中小企業サイバーセキュリティ対策関連の情報の備忘録

CyberSec diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

IT化・デジタル化により業務の効率化・サービスの向上を図るために、セキュリティ対策を実施【私見】

■デジタルトランスフォーメーション時代の情報セキュリティ対策

●IT活用の必然性と情報セキュリティ対策の必要性

  • デジタルトランスフォーメーションとは、

    • 組織をデジタルの世界に移行させる変化
      • 旧態依然のサービスを捨てて、テクノロジーの進展と共に常に変化し続けるビジネス・モデルを受け入れる時代
    • 人やものがデジタルデータで直接繋がり、時空間の制約なく、「業種業態の枠を越えた」新たな仕組みを作り出せる時代の変化
      • 形を変革、再編成により、既存の事業にない「デジタルビジネス」が登場しつつある。
    • 「デジタル・トランスフォーメーション」によりサービス化、オープン化、ソーシャル化、スマート化の4つの大きな変化が生まれつつある。
    • 現代のデジタルネイティブなユーザをターゲットとしたビジネスモデルやビジネスプロセスの変革

  • デジタルトランスフォーメーションの効果、

    • 業界・業種を越えた企業が連携し、新たなビジネスやサービスを創出していく原動力となりつつある。
    • グローバルビジネスの世界に新たな競争原理をもたらそうとしている。
    • 中小企業において
      • デジタル化の進展を受入れ、それを活用して顧客との関係性強化を図る企業にとっては、大きなビジネスチャンスが到来している。
      • 柔軟にかつ大企業に先駆けて、デジタルトランスフォーメーションに対応していくことが、組織の発展につながる。

  • 今まで

    • これまで企業のITシステムは、業務、生産工程等を効率化して、経営を安定化させることに重きが置かれてきた。
    • 単なる効率化だけではビジネスの競争に勝ち残れない
    • 従来型のサービスはしばらくは継続できるかもしれないが、デジタルの未来に移行し始めなければ、もう生き残ることができない
    • 現在、必要とされているのがデジタルトランスフォーメーションによる大胆かつ、スピーディーな変革が発展への道

  • 今後

    • 従来から業務の改善のために情報化が進められてきたが、今後はDigital Transformation時代に、如何にIT、デジタル情報を戦略的に活用できるかが問われる
    • サービスの向上、サービスの継続、事業の効率化のために、デジタル化した情報をITによって利活用し、高付加価値の新たなサービスに変遷していく。

  • 情報セキュリティ対策の必要性

    • しかし、ITを活用してどんなに利便性の高いサービスを提供しても、どんなに業務を効率化しても、緊急事態(自然災害、大火災、感染症、テロ、セキュリティ侵害、、)が発生して、事業資産(人・もの(情報及び設備)・金)、社会的信用が失われ、早期復旧ができない場合は、事業の継続が困難になり、組織の存立さえも脅かされる可能性がある。
    • どんな緊急事態が発生しても、事業を継続できるようにする対策を明示しておくことが必要
    • 情報セキュリティ対策は、事業継続計画の一つ
    • サービスの向上を図るために、情報資産(保有情報(媒体に依らず)、情報機器、情報システム)に対する情報セキュリティ上のリスクを低減させる
    • ITを活用したサービスの構築・運用に掛かる費用は、経費ではなく先行投資。リスクに見合った情報セキュリティ対策は、サービスの構築・運用の中で実施すべき先行投資であり、緊急事態が発生した後に対処する経費として想定してはいけない

  • 情報システムの構築において

    • 即時性が要求されるサービスや提供するサービス内容の多様化・複雑化等に対応するために、業務手続の標準化と徹底した電子化の推進、情報セキュリティ上の要件を満たす前提での外部委託の活用、他業務業態のシステムとの連携等を検討する

●セキュリティ侵害の実態

  • 「個人情報漏えい」原因の比率上位5位(2013年 NPO日本ネットワーク協会)
    • ・誤操作34.9%
    • ・管理ミス32.3%
    • ・紛失・置忘れ14.3%
    • ・盗難5.5%
    • 不正アクセス4.7%
  • 個人情報漏えい媒体、経路(2013年 NPO日本ネットワーク協会)
    • ・紙媒体58.7%
    • ・USB等記憶媒体25.9%
    • ・電子メール5.5%
    • ・インターネット5.0%

●情報セキュリティ対策の必要性の認識が必要

  • 被害にあった場合、影響が如何に大きいかを認識する⇒事例に基づいた被害と対策の必要性の認識が必要。
      • セキュリティ侵害事象は対岸の火事ではない
      • 一度セキュリティ侵害を受けると、社会的信用、経済的被害により、事業継続が困難になる

  • ☆セキュリティ対策の目的は、

    • IT化、デジタル化は、業務の効率化、ITを使ったサービスの向上
      • どんな優れたサービスも、セキュリティに不安があるサービスは利用されない
    • ITを活用するために、セキュリティ対策を実施
    • セキュリティ侵害の影響を認識する
      • 機密性(個人情報、取引先の情報、知的財産)、預金残高
      • 完全性(Webページ、帳簿類)
      • 可用性(業務システム、サービスシステム)
    • 費用対効果を考える
      • 対策に要する費用と、侵害にあった場合の被害の大きさを比較する
        • 自動車任意保険、火災保険のようなもの。
        • また、自動車のレーダー探知機とかも⇒監視することにより抑止効果もあり
      • 守るべき資産に応じてリスクの高いものから優先的に対応することにより、少ないコストで大きな効果が得られる
        • どれだけ費用をかけて対策をしてもリスクは0にならない。
        • 最も大きなリスク要因は「人」であり、ルールの策定と遵守が最も効果が大きい
    • 事業継続の観点で
      • 経済的損失、社会的信用の喪失⇒事業存続、事業継続の危機

●システムをベンダーに任せて開発もしくは導入、運用している

  • セキュリティ対策を明確にした調達仕様書作成のスキル習得が必要

●効果的な情報セキュリティ対策の方法がわからない

  • 認識すること
    • 断片的な対策では、セキュリティホールはなくならない
    • 内部職員による故意もしくは過失によるセキュリティ侵害は全体の80%以上
    • どれだけお金を掛けても脆弱性はゼロにはならない
    • リスク(脅威×資産価値×脆弱性)の高いものから順次対策を講ずる
    •  
  • 守るべき情報資産を洗い出して、管理的、技術的、人的、物理的対策の個別の対策の検討方法をレクチャー⇒情報セキュリティマネジメントシステムISMS)に準拠した情報セキュリティ対策の考え方

相談対応の手引きレファレンスリスト

FIX セキュリティ

信頼性の高いセキュリティ対策情報を提供しているサイトの内容の解説

事例等の紹介

対策まとめ資料

――――――――相談対応の手引き用【更新中】――――――

中小企業経営者向けセキュリティ対策情報のレファレンスリスト

■緊急相談対応

■中小企業経営者向け情報

■家庭・個人向け情報

  • 【準備中】

■サイバーセキュリティ対策公的機関・関連団体・関連機関

■体系的・網羅的な情報を提供しているポータルサイト

 

cybersec.hatenadiary.jp

■人材育成・人材確保

■参考情報

■関連ニュース

―――――― 相談対応の手引き用 ―――――

■信頼性の高いセキュリティ対策情報を提供しているサイトの内容の解説

■事例等の紹介

■対策まとめ資料

――――――――相談対応の手引き用【更新中】――――――

情報セキュリティマネジメントに必要な知識

1.                     要求される知識【重点】

1.1.          (1)          技術要素

1.1.1.                         情報セキュリティ

1.1.1.1.            情報セキュリティの目的と考え方

1.1.1.1.1.                            情報セキュリティの概念,機密性(Confidentiality),完全性(Integrity),可用性(Availability),真正性(Authenticity),責任追跡性(Accountability),否認防止(Non-Repudiation),信頼性(Reliability),OECD セキュリティガイドライン(情報システム及びネットワークのセキュリティのためのガイドライン

