.11ac | 5GHz | 6.93Gbps |
2.4GHz帯の特徴:いろいろな製品で使われているため、無線が込みあい不安定になりやすい。障害物に強く、遠くまで電波が届きやすい。
5GHz帯の特徴:他の製品では使われないため、安定して接続できて高速。障害物に弱く、遠距離では電波が弱くなる。
②無線LANのセキュリティ
無線LANの通信を暗号化する規格はWPA2で、共通鍵暗号方式のAES(Advanced Encryption Standard)を使っている。
③無線LANの接続
無線LANを中継する機器をアクセスポイントという。アクセスポイントに端末を接続する際は、ESSID(Extended Service Set ID)というアクセスポイントが管理するネットワークの名前を指定する。
④MACアドレスフィルタリング
正当な端末のMACアドレスをアクセスポイントに登録して、それ以外の不正な端末の接続を防ぐこと。
⑤アドホック・モード
アクセスポイントを介さずに、端末同士が直接通信を行う。携帯型ゲーム機で対戦ゲームをする際などに使われている。
7.情報セキュリティー①
①脅威と脆弱性
脅威…人的脅威、物理的脅威、技術的脅威
脆弱性…システムの欠陥(バグ)や仕様上の問題点(セキュリティホール)、会社の許可を得ずに私用PCやスマートフォンを業務に利用する(シャドーIT)ことによる情報漏えいなどがある。
BYOD(Bring Your Own Device):会社の許可を得たうえで私用端末を利用すること。
②人的脅威
| 種類 | 事例 |
| 情報の漏えい、紛失、盗み見 | ノートPCの紛失による情報の漏えいや利用者の肩越しにパスワードなどを盗み見(ショルダーハッキング) |
| クラッキング | システムへの不正侵入、破壊、改ざん |
| ソーシャルエンジニアリング | 上司を装った電話によるパスワードの入手 |
③物理的脅威
システムに対して物理的なダメージを与えるもの。
④不正のトライアングル
「動機」「機会」「正当化」の3要素がすべてそろった場合に発生する。
8.情報セキュリティ②
①コンピュータウイルス
プログラムに寄生して、自分自身の複製や拡散を行うプログラム。
②ボット
処理を自動化するソフトウェアのことで、ウイルス感染により、ボット化したPCは外部からの遠隔操作が可能になり、一斉攻撃などの手段として悪用される。
③スパイウェア
個人情報などを収集して盗み出す。入力された操作を記録するキーロガーというソフトウェアは、端末利用者が入力したパスワードや個人情報を盗む。
④ランサムウェア
コンピュータに保存していたデータを暗号化するなどして、使えない状態にし元に戻す代わりに金銭を要求する。
⑤ワーム
プログラムに寄生せずに、自分自身を複製し、増殖するプログラム。
⑥トロイの木馬
害のないプログラムを装い、侵入したコンピュータにバックドア(裏口:不正ログインできる出入口)を設置する。
RAT(Remote Access Tool):コンピュータを遠隔操作できるようにするツール。
⑦マクロウイルス
文書作成や表計算ソフトのマクロ機能を悪用したコンピュータウイルス。
9.情報セキュリティ③
①辞書攻撃
パスワードとして、辞書に載っている単語を次々と入力して不正アクセスを試みる攻撃。
②総当たり(ブルートフォース)攻撃
パスワードとして英数字の組合せをすべて入力して、不正アクセスを試みる攻撃。
③パスワードリスト攻撃
攻撃者が事前に入手したIDとパスワードのリストを使って不正アクセスを試みる攻撃。
④クロスサイトスクリプティング(XSS)
Webアプリケーションの画面表示処理の脆弱性をついた攻撃。悪意のあるスクリプト(プログラム)がブラウザで実行されると、偽のページが表示され、入力した個人情報などが盗み出される。
⑤SQLインジェクション
Webアプリケーションのデータベース処理の脆弱性をついた攻撃。入力画面でデータベースを操作するSQLコマンドを入力することで、データベース内部の情報を不正に操作する。
⑥ドライブバイダウンロード
Webサイトに不正なソフトウェアを隠しておき、サイトの閲覧者がアクセスすると自動でダウンロードされる。
10.情報セキュリティ④
①DNSキャッシュポイズニング
攻撃者がキャッシュサーバの中身を偽情報に書き換えると(=汚染される)偽情報によって悪意のあるサーバに誘導され、機密情報を盗まれる。
②DoS(Denial of Service)攻撃
大量の通信を発生させてサーバをダウンさせ、サービスを妨害する攻撃。通常では想定できない数のリクエストやパケットを標的に送り付けることで、標的とするサーバやネットワーク回線を過負荷状態にし、システム障害を意図的に引き起こす攻撃。
③DDoS攻撃(Distributed DoS:分散型DoS攻撃)