1.1.1.2.            情報セキュリティの重要性

1.1.1.2.1.                            情報セキュリティの水準の高さによる企業評価の向上,情報システム関連の事故がもたらす事業存続への脅威,サイバー空間,情報資産,脅威,脆弱性

1.1.1.3.            脅威

1.1.1.3.1.                            〔脅威の種類〕
1.1.1.3.1.1.               物理的脅威(事故,災害,故障,破壊,盗難,不正侵入 ほか),技術的脅威(不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング ほか),人的脅威(誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング ほか),サイバー攻撃,情報漏えい,故意,過失,誤謬びゅう,不正行為,妨害行為,サービス妨害,風評,炎上,SPAM(迷惑メール),ファイル共有ソフト
1.1.1.3.2.                            〔マルウェア・不正プログラム〕
1.1.1.3.2.1.               コンピュータウイルス,マクロウイルス,ワーム,ボット(ボットネット,遠隔操作型ウイルス),トロイの木馬スパイウェアランサムウェアキーロガールートキットバックドア,偽セキュリティ対策ソフト型ウイルス

1.1.1.4.            脆弱性

1.1.1.4.1.                            バグ,セキュリティホール,人為的脆弱性

1.1.1.5.            不正のメカニズム

1.1.1.5.1.                            不正のトライアングル(機会,動機,正当化),状況的犯罪予防

1.1.1.6.            攻撃者の種類

1.1.1.6.1.                            スクリプトキディ,ボットハーダー,内部関係者,愉快犯,詐欺犯,故意犯

1.1.1.7.            攻撃の動機

1.1.1.7.1.                            金銭奪取,ハクティビズム,サイバーテロリズム

1.1.1.8.            サイバー攻撃手法

1.1.1.8.1.                            ・パスワードクラック(総当り攻撃(ブルートフォース),辞書攻撃 ほか),パスワードリスト攻撃
1.1.1.8.2.                            ・クロスサイトスクリプティングクロスサイトリクエストフォージェリ,クリックジャッキング,ドライブバイダウンロード,SQL インジェクション,ディレクトリトラバーサル
1.1.1.8.3.                            ・中間者攻撃(Man-in-the-middle),第三者中継,IP スプーフィング,キャッシュポイズニング,セッションハイジャックリプレイ攻撃
1.1.1.8.4.                            ・DoS 攻撃,DDoS 攻撃,メールボム
1.1.1.8.5.                            ・標的型攻撃(APT(Advanced Persistent Threats),水飲み場型攻撃 ほか)
1.1.1.8.6.                            ・フィッシング(ワンクリック詐欺,スミッシング ほか),ゼロデイ攻撃

1.1.1.9.            情報セキュリティ技術(暗号技術)

1.1.1.9.1.                            CRYPTREC 暗号リスト,暗号方式(暗号化(暗号鍵),復号(復号鍵),解読,共通鍵暗号方式(共通鍵),公開鍵暗号方式(公開鍵,秘密鍵)),AES(Advanced Encryption Standard),RS(Rivest,Shamir,Adleman),S/MIME(Secure MIME),PGP(Pretty Good Privacy),ハイブリッド暗号,ハッシュ関数(SHA-256 ほか),鍵管理,ディスク暗号化,ファイル暗号化,危殆化

1.1.1.10.        情報セキュリティ技術(認証技術)

1.1.1.10.1.                        ディジタル署名(署名鍵,検証鍵),タイムスタンプ(時刻認証),メッセージ認証,MAC(Message Authentication Code:メッセージ認証符号),チャレンジレスポンス認証

1.1.1.11.        情報セキュリティ技術(利用者認証)

1.1.1.11.1.                        ログイン(利用者ID とパスワード),アクセス管理,IC カード,PIN コード,ワンタイムパスワード,多要素認証,シングルサインオンCAPTCHA,パスワードリマインダ,パスワード管理ツール

1.1.1.12.        情報セキュリティ技術(生体認証技術)

1.1.1.12.1.                        静脈パターン認証,虹彩認証,声紋認証,顔認証,網膜認証,署名認証,本人拒否率,他人受入率

1.1.1.13.        情報セキュリティ技術(公開鍵基盤)

1.1.1.13.1.                        PKI(Public Key Infrastructure:公開鍵基盤),ディジタル証明書(公開鍵証明書),ルート証明書サーバ証明書,クライアント証明書,CRL(Certificate Revocation List:証明書失効リスト)

1.1.2.                         情報セキュリティ管理

1.1.2.1.            情報セキュリティ管理

1.1.2.1.1.                            情報セキュリティポリシに基づく情報の管理,情報,情報資産,物理的資産,ソフトウェア資産,人的資産(人,保有する資格・技能・経験),無形資産,サービス,リスクマネジメント(JIS Q 31000),監視,情報セキュリティ事象,情報セキュリティインシデント

1.1.2.2.            リスク分析と評価(情報資産の調査・分類)

1.1.2.2.1.                            情報資産の調査,情報資産の重要性による分類と管理,情報資産台帳

1.1.2.3.            リスク分析と評価(リスクの種類)

1.1.2.3.1.                            財産損失,責任損失,純収益の喪失,人的損失,オペレーショナルリスク,サプライチェーンリスク,外部サービス利用のリスク,SNS による情報発信のリスク,モラルハザード,年間予想損失額,得点法,コスト要因

1.1.2.4.            リスク分析と評価(情報セキュリティリスクアセスメント

1.1.2.4.1.                            リスク基準(リスク受容基準,情報セキュリティリスクアセスメントを実施するための基準),リスクレベル,リスクマトリックス,リスク所有者,リスク源,リスクアセスメントのプロセス(リスク特定,リスク分析,リスク評価),リスク忌避,リスク選好,定性的リスク分析手法,定量的リスク分析手法

1.1.2.5.            リスク分析と評価(情報セキュリティリスク対応)

1.1.2.5.1.                            リスクコントロールリスクヘッジ,リスクファイナンシング,情報化保険,リスク回避,リスク共有(リスク移転,リスク分散),リスク保有,リスク集約,残留リスク,リスク対応計画,リスク登録簿,リスクコミュニケーション

1.1.2.6.            情報セキュリティ継続

1.1.2.6.1.                            緊急事態の区分,緊急時対応計画(コンティンジェンシープラン),復旧計画,災害復旧,障害復旧,バックアップ対策,被害状況の調査手法

1.1.2.7.            情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程)

1.1.2.7.1.                            情報セキュリティポリシに従った組織運営,情報セキュリティ方針,情報セキュリティ目的,情報セキュリティ対策基準,情報管理規程,機密管理規程,文書管理規程,コンピュータウイルス感染時の対応規程,事故への対応規程,情報セキュリティ教育の規程,プライバシポリシ(個人情報保護方針),雇用契約,職務規程,罰則の規程,対外説明の規程,例外の規程,規則更新の規程,規程の承認手続

1.1.2.8.            情報セキュリティマネジメントシステムISMS

1.1.2.8.1.                            ISMS 適用範囲,リーダシップ,計画,運用,パフォーマンス評価(内部監査,マネジメントレビュー ほか),改善(不適合及び是正処置,継続的改善),管理目的,管理策(情報セキュリティインシデント管理,情報セキュリティの教育及び訓練,法的及び契約上の要求事項の順守 ほか),有効性,ISMS 適合性評価制度,ISMS 認証,JIS Q 27001(ISO/IEC 27001),JIS Q 27002(ISO/IEC 27002),情報セキュリティガバナンス(ISO/IEC 27014)

1.1.3.                         セキュリティ技術評価

1.1.3.1.            セキュリティ評価

1.1.3.1.1.                            PCI DSS,CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム),脆弱性検査,ペネトレーションテスト

1.1.4.                         情報セキュリティ対策

1.1.4.1.            人的セキュリティ対策

1.1.4.1.1.                            組織における内部不正防止ガイドライン,情報セキュリティ啓発(教育,訓練,資料配付,メディア活用),パスワード管理,利用者アクセスの管理(アカウント管理,特権的アクセス権の管理,need-to-know(最小権限) ほか),ログ管理,監視

1.1.4.2.            技術的セキュリティ対策

1.1.4.2.1.                            〔技術的セキュリティ対策の種類〕
1.1.4.2.1.1.               クラッキング対策,不正アクセス対策,マルウェア・不正プログラム対策(ウイルス対策ソフトの導入,ウイルス定義ファイルの更新 ほか),出口対策,入口対策,多層防御,秘匿化,
1.1.4.2.1.2.               アクセス制御,脆弱性管理(OS アップデート,脆弱性修正プログラムの適用ほか),ネットワーク監視,ネットワークアクセス権の設定,侵入検知,侵入防止,DMZ(非武装地帯),検疫ネットワーク,電子メール・Web のセキュリティ(SPAM 対策,SPF,URL フィルタリング,コンテンツフィルタリング),携帯端末(携帯電話,スマートフォンタブレット端末 ほか)のセキュリティ,無線LAN セキュリティ(WPA(Wi-Fi Protected Access)・WPA2 などによる無線LAN の暗号化,SSID(Service Set IDentifier),SSID ステルス ほか),クラウドサービスのセキュリティ,電子透かし,ディジタルフォレンジックス(証拠保全 ほか)
1.1.4.2.2.                            〔セキュリティ製品・サービス〕
1.1.4.2.2.1.               ウイルス対策ソフト,DLP(Data Loss Prevention),SIEM(Security Information and Event Management),ファイアウォール,WAF(Web Application Firewall),IDS(Intrusion Detection System:侵入検知システム),IPS(Intrusion Prevention System:侵入防止システム),UTM(Unified Threat Management:統合脅威管理),SSL アクセラレータ,MDM(Mobile Device Management)

1.1.4.3.            物理的セキュリティ対策

1.1.4.3.1.                            RASIS(Reliability,Availability,Serviceability,Integrity, Security),RAS 技術,耐震耐火設備,UPS,二重化技術,ミラーリング,監視カメラ,施錠管理,入退室管理,クリアデスク・クリアスクリーン,遠隔バックアップ,USB キー

1.1.5.                         セキュリティ実装技術

1.1.5.1.            セキュアプロトコル

1.1.5.1.1.                            IPSecTLSSSLSSH

1.1.5.2.            ネットワークセキュリティ

1.1.5.2.1.                            パケットフィルタリング,MAC アドレス(Media Access Control address)フィルタリング,認証サーバ,VLAN(Virtual LAN),VPN(Virtual Private Network:仮想私設網),セキュリティ監視,ハニーポット,リバースプロキシ

1.1.5.3.            データベースセキュリティ

1.1.5.3.1.                            データベース暗号化,データベースアクセス制御,データベースバックアップ,ログの取得

1.1.5.4.            アプリケーションセキュリティ

1.1.5.4.1.                            Web システムのセキュリティ対策,セキュアプログラミング,バッファオーバフロー対策,クロスサイトスクリプティング対策,SQL インジェクション対策

1.2.          (2)          企業と法務

1.2.1.                         知的財産権

1.2.1.1.            知的財産権

1.2.1.1.1.                            著作権法著作権,権利侵害,保護対象),コピープロテクト外し

1.2.1.2.            不正競争防止法

1.2.1.2.1.                            営業秘密,ドメイン名の不正取得

1.2.2.                         セキュリティ関連法規

1.2.2.1.            サイバーセキュリティ基本法

1.2.2.1.1.                            サイバーセキュリティ基本法

1.2.2.2.            不正アクセス禁止法

1.2.2.2.1.                            アクセス制御機能,不正アクセス行為,不正アクセス行為を助長する行為

1.2.2.3.            個人情報保護法

1.2.2.3.1.                            個人情報保護に関するガイドライン,特定個人情報の適正な取扱いに関するガイドラインマイナンバー法施行令(行政手続における特定の個人を識別するための番号の利用等に関する法律施行令),JIS Q 15001,プライバシーマークOECD プライバシーガイドライン(プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告),プライバシー影響アセスメント(PIA),プライバシーフレームワーク,オプトイン,オプトアウト,第三者提供,匿名化手法(サンプリング,k-匿名化)

1.2.2.4.            刑法

1.2.2.4.1.                            不正指令電磁的記録に関する罪(ウイルス作成罪),電子計算機使用詐欺罪,電子計算機損壊等業務妨害罪,電磁的記録不正作出及び供用罪,支払用カード電磁的記録不正作出等罪

1.2.2.5.            その他のセキュリティ関連法規

1.2.2.5.1.                            電子署名及び認証業務等に関する法律(認定認証事業者,電子証明書),プロバイダ責任制限法,特定電子メール法

1.2.2.6.            情報セキュリティに関する基準

1.2.2.6.1.                            コンピュータ犯罪防止法,コンピュータウイルス対策基準,コンピュータ不正アクセス対策基準,ソフトウェア等脆弱性関連情報取扱基準,政府機関の情報セキュリティ対策のための統一基準,スマートフォン安全安心強化戦略,ソーシャルメディアガイドラインSNS 利用ポリシ)

1.2.3.                         労働関連・取引関連法規

1.2.3.1.            労働関連の法規(労働基準法

1.2.3.1.1.                            就業規則

1.2.3.2.            労働関連の法規(労働者派遣法)

1.2.3.2.1.                            労働者,派遣先,派遣元,派遣契約,雇用契約,指揮命令

1.2.3.3.            企業間の取引にかかわる契約

1.2.3.3.1.                            準委任契約,請負契約,守秘契約,ソフトウェア使用許諾契約(ボリュームライセンス契約,コピーレフトCopyleft)),ソフトウェア開発契約(ソフトウェア開発委託モデル契約,情報システム・モデル取引・契約書)

1.2.4.                         その他の法律・ガイドライン・技術者倫理

1.2.4.1.            その他の法律・ガイドライン・技術者倫理

1.2.4.1.1.                            その他の法律(IT 基本法e-文書法(電磁的記録),電子帳簿保存法),コンプライアンス,情報倫理・技術者倫理

1.2.5.                         標準化関連

1.2.5.1.            標準・規格と標準化団体

1.2.5.1.1.                            JIS(Japanese Industrial Standards:日本工業規格),IS(International Standards:国際規格),ISO(International Organization for Standardization:国際標準化機構),IEEEなどの関連機構の役割,デジュレスタンダード,デファクトスタンダード

2.                     要求される知識【その他の分野】

2.1.          (1)          コンピュータシステム

2.1.1.                         システム構成要素

2.1.1.1.            システムの構成

2.1.1.1.1.                            システムの処理形態・利用形態
2.1.1.1.1.1.               集中処理,分散処理,対話型処理,利用形態(バッチ処理,リアルタイム処理)
2.1.1.1.2.                            システム構成
2.1.1.1.2.1.               機能配分,冗長構成,負荷分散,デュアルシステム,デュプレックスシステム,クラスタ,主系(現用系),従系(待機系),クライアントサーバシステム(クライアント,サーバ),シンクライアント,Web システム(Web ブラウザ,Web サーバ),ピアツーピア,クラウドコンピューティングSaaS,PaaS,IaaS,DaaS
2.1.1.1.3.                            ストレージの構成
2.1.1.1.3.1.               RAIDNAS,SAN
2.1.1.1.4.                            信頼性設計
2.1.1.1.4.1.               フォールトトレラント,フェールセーフ,フールプルーフ,ヒューマンエラー,UPS