ボット化して遠隔操作が可能になった複数の端末から、サーバに一斉に通信を発生させ、ダウンさせてサービスを妨害する攻撃。
④水飲み場型攻撃
標的型攻撃。ターゲットが訪れそうなサイトを改ざんし、不正なプログラムをダウンロードさせてウイルスに感染させる。
⑤やり取り型攻撃
標的となった組織に対して、取引先や社内関係者になりすましてやりとりし、機密情報を盗む攻撃。
⑥ゼロデイ攻撃
開発者による修正プログラムが提供される日より前にその脆弱性を突く攻撃のこと。
11.リスクマネジメント
①リスクアセスメント
「リスクの特定」→「リスクの分析」→「リスクの評価」の手順で行う。
②リスク対応
| 種類 | 説明 | 事例 |
| リスク回避 | システムの運用方法や構成の変更などによって、脅威が発生する可能性を取り去ること | 端末をシンクライアント(利用者の端末にはソフトウェアやデータを持たせず、サーバで一括管理する形態)に変更することで、端末からの情報漏洩リスクを回避する |
| リスク低減 | セキュリティ対策を行うことで脅威が発生する可能性または発生時の損害額を下げること | PCのUSBポートをふさぐ部品を取り付け、USBメモリによるデータの持ち出しを防ぐ |
| リスク移転(転嫁) | リスクを他社などに移すこと | サイバー攻撃などで発生する損害に備えて、サイバーリスク保険に加入する |
| リスク保有(受容) | リスクの影響が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容すること | 近隣の川の氾濫により、会社が浸水するおそれがあるが、過去に氾濫したことがないため、その可能性をほとんどないと判断し、対策を講じない |
12.情報セキュリティ管理
①情報セキュリティマネジメントシステム(ISMS)
情報の正しい取扱いと管理方法を決めたもの。
| 要素 | 説明 |
| 機密性 | 第三者に情報が漏えいしないようにすること |
| 完全性 | データが改ざんされたり、欠けたりすることなく正しい状態であること |
| 可用性 | 障害などがなく必要な時にシステムやデータを利用できること |
| 真正性 | なりすましや、偽の情報がないことが証明できること |
| 責任追跡性 | 誰がどんな操作をしたかを追跡できるように記録すること |
| 否認防止 | 本人が行った操作を否認させないようにすること |
| 信頼性 | 処理が欠陥や不具合なく確実に行われること |
②情報セキュリティポリシ(情報セキュリティ方針)
企業の経営者が最終的な責任者となり、情報資産を保護するための考え方や取り組み方、遵守すべきルールを明文化したもの。
③ISMSの運用方法
環境の変化に合わせて、絶えず見直しと改善がもとめられる。PDCAサイクルを繰り返す。
13.個人情報保護・セキュリティ機関
①プライバシーポリシ(個人情報保護方針)
Webサイトで収集した個人情報をどのように取り扱うのかを定めたもの。
②サイバー保険
サイバー攻撃(システムに不正に侵入し、データの取得や改ざん、破壊などを行う)による個人情報の流出などの損害に備える保険。
③情報セキュリティに関する活動を行う組織・機関
| 組織・機関 | 説明 |
| 情報セキュリティ委員会 | 情報セキュリティ対策を全社的かつ効果的に管理することを目的とした社内組織 |
| CSIRT(Computer Security Incident Response Team) | 情報セキュリティ上の問題に対応するために企業や行政機関などに設置される組織 |
| SOC(Security Operation Center) | ネットワークやデバイスを24時間365日監視し、サイバー攻撃の検出と分析、対応策のアドバイスを行う組織 |
| J-CSIP(サイバー情報共有イニシアティブ) | 公的機関であるIPA(独立行政法人情報処理推進機構)を情報ハブ(集約点)とするサイバー攻撃に対抗するための官民による組織 |
| サイバーレスキュー隊(J-CRAT) | IPAが設置した標的型攻撃対策の組織 相談を受けた組織の被害の低減と攻撃の連鎖の遮断を支援する |
14.情報セキュリティ対策①
①物理的セキュリティ対策
・監視カメラ、施錠管理、入退室管理
・クリアデスク
・クリアスクリーン
・セキュリティーケーブル
・遠隔バックアップ
②人的セキュリティ対策
・情報セキュリティ啓発
・監視
・アクセス権の設定
・内部不正の防止
「組織における内部不正防止ガイドライン」(IPA)を元に、自社に合った対策を検討する。
15.情報セキュリティ②
①ネットワークに関するセキュリティ対策
| 用語 | 概要 |