2.1.1.2.            システムの評価指標

2.1.1.2.1.                            システムの性能特性と評価
2.1.1.2.1.1.               システムの性能指標(レスポンスタイム(応答時間),スループット
2.1.1.2.2.                            システムの信頼性特性と評価
2.1.1.2.2.1.               信頼性指標と信頼性計算(MTBFMTTR稼働率
2.1.1.2.3.                            システムの経済性の評価
2.1.1.2.3.1.               初期コスト(イニシャルコスト),運用コスト(ランニングコスト

2.2.          (2)          技術要素

2.2.1.                         データベース

2.2.1.1.            データベース方式

2.2.1.1.1.                            データベース
2.2.1.1.1.1.               データベースの種類と特徴(関係データベース)
2.2.1.1.2.                            データベース管理システム
2.2.1.1.2.1.               データベース管理システム及びその機能(保全機能,データ機密保護機能)

2.2.1.2.            データベース設計

2.2.1.2.1.                            データ分析
2.2.1.2.1.1.               データ重複の排除,データディクショナリ

2.2.1.3.            データ操作

2.2.1.3.1.                            データ操作
2.2.1.3.1.1.               データベース言語(SQL

2.2.1.4.            トランザクション処理

2.2.1.4.1.                            トランザクション処理
2.2.1.4.1.1.               排他制御,障害回復(障害に備えたバックアップの方式,世代管理,フルバックアップ,差分バックアップ,増分バックアップ)

2.2.1.5.            データベース応用

2.2.1.5.1.                            データベースの応用
2.2.1.5.1.1.               データウェアハウス,メタデータビッグデータ

2.2.2.                         ネットワーク

2.2.2.1.            ネットワーク方式

2.2.2.1.1.                            通信ネットワークの役割
2.2.2.1.1.1.               ネットワーク社会,情報社会,ICT(Information and Communication Technology:情報通信技術)
2.2.2.1.2.                            ネットワークの種類と特徴
2.2.2.1.2.1.               LAN(有線LAN,無線LAN),WAN,電気通信事業者が提供するサービス,インターネット接続サービス,インターネットサービスプロバイ
2.2.2.1.3.                            インターネット技術
2.2.2.1.3.1.               TCP/IP,サーバ,クライアント,ルーティング,グローバルIP アドレス,プライベートIPアドレスドメインDNSRADIUS 

2.2.2.2.            データ通信と制御

2.2.2.2.1.                            伝送方式と回線
2.2.2.2.1.1.               パケット交換,公衆回線,専用線FTTH
2.2.2.2.2.                            ネットワーク接続
2.2.2.2.2.1.               LAN 内接続,LAN 間接続,LAN-WAN 接続,スイッチングハブ,ルータ,レイヤ2(L2)スイッチ,レイヤ3(L3)スイッチ,ブリッジ,ゲートウェイ無線LAN アクセスポイント,プロキシサーバ

2.2.2.3.            通信プロトコル

2.2.2.3.1.                            プロトコルとインタフェース(ネットワーク層トランスポート層
2.2.2.3.1.1.               IP アドレス,サブネットアドレス,サブネットマスクMAC アドレス,ルーティング,IPv4IPv6,ポート番号
2.2.2.3.2.                            プロトコルとインタフェース(アプリケーション層)
2.2.2.3.2.1.               HTTP,HTTPS(HTTP over TLS),SMTPPOP3IMAPFTP

2.2.2.4.            ネットワーク管理

2.2.2.4.1.                            ネットワーク運用管理(障害管理)
2.2.2.4.1.1.               稼働統計,障害の切分け,障害原因の特定,復旧措置 

2.2.2.5.            ネットワーク応用

2.2.2.5.1.                            インターネット(電子メール)
2.2.2.5.1.1.               メールサーバ,メールクライアント(メールソフト),リレー方式,同報メール,メーリング
2.2.2.5.1.2.               リスト,メールボックス,cc,bccMIME
2.2.2.5.2.                            インターネット(Web)
2.2.2.5.2.1.               Web ブラウザ,マークアップ言語(HTML,XML),ハイパリンク,Web アプリケーションソフト
2.2.2.5.2.2.               ウェア,cookieドメイン名,URL
2.2.2.5.3.                            インターネット(ファイル転送)
2.2.2.5.3.1.               FTP サーバ,FTP クライアント,アップロード,ダウンロード,オンラインストレージ
2.2.2.5.4.                            イントラネットエクストラネット
2.2.2.5.4.1.               VPN,プライベートIP アドレス,EC(Electronic Commerce:電子商取引),EDI(Electronic
2.2.2.5.4.2.               Data Interchange:電子データ交換)
2.2.2.5.5.                            通信サービス
2.2.2.5.5.1.               専用線サービス,回線交換サービス,パケット交換サービス,インターネットサービス,IP電話,モバイル通信,移動体通信規格(LTE など),テザリング,広域Ethernet,IP-VPN,インターネットVPNVoIP(Voice over Internet Protocol),ベストエフォート

2.3.          (3)          プロジェクトマネジメント

2.3.1.                         プロジェクトマネジメント

2.3.1.1.            プロジェクトマネジメント

2.3.1.1.1.                            PDCA マネジメントサイクル,プロジェクト,プロジェクトマネジメント,プロジェクトの環境,プロジェクトの体制,プロジェクトの自己管理(変更管理,問題発見,問題報告,対策立案,文書化)

2.3.2.                         プロジェクト統合マネジメント

2.3.2.1.            プロジェクト統合マネジメント

2.3.2.1.1.                            プロジェクト統合マネジメント,プロジェクト全体像の把握と管理

2.3.3.                         プロジェクトステークホルダマネジメント

2.3.3.1.            プロジェクトステークホルダマネジメント

2.3.3.1.1.                            プロジェクトステークホルダマネジメント,ステークホルダ

2.3.4.                         プロジェクトスコープマネジメント

2.3.4.1.            プロジェクトスコープマネジメント

2.3.4.1.1.                            プロジェクトスコープマネジメント,WBS,アクティビティ,ベースライン

2.3.5.                         プロジェクト資源マネジメント

2.3.5.1.            プロジェクト資源マネジメント

2.3.5.1.1.                            プロジェクト資源マネジメント及びそのプロセス(プロジェクトチームの管理),要員(プロジェクトマネージャ,プロジェクトメンバ,プロジェクトマネジメントチーム),PMO(Project Management Office),機器,備品,資材,ソフトウェア,ハードウェア,外部人材の管理

2.3.6.                         プロジェクトタイムマネジメント

2.3.6.1.            プロジェクトタイムマネジメント

2.3.6.1.1.                            プロジェクトタイムマネジメント及びそのプロセス(アクティビティの順序付け,アクティビティ期間の見積り,スケジュールの作成),アクティビティリスト,PERT

2.3.7.                         プロジェクトコストマネジメント

2.3.7.1.            プロジェクトコストマネジメント

2.3.7.1.1.                            プロジェクトコストマネジメント,コストベースライン,資源費用

2.3.8.                         プロジェクトリスクマネジメント

2.3.8.1.            プロジェクトリスクマネジメント

2.3.8.1.1.                            プロジェクトリスクマネジメント及びそのプロセス(リスクの特定,リスクの評価,リスクへの対応,リスクのコントロール),リスク

2.3.9.                         プロジェクト品質マネジメント

2.3.9.1.            プロジェクト品質マネジメント

2.3.9.1.1.                            プロジェクト品質マネジメント,障害報告書

2.3.10.                     プロジェクト調達マネジメント

2.3.10.1.        プロジェクト調達マネジメント

2.3.10.1.1.                        プロジェクト調達マネジメント及びそのプロセス(調達の計画,サプライヤの選定,調達の管理),購入者,サプライヤ,外部資源の活用方法

2.3.11.                     プロジェクトコミュニケーションマネジメント

2.3.11.1.        プロジェクトコミュニケーションマネジメント

2.3.11.1.1.                        プロジェクトコミュニケーションマネジメント,コミュニケーション,代表的な情報配布の方法(プッシュ型,プル型,フィードバック型,電子メール,ボイスメール,テレビ会議,紙面)

2.4.          (4)          サービスマネジメント

2.4.1.                         サービスマネジメント

2.4.1.1.            サービスマネジメント

2.4.1.1.1.                            SLA
2.4.1.1.1.1.               SLA(サービスレベル合意書),顧客満足度,サービス時間,応答時間,サービス及びプロセスのパフォーマンス

2.4.1.2.            サービスの設計・移行

2.4.1.2.1.                            サービスの設計・移行
2.4.1.2.1.1.               サービス受入れ基準,サービス設計書,非機能要件,移行,運用サービス基準,業務及びシステムの移行,移行計画,移行リハーサル,移行判断,移行の通知,移行評価,運用テスト,受入れテスト,運用引継ぎ

2.4.1.3.            サービスマネジメントプロセス

2.4.1.3.1.                            サービスレベル管理
2.4.1.3.1.1.               サービスレベル管理,サービス目標,レビュー,サービス改善計画,サービスカタログ
2.4.1.3.2.                            サービスの報告
2.4.1.3.2.1.               サービスの報告,サービス目標に対するパフォーマンス,傾向情報
2.4.1.3.3.                            サービス継続及び可用性管理
2.4.1.3.3.1.               サービス継続及び可用性管理,サービス継続計画,RTO,RPO,復旧(障害復旧,災害復旧),コールドスタンバイ,ホットスタンバイ,可用性,信頼性,保守性
2.4.1.3.4.                            キャパシティ管理
2.4.1.3.4.1.               キャパシティ管理,監視,管理指標(CPU 使用率,メモリ使用率,ファイル使用量,ネットワーク利用率),しきい(閾)値
2.4.1.3.5.                            供給者管理
2.4.1.3.5.1.               供給者管理,供給者,契約,内部グループ,運用レベル合意書(OLA)
2.4.1.3.6.                            インシデント及びサービス要求管理
2.4.1.3.6.1.               インシデント及びサービス要求管理,インシデント,影響範囲,サービス要求,段階的取扱い,回避策,重大なインシデント,ヒヤリハット
2.4.1.3.7.                            問題管理・構成管理・変更管理・リリース及び展開管理
2.4.1.3.7.1.               問題管理(問題,既知の誤り,根本原因,予防処置,傾向分析),構成管理(資産管理),変更管理(変更管理,変更によるサービスへの影響),リリース及び展開管理(構成管理及び変更管理との連携)

2.4.1.4.            サービスの運用

2.4.1.4.1.                            サービスの運用
2.4.1.4.1.1.               システム運用管理,運用オペレーション(システムの監視・操作・状況連絡,作業指示書,操作ログ),サービスデスク(利用者からの問合せ)

2.4.1.5.            ファシリティマネジメント

2.4.1.5.1.                            ファシリティマネジメント
2.4.1.5.1.1.               ファシリティマネジメント,施設管理,設備管理(電源・空調設備ほか),UPS,セキュリティワイヤ

2.4.2.                         システム監査

2.4.2.1.            システム監査

2.4.2.1.1.                            システム監査の目的と手順
2.4.2.1.1.1.               システム監査の目的,信頼性,安全性,効率性,有効性,監査業務,システムの可監査性(ログ,トレース),システム監査の品質評価
2.4.2.1.2.                            情報セキュリティ監査
2.4.2.1.2.1.               情報セキュリティ監査基準,情報セキュリティ管理基準
2.4.2.1.3.                            コンプライアンス監査
2.4.2.1.3.1.               行動指針,倫理,透明性,権利侵害行為への指摘,労働環境における問題点への指摘

2.4.2.2.            内部統制

2.4.2.2.1.                            内部統制
2.4.2.2.1.1.               職務分掌,相互牽制(職務の分離),実施ルールの設定,チェック体制の確立,IT が内部統制に果たす役割,リスクの評価と対応,統制活動,情報と伝達,モニタリング,IT への対応,IT 統制(IT 全般統制,IT 業務処理統制),IT ガバナンス
2.4.2.2.2.                            法令順守状況の評価・改善
2.4.2.2.2.1.               基準・自社内外の行動規範の順守状況の継続的な評価,内部統制の整備,CSA(Control Self Assessment:統制自己評価)

2.5.          (5)          システム戦略

2.5.1.                         システム戦略

2.5.1.1.            情報システム戦略

2.5.1.1.1.                            情報システム戦略の策定
2.5.1.1.1.1.               情報システム化委員会,情報化推進体制

2.5.1.2.            業務プロセス

2.5.1.2.1.                            業務プロセスの改善と問題解決
2.5.1.2.1.1.               ワークフローシステム,BPR(Business Process Reengineering),プロセス視点,IT の有効活用,システム化による業務効率化,コミュニケーションのためのシステム利用,SNS(Social Networking Service),業務における電子メールの利用

2.5.1.3.            ソリューションビジネス

2.5.1.3.1.                            ソリューションサービスの種類
2.5.1.3.1.1.               クラウドサービス,SaaS,PaaS,IaaS,ASP

2.5.1.4.            システム活用促進・評価

2.5.1.4.1.                            情報システム利用実態の評価・検証
2.5.1.4.1.1.               情報システムの投資対効果分析,システム利用実態の調査及び評価,業務内容や業務フローの変更の有無の把握,情報システムの運用状況の把握及び評価,情報システムの改修
2.5.1.4.2.                            情報システム廃棄
2.5.1.4.2.1.               システムライフサイクル,データの消去

2.5.2.                         システム企画

2.5.2.1.            システム化計画

2.5.2.1.1.                            システム化計画の立案における検討項目(情報システム導入リスク分析)
2.5.2.1.1.1.               リスク分析の対象,リスクの発生頻度・影響・範囲,リスクの種類に応じた損害内容と損害額,リスク対策(リスク回避,損失予防,損失軽減,リスク移転,リスク保有など),財産損失,責任損失,純収益損失,人的損失,リスク測定

2.5.2.2.            要件定義

2.5.2.2.1.                            要求分析
2.5.2.2.1.1.               要求項目の洗出し,要求項目の分析,要求分析の手順(ユーザニーズ調査,調査内容の分析,現状分析,課題定義,要求仕様書)
2.5.2.2.2.                            要件定義
2.5.2.2.2.1.               要件定義の目的,要件の定義(業務要件定義,業務処理手順,機能要件定義,非機能要件定義,セキュリティ要件,情報・データ要件)

2.5.2.3.            調達計画・実施

2.5.2.3.1.                            調達と調達計画
2.5.2.3.1.1.               外部資源の利用(システムインテグレータ,SI 事業者,アウトソーシング),システム資産及びソフトウェア資産の管理(ライセンス管理,構成管理)
2.5.2.3.2.                            調達の実施(調達の方法)
2.5.2.3.2.1.               調達の代表的な方法,RFI(Request For Information:情報提供依頼書)
2.5.2.3.3.                            調達の実施(提案依頼書)
2.5.2.3.3.1.               RFP(Request For Proposal:提案依頼書),RFQ(Request For Quotation:見積依頼書),対象範囲,システムモデル,サービス要件,目標スケジュール,契約条件,ベンダの経営要件,ベンダのプロジェクト体制要件,ベンダの技術及び実績評価,提案書・見積書
2.5.2.3.4.                            調達の実施(調達選定)
2.5.2.3.4.1.               提案評価基準,要求事項適合度,費用内訳,工程別スケジュール,最終納期
2.5.2.3.5.                            調達の実施(契約締結)
2.5.2.3.5.1.               受入システム,費用,受入時期,発注元とベンダ企業の役割分担,ソフトウェア開発委託モデル契約,情報システム・モデル取引・契約書,知的財産権利用許諾契約

2.6.          (6)          企業と法務

2.6.1.                         企業活動

2.6.1.1.            経営管理経営管理・経営組織)