| コンテンツフィルタリング | 社内PCから不適切なサイトの閲覧をブロックするためのしくみ プロキシサーバの機能を利用する |
| ファイアウォール | 外部からの不正な通信を遮断するためのしくみ |
| DMZ(DeMilitarized Zone) | 非武装エリアとも呼ばれ、外部ネットワークとも、社内ネットワークとも隔離された公開エリアのこと |
| DLP(Data Loss Prevention) | 専用のソフトウェアやシステムを使った情報漏えい対策のこと |
| 検疫ネットワーク | 社内LANに接続するPCのセキュリティ状態を検査する専用のネットワークのこと |
| SSL/TLS(Secure Sockets Layer/Transport Layer Security) | 通信の暗号化、相手の認証を行うプロトコルのこと インターネット閲覧時の暗号化(HTTPS)はHTTPにSSLの機能を追加したもの |
| VPN(Virtual Private Network) | 仮想的な専用ネットワーク 事務所間のLANなど遠隔地との接続などに利用される VPNは通信事業者の回線を借りた仮想的な専用線で、セキュリティや帯域(速度)が確保されている |
②その他のセキュリティー対策
| 用語 | 概要 |
| MDM(Mobile Device Management) | モバイルデバイス管理のこと 社員が利用するスマートフォンやタブレット端末の設定を管理部門で一元管理する手法 |
| 電子透かし | 人には認識できない形でコンテンツに著作者の名前などの情報を埋め込む技術のこと |
| ディジタルフォレンジックス | 情報漏えいの調査のために、PCやスマートフォンに保存されている電子情報を解析し、法的な証拠を見つけるための技術のこと |
| ペネトレーションテスト | システムに対して実際に侵入や攻撃を行い、システムの脆弱性を調査するテスト |
| ブロックチェーン | 仮想通貨「ビットコイン」の基幹技術として発明された概念で、インターネット上で金融取引などの重要なデータのやりとりを可能にする技術のこと |
| 耐タンパ性 | 機器や装置、ソフトウェアなどの内部の動作や処理手順を外部から分析しにくくすること |
16.暗号化と認証のしくみ
暗号化とは、データを規則に従って変換し、第三者が解読できないようにすること
①共通鍵暗号方式
暗号化と復号で、同じ鍵(共通鍵)を使用する方式。共通鍵は第三者に知られないように秘密にするため、「秘密鍵暗号方式」とも呼ばれる。処理が高速だが、鍵が第三者の手に渡ると、暗号が解読されてしまう。
②公開鍵暗号方式
暗号化と復号で異なる鍵を使用し、暗号化する鍵(公開鍵)を公開し、復号する鍵(秘密鍵)を秘密にする。処理に時間がかかるが、鍵の入手や管理がしやすい。
③ハイブリッド暗号方式
共通鍵暗号方式と公開鍵暗号方式のメリットを組み合わせた方式。
送信者は受信者の公開鍵で共通鍵を暗号化してから受信者へ渡す。受信者は自分の秘密鍵で共通鍵を復号できるので、その共通鍵を使って暗号文を平文に復号できる。
認証技術とは、データの改ざんやなりすましを防ぐために、データやユーザの正当性を証明する技術
④ディジタル署名
送られたデータが改ざんされていないことと、送信者がなりすましではないことを証明する技術。公開鍵暗号方式と「ハッシュ関数」を組み合わせている。
⑤タイムスタンプ(時刻認証)
ファイルの新規作成や更新時にファイル情報として記録されるファイル保存日時のこと。
⑥利用者認証
IDやパスワード、ICカードのほかに以下のような種類がある。
| 種類 | 目的・例 |
| ワンタイムパスワード | 一度限りの使い捨てパスワード インターネットバンキングなどで利用されている |
| 多要素認証 | パスワードと指紋認証など、複数の認証要素を使用した、より安全な認証を実現する手法 |
| シングルサインオン | 1つのIDとパスワードで、メール、SNS、Webサービスなど複数のサービスにログインできるしくみ |
⑦生体認証(バイオメトリクス認証)
身体的特徴(指紋、顔、網膜、声紋、虹彩)で認証する方法と、行動的特徴(筆跡やキーストローク(キー入力のクセ)で認証する方法がある。
本人拒否率:本人であることが認識されず他人として拒否される割合。
他人受入率:他人を本人として誤認識して受け入れてしまう割合。
両社は同時に高めることのできないトレードオフの関係。
17.公開鍵基盤とIoTシステムのセキュリティ
①公開鍵基盤(PKI:Public Key Infrastructure)
公開鍵暗号方式やディジタル署名、ディジタル証明書を使ったセキュリティのインフラ(基盤)。
②ディジタル証明書