2.6.1.1.1.                            PDCA,CEO(Chief Executive Officer:最高経営責任者),CIO(Chief Information Officer:最高情報責任者),CISO(Chief Information Security Officer:最高情報セキュリティ責任者),CPO(Chief Privacy Officer)

2.6.1.2.            経営・組織論

2.6.1.2.1.                            経営管理(ヒューマンリソースマネジメント・行動科学)
2.6.1.2.1.1.               ケーススタディ,e ラーニング,リーダシップ,コミュニケーション
2.6.1.2.2.                            経営管理(リスクマネジメント)
2.6.1.2.2.1.               BCP(Business Continuity Plan:事業継続計画),BCM(Business Continuity Management:事業継続マネジメント),事業影響度分析(BIA)
2.6.1.2.3.                            コンピュータリテラシ
2.6.1.2.3.1.               コンピュータリテラシ

2.6.1.3.            OR・IE

2.6.1.3.1.                            検査手法・品質管理手法
2.6.1.3.1.1.               サンプリング,シミュレーション,QC 七つ道具,新QC 七つ道具
2.6.1.3.2.                            業務分析・業務計画
2.6.1.3.2.1.               データマイニングブレーンストーミングデルファイ法,デシジョンツリー

2.6.1.4.            会計・財務

2.6.1.4.1.                            企業活動と会計
2.6.1.4.1.1.               固定費,変動費,原価,利益,粗利益,営業利益,変動費率,損益分岐点減価償却,リース,レンタル
2.6.1.4.2.                            財務諸表
2.6.1.4.2.1.               貸借対照表キャッシュフロー計算書,資産(純資産,流動資産,固定資産,繰延資産,有形資産,無形資産),負債(流動負債,固定負債),流動比率

3.                     要求される技能

3.1.          (1)          計画,要求事項に関すること

3.1.1.                         情報資産管理の計画

3.1.1.1.            情報資産の特定及び価値の明確化

3.1.1.1.1.                            部門で利用する情報資産(情報システム,データ,文書,施設,人材など)を特定することの必要性,方法,手順を理解し,また,機密性,完全性,可用性の三つの側面からそれらの価値(重要度)を明確化することの必要性,方法,手順を理解し,文書精査,ヒアリングなどによって価値を明確化できる。
3.1.1.1.2.                            用語知識:情報資産,価値(重要度),3特性(機密性,完全性,可用性) 

3.1.1.2.            管理責任及び利用の許容範囲の明確化

3.1.1.2.1.                            情報資産の管理責任者の役割を理解し,部門における情報資産の管理方針と管理体制を検討できる。
3.1.1.2.2.                            また,組織と部門が定めた方針に基づき,情報資産の受入れと確認,利用の許容範囲の明確化,変更管理,廃棄管理などについて,必要性,方法,手順を理解し,自らルールを検討して提案できる。
3.1.1.2.3.                            用語知識:情報資産受入れ,変更管理,利用管理,廃棄管理,管理体制

3.1.1.3.            情報資産台帳の作成

3.1.1.3.1.                            情報資産台帳を作成することの必要性,方法,手順を理解し,作成できる。
3.1.1.3.2.                            用語知識:情報資産台帳,資産の棚卸

3.1.2.                         情報セキュリティリスクアセスメント及びリスク対応

3.1.2.1.            リスクの特定・分析・評価

3.1.2.1.1.                            部門で利用する情報資産について,脅威,脆弱性,資産の価値を,物理的な要因,技術的な要因,人的な要因の側面から分析する,また,リスクについて,事象の起こりやすさ,及びその事象が起きた場合の結果を定量的又は定性的に把握してリスクの大きさを算定するための考え方,手法を理解し,組織が定めたリスク受容基準に基づく評価を実施できる。
3.1.2.1.2.                            また,新種の脅威の発生,情報システムの変更,組織の変更に伴う新たなリスクについても,それらを特定し,同様に評価できる。
3.1.2.1.3.                            用語用語:脅威,脆弱性サイバー攻撃(標的型攻撃,ゼロデイ攻撃ほか),資産の価値,物理的な要因,技術的な要因,人的な要因,事象の起こりやすさ,結果(損害の大きさ),リスク受容基準

3.1.2.2.            リスク対応策の検討

3.1.2.2.1.                            特定・分析・評価した全てのリスクに対して,それぞれ物理的対策,人的(管理的)対策,技術的対策の区分でのリスク対応の考え方,必要性,方法,手順を理解し,リスク対応策を検討できる。また,検討した対応策について,現状の実施状況を把握できる。
3.1.2.2.2.                            リスクの大きさ,リスク対応策の実施に要するコスト,及び対応策を実施しても残留するリスクへの対処の考え方,方法,手順を理解し,(それらのリスクを許容できるか否かを考慮した)リスク対応策の優先順位を検討できる。
3.1.2.2.3.                            用語知識:リスク対応策,物理的対策,人的(管理的)対策,技術的対策,残留リスク 

3.1.2.3.            リスク対応計画の策定

3.1.2.3.1.                            検討したリスク対応策の優先順位を基に,リスク対応計画を作成する目的,及び記載する内容(実施項目,資源,責任者,完了予定時期,実施結果の評価方法ほか)を理解し,リスク対応計画を作成できる。
3.1.2.3.2.                            用語知識:リスクコントロールリスクヘッジ,リスクファイナンシング,情報化保険,リスク回避,リスク共有(リスク移転,リスク分散),リスク保有,リスク集約,リスク対応計画

3.1.3.                         情報資産に関する情報セキュリティ要求事項の提示

3.1.3.1.            物理的及び環境的セキュリティ

3.1.3.1.1.                            情報資産を保護するための物理的及び環境的セキュリティの考え方,仕組みを理解した上で,執務場所への入退管理方法,情報資産の持込み・持出し管理方法,ネットワークの物理的な保護方法,情報セキュリティを維持すべき対象(モバイル機器を含む)の範囲を検討し,リスク対応計画に基づく要求事項の取りまとめを実施できる。
3.1.3.1.2.                            用語知識:入退管理方法,持込み・持出し管理,ネットワーク,モバイル機器

3.1.3.2.            部門の情報システムに関する技術的及び運用のセキュリティ

3.1.3.2.1.                            情報資産を保護するための技術的及び運用のセキュリティの考え方,仕組みを理解し,情報システム部門の技術的支援を受けながら,リスク対応計画に基づく要求事項の取りまとめを実施できる。
3.1.3.2.2.                            要求事項には,次のような項目がある。
3.1.3.2.2.1.               アクセス制御に関する業務上の要求事項,利用者アクセスの管理,利用者の責任
3.1.3.2.2.2.               部門で開発・取得する情報システムに関する情報セキュリティ要求事項,開発及びサポートプロセスにおける情報セキュリティ,試験データの取扱いなど
3.1.3.2.2.3.               運用の手順及び責任
3.1.3.2.3.                            また,情報システム部門が所有する情報システムのうち,部門が利用する情報システムに関しても,必要に応じて同様に要求事項を取りまとめて提案できる。
3.1.3.2.4.                            用語知識:アクセス制御,業務上の要求事項,利用者アクセスの管理,情報セキュリティ要求事項,開発及びサポートプロセス,受入れテスト,試験データ

3.1.4.                         情報セキュリティを継続的に確保するための情報セキュリティ要求事項の提示

3.1.4.1.            情報セキュリティを継続的に確保するための情報セキュリティ要求事項の提示

3.1.4.1.1.                            障害又は災害発生時において,部門の情報セキュリティを継続的に確保するために必要な情報セキュリティ要求事項を理解し,それらの事項が事業継続計画に盛り込まれていることを確認できる。
3.1.4.1.2.                            もし過不足がある場合は,改善(必要事項を計画に盛り込み,追加の手順を定めて文書化する)を提案できる。
3.1.4.1.3.                            用語知識:障害,災害,事業継続マネジメント,情報セキュリティ継続

3.2.          (2)          運用・継続的改善に関すること

3.2.1.                         情報資産の管理

3.2.1.1.            情報資産台帳の維持管理

3.2.1.1.1.                            情報資産台帳に記載する内容,及び台帳の維持管理の必要性,手順を理解した上で,情報セキュリティポリシを含む組織内諸規程(以下,情報セキュリティ諸規程という)及び部門で定めたルールに従い,情報資産の受入れ,配置,管理者変更,構成変更,他部門への移転及び廃棄を適切に反映して,情報資産台帳を維持管理できる。
3.2.1.1.2.                            用語知識:情報セキュリティポリシ,情報資産の受入れ,配置,管理者変更,構成変更,他部門への移転,廃棄

3.2.1.2.            媒体の管理

3.2.1.2.1.                            情報セキュリティインシデント(以下,インシデントという)を発生させないために必要な,可搬媒体の管理(部門の執務場所と外部との間での持込み・持出し,廃棄)の方法,手順を理解し,あらかじめ定められた手順を部門のメンバが適切に実施するためのアドバイスができる。
3.2.1.2.2.                            用語知識:媒体の持込み・持出し,廃棄,可搬媒体(USB メモリ,DVD,ハードディスクなど)

3.2.1.3.            利用状況の記録

3.2.1.3.1.                            情報資産を管理することの必要性,方法,手順を理解した上で,対象資産の利用状況を把握し,また,その配置,管理者,構成の変更などを追跡し,情報資産の利用状況を記録できる。
3.2.1.3.2.                            用語知識:情報資産の配置,管理者,構成の変更

3.2.2.                         部門の情報システム利用時の情報セキュリティの確保

3.2.2.1.            マルウェアからの保護

3.2.2.1.1.                            マルウェアのタイプ,及びマルウェアからの情報資産の保護の目的,仕組みを理解し,マルウェアウイルス対策ソフトについて,部門のメンバの理解を深め,情報セキュリティ諸規程の順守を促進できる。
3.2.2.1.2.                            用語知識:マルウェア,コンピュータウイルス,トロイの木馬,ワーム,ウイルス対策ソフト

3.2.2.2.            バックアップ

3.2.2.2.1.                            重要なデータの消失を防ぐために,バックアップの考え方,方法,手順を理解し,バックアップの重要性について,部門のメンバの理解を深め,情報セキュリティ諸規程に従ったバックアップの実施を促進できる。
3.2.2.2.2.                            用語知識:バックアップ(取得サイクル,保持場所),リストア

3.2.2.3.            ログ取得及び監視

3.2.2.3.1.                            情報システムに関連するシステムログ,システムエラーログ,アラーム記録,利用状況ログなどのログの種類と,ログを取得する目的を理解し,それらの記録,定期的な分析を基に,不正侵入などの情報セキュリティ事故や情報セキュリティ違反を監視できる。
3.2.2.3.2.                            用語知識:ログの監視,記録,分析,保持方法 

3.2.2.4.            情報の転送における情報セキュリティの維持

3.2.2.4.1.                            情報の転送における情報セキュリティの維持の考え方,仕組みを理解し,情報セキュリティ諸規程と,情報システムが提供する機能に従って,部門のメンバが転送する情報の内容確認,閲覧するサイトの管理,機器の持込み・持出しなどの管理を実施できる。
3.2.2.4.2.                            用語知識:電子メール,ファイル,閲覧サイト,機器の持込み・持出し

3.2.2.5.            脆弱性管理

3.2.2.5.1.                            脆弱性管理の考え方,必要性,方法,手順を理解し,部門の情報システムの使用状況に基づいてパッチ情報を入手し,組織が定めたパッチ適用基準に基づいてパッチ適用を促進できる。
3.2.2.5.2.                            用語知識:脆弱性管理,パッチ管理,パッチ適用基準

3.2.2.6.            利用者アクセスの管理

3.2.2.6.1.                            情報システムや執務場所その他の情報資産へのアクセス管理の考え方,必要性,方法,手順を理解し,部門メンバに割り当てられたアクセス権が,担当職務の変更,雇用・退職を含む人事異動などを反映して適切に設定されていることを定期的に確認できる。
3.2.2.6.2.                            用語知識:認証方式,パスワード,パスワード強度,変更サイクル,変更手法,生体認証,IC カード,トークン,アクセス権限

3.2.2.7.            運用状況の点検

3.2.2.7.1.                            部門の情報システムの運用状況について,点検の必要性,方法,手順を理解し,情報セキュリティ諸規程に沿って情報セキュリティが確保されていることを確認できる。
3.2.2.7.2.                            また,不適切と思われる事項を発見した場合は,上位者に報告・相談し,適切に対処することができる。
3.2.2.7.3.                            用語知識:情報セキュリティポリシ,監視,測定,分析,評価,脆弱性検査,侵入検査 

3.2.3.                         業務の外部委託における情報セキュリティの確保

3.2.3.1.            外部委託先の情報セキュリティの調査

3.2.3.1.1.                            外部委託先の情報セキュリティについて,調査の必要性,方法,手順を理解し,情報取扱いルールなど,委託先に求める情報セキュリティ要求事項と委託先における現状とのかい離を,契約担当者と協力しつつ事前確認できる。
3.2.3.1.2.                            委託先の現状に関する事前確認の結果を踏まえて,是正の必要があれば,その対応方法,時期,対応費用の取扱いを含め,委託先との調整を,契約担当者と協力しつつ実施できる。
3.2.3.1.3.                            委託開始時と更新時には,情報セキュリティが担保されていることを,契約担当者と協力しつつ確認できる。
3.2.3.1.4.                            用語知識:委託先管理,情報取扱いルール,情報セキュリティ要求事項

3.2.3.2.            外部委託先の情報セキュリティ管理の実施

3.2.3.2.1.                            外部委託先の情報セキュリティ管理を実施することの必要性,方法,手順を理解し,委託業務の実施に関連する情報セキュリティ要求事項の委託先責任者への説明,契約内容との齟齬の解消を,契約担当者と協力しつつ実施できる。
3.2.3.2.2.                            契約締結後は,不正防止・機密保護などの実施状況を,契約担当者と協力しつつ確認できる。
3.2.3.2.3.                            委託業務の実施内容と契約内容に相違がある場合は,齟齬の発生理由と課題の明確化,措置の実施による是正を,契約担当者と協力しつつ実施できる。
3.2.3.2.4.                            用語知識:委託先管理,不正防止・機密保護,機密保持契約

3.2.3.3.            外部委託の終了

3.2.3.3.1.                            外部委託の終了時に必要な措置についての考え方を理解し,委託先に提示した資料やデータの回収又は廃棄の指示,実施結果の確認を,契約担当者と協力しつつ実施できる。
3.2.3.3.2.                            資料やデータの委託先からの回収又は廃棄の状況を文書に取りまとめ、上位者に報告できる。
3.2.3.3.3.                            用語知識:検収,廃棄,システムライフサイクル,データの消去

3.2.4.                         情報セキュリティインシデントの管理

3.2.4.1.            発見

3.2.4.1.1.                            情報セキュリティインシデントを発見するための方法,手順を理解し,情報セキュリティ事象の中からインシデントを発見できる。
3.2.4.1.2.                            用語知識:情報セキュリティ事象,情報セキュリティインシデント,インシデント対応

3.2.4.2.            初動処理

3.2.4.2.1.                            情報セキュリティインシデントの初動処理の考え方,方法,手順を理解し,次の事項を実施できる。
3.2.4.2.1.1.               インシデントの発見時には,上位者や関係部署に連絡して指示を仰ぐ。
3.2.4.2.1.2.               上記の指示の下,事故の影響の大きさと範囲を想定して対応策の優先順位を検討し,被害の拡大を回避する処置を提案し実行する。
3.2.4.2.1.3.               事故に対する初動処理を記録し,状況を報告する。
3.2.4.2.2.                            用語知識:情報セキュリティインシデント,インシデント対応,事故