公開鍵とその所有者を証明する情報が記載されている。相手が提示するディジタル証明書から公開鍵を入手する。ディジタル証明書の発行は認証局という専門機関が行い、改ざんを防ぐために、認証局のディジタル署名が付与されている。
③IoTセキュリティガイドライン
IoTシステムやIoT機器の設計・開発について各種の指針・ガイドラインが作成されている。(経済産業省および総務省が作成)IoT機器やシステム、サービスの提供者が取り組むべきIoTのセキュリティ対策の指針や一般利用者のための利用のルールをまとめたもの。
④コンシューマ向けIoTセキュリティガイドライン
NPO日本ネットワークセキュリティ協会が作成したガイドラインで、利用者を守るために、IoT機器やシステム、サービスを提供する事業者が考慮しなければならない事例をまとめたもの。
18.セキュリティ関連法規①
①サイバーセキュリティ基本法
国民が安全で安心して暮らせる社会の実現と、国際社会の平和および安全の確保ならびに国の安全保障に寄与することを目的としている。
②不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)
不正アクセス行為や、不正アクセス行為につながるIDやパスワード等の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律。
③個人情報保護法(個人情報の保護に関する法律)
個人情報(生存する個人に関する情報で、氏名や生年月日、住所、電話番号などの記述により特定の個人を識別できるもの)を取り扱う事業者(個人情報取扱業者)が遵守すべき義務等を定め、個人の権利や利益を保護することを目的とした法律。
内閣総理大臣の所轄に属する個人情報保護委員会は、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導および助言をすることができる。
※匿名加工情報:元の個人情報に復元することができないもの。
19.セキュリティ関連法規②
①特定電子メール法
特定電子メールとは、営利目的で送信するメールのことで、特定電子メール法は営利目的で多数の相手に配信する迷惑メールを規制する法律。広告や宣伝メールを送る場合には、あらかじめ相手から同意を得なければならない。
②プロバイダ責任制限法
SNSなどの書込みによる権利の侵害があった場合に、被害者とインターネット接続業者(プロバイダ)を守るための法律で、以下の内容を規定している。
1.プロバイダ、サーバの管理・運営者の損害賠償責任の制限
2.被害者がプロバイダに発信者情報の開示を請求する権利
③不正指令電磁的記録に関する罪(ウイルス作成罪)
ウイルスの作成、提供、使用(ウイルスが実行される状態にした行為)、取得、保管行為をした場合は罰せられる。
| ウイルスの作成や提供 | 3年以下の懲役または50万円以下の罰金 |
| ウイルスの取得や保管 | 2年以下の懲役または30万円以下の罰金 |
| ウイルスの共用 | 3年以下の懲役または50万円以下の罰金 |
20.セキュリティ関連法規
①サイバーセキュリティ経営ガイドライン
IPAと経済産業省が共同で策定したガイドライン。サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」と経営者が情報セキュリティ対策を実施するうえで責任者に指示すべき「重要10項目」をまとめている。
| 経営者が認識すべき3原則 ①経営者のリーダーシップが重要 ②自社だけでなく、ビジネスパートナーも含めて対策する ③平時からのコミュニケーション・情報共有 |
| セキュリティ対策を実施するうえで責任者に指示すべき重要10項目 ①リスクの認識と組織における対応方針の策定 ②リスク管理体制の構築 ③対策のための資源(予算、人材等)確保 ④リスクの把握と対応に関する計画の策定 ⑤対応するための仕組みの構築 ⑥対策におけるPDCAサイクルの実施 ⑦インシデント発生時の緊急対応体制の整備 ⑧被害に備えた復旧体制の整備 ⑨サプライチェーン全体の対策と状況把握 ⑩攻撃情報の入手とその有効活用・提供 |
②中小企業の情報セキュリティ対策ガイドライン
中小企業が情報セキュリティ対策に取り組む際、経営者が認識して実施すべき指針と社内において実践する際の手順や手法をまとめたもの。
| 経営者編 | 経営者が知っておくべき事項、自らの責任で考えなければならない事項 |
| 実践編 | 情報セキュリティ対策を実践する人向けの対策の進め方 |
③情報セキュリティ管理基準
経済産業省が情報セキュリティ管理基準(JIS Q 27001)を策定。
| マネジメント基準 | 情報セキュリティマネジメントの確立、運用、監視およびレビュー、維持および改善についての基準 |
| 管理策基準 | 人的セキュリティ、技術的セキュリティ、物理的セキュリティについての基準 |