3.2.4.3.            分析及び復旧

3.2.4.3.1.                            情報セキュリティインシデントの分析及び復旧の考え方,方法,手順を理解し,次の事項を実施できる。
3.2.4.3.1.1.               情報システム部門の協力を受けて,事故による被害状況や被害範囲を調査し,損害と影響を評価する。
3.2.4.3.1.2.               セキュリティ情報,事故に関する様々な情報,部門で収集した操作記録,アクセス記録などを基に,事故の原因を特定する。
3.2.4.3.2.                            用語知識:操作記録,アクセス記録,原因の切分け

3.2.4.4.            再発防止策の提案・実施

3.2.4.4.1.                            情報セキュリティインシデントの再発防止の考え方を理解し,同様な事故が発生しないようにするための恒久的な再発防止策を検討できる。
3.2.4.4.2.                            用語知識:再発防止,業務手順の見直し

3.2.4.5.            証拠の収集

3.2.4.5.1.                            情報セキュリティインシデントの証拠収集の考え方,方法,手順を理解し,あらかじめ定めた手順に従って,証拠となり得る情報の特定,収集,取得,保持を実施できる。
3.2.4.5.2.                            用語知識:証拠,ディジタルフォレンジック

3.2.5.                         情報セキュリティの意識向上

3.2.5.1.            情報セキュリティの教育・訓練

3.2.5.1.1.                            情報セキュリティの意識向上の重要性,意識向上に必要な教育と訓練を理解し,次の事項を実施できる。
3.2.5.1.2.                            情報セキュリティポリシ,職務に関する組織の方針と手順,情報セキュリティの課題とその影響を理解するための教育・訓練計画を検討し,提案する。
3.2.5.1.3.                            組織による部門への教育・訓練を支援する。
3.2.5.1.4.                            用語知識:情報セキュリティポリシ,情報セキュリティ意識,教育・訓練計画,教育資料,成果の評価

3.2.5.2.            情報セキュリティに関するアドバイ

3.2.5.2.1.                            情報セキュリティに関するアドバイスの方法・手順を理解し,情報セキュリティを維持した運用を行うため,部門のメンバへアドバイスができる。
3.2.5.2.2.                            用語知識:FAQ,ナレッジ

3.2.5.3.            内部不正による情報漏えいの防止

3.2.5.3.1.                            内部不正による情報漏えいの防止の考え方を理解し,組織の定めた内部不正防止ガイドラインに従って,抑止,予防,検知のそれぞれの対策を実施できる。
3.2.5.3.2.                            用語知識:教育・訓練計画,内部不正防止ガイドライン,不正のトライアングル(機会,動機,正当化),状況的犯罪予防

3.2.6.                         コンプライアンスの運用

3.2.6.1.            順守指導

3.2.6.1.1.                            コンプライアンスの運用(順守指導)の考え方を理解し,次の事項を実施できる。
3.2.6.1.1.1.               関連法令,規格,規範及び情報セキュリティ諸規程の順守を徹底するために,組織が定めた年間教育計画に従って,対象となる法令,規格,規範及び情報セキュリティ諸規程を関係者に伝達し,周知に努める。
3.2.6.1.1.2.               繰り返して伝達(リカレント教育)を実施し,コンプライアンス意識の定着を目指す。
3.2.6.1.2.                            用語知識:情報セキュリティポリシ,コンプライアンス,法令,規格,情報倫理規程

3.2.6.2.            順守状況の評価と改善

3.2.6.2.1.                            コンプライアンスの運用(順守状況の評価・改善)の考え方を理解し,次の事項を実施できる。
3.2.6.2.1.1.               自部門又は業務監査部門が定期的に行う,法令,規格,規範及び情報セキュリティ諸規程の順守状況の点検,評価に対応する。
3.2.6.2.1.2.               第三者(外部を含む)による情報セキュリティ監査に協力し,必要な文書をそろえ,インタビューに応じる。
3.2.6.2.1.3.               監査部門からの指摘事項に関して,改善のために必要な方策を活動計画として取りまとめ,実施する。
3.2.6.2.2.                            用語知識:情報セキュリティ監査,内部監査,自己点検,指摘事項

3.2.7.                         情報セキュリティマネジメントの継続的改善

3.2.7.1.            問題点整理と分析

3.2.7.1.1.                            情報セキュリティマネジメントの継続的改善(問題点整理と分析)の考え方を理解し,次の事項を実施できる。
3.2.7.1.1.1.               情報セキュリティ運用で起こり得る問題(例えば,利用者の反発,非現実的なルールに起因する情報セキュリティ違反者の続出など)を整理し,情報セキュリティ諸規程の関係する箇所を抽出し,現行の規程の妥当性を確認する。
3.2.7.1.1.2.               情報セキュリティ新技術,新たな情報システムの導入に際して,情報セキュリティ諸規程の関係する箇所を抽出し,現行の規程の妥当性を確認する。
3.2.7.1.1.3.               情報システム利用時の情報セキュリティが確保されていることを確認する。
3.2.7.1.2.                            用語知識:情報セキュリティポリシ,業務分析,レビュー技法,ブレーンストーミング

3.2.7.2.            情報セキュリティ諸規程の見直し

3.2.7.2.1.                            情報セキュリティマネジメントの継続的改善の必要性,プロセスを理解し,見直しの必要性があれば,情報セキュリティ諸規程の見直しを実施できる。
3.2.7.2.2.                            用語知識:PDCA サイクル,規程の改廃

3.2.8.                         情報セキュリティに関する動向・事例情報の収集と評価

3.2.8.1.            情報セキュリティに関する動向・事例情報の収集と評価

3.2.8.1.1.                            情報セキュリティに関する動向・事例情報の収集と評価の必要性,手段を理解し,次の事項を実施できる。
3.2.8.1.1.1.               ・情報セキュリティ機関や製品ベンダから提供されるセキュリティ情報を収集し,緊急性と組織としての対策の必要性を評価する。
3.2.8.1.1.2.               ・最新の脅威と事故に関する情報を情報セキュリティ機関,ベンダ,その他の企業から収集する。
3.2.8.1.1.3.               ・最新のセキュリティ情報や情報セキュリティ技術情報及び情報セキュリティ事故例を,報道,学会誌,商業誌などから収集し,分析,評価して,情報システムへの適用の必要性や費用対効果を検討する。
3.2.8.1.1.4.               ・情報セキュリティに関する法令,規格類の制定・改廃や社会通念の変化,コンプライアンス上の新たな課題などの情報を収集する。
3.2.8.1.2.                            用語知識:情報セキュリティ機関(NISC,JPCERT/CCIPA),事例研究,グループ学習,セミナー

ここからセキュリティ! 情報セキュリティ・ポータルサイト(IPA)【FAQ候補】

セキュリティ FIX
  • 「ここからセキュリティ!」のサイト内情報を検索・選択しやすいように、1ページ内に全リンクを表示し、その内容によってレベル表示をし、また必要に応じで内容の解説を加えたもの。
  • 検索の際はWebブラウザの検索機能を利用してください。
  • 凡例
    • 【LEVEL0】経営者, 【LEVEL1】一般, 【LEVEL2】システム運用管理者, 【LEVEL3】システム開発者向け

1.1.     ここからセキュリティ! 情報セキュリティ・ポータルサイト

1.2.     トップページ

1.3.     被害にあったら

1.3.1.      ウイルス(マルウェア)に感染したら

1.3.2.      不正アクセス(サーバーが攻撃された・ウェブページを書き換えられた)

1.3.3.      情報漏えい(情報の紛失・流失・盗難)

1.3.4.      ワンクリック請求(料金画面が消えない・料金請求された)

1.3.5.      迷惑メール(スパムメール

1.3.6.      フィッシング詐欺・なりすまし(銀行やカード会社を騙るメール・送信元のアドレスを偽るメール)

1.4.     対策する

1.4.1.      対策の基本(まずはここから!)

1.4.2.      ウイルス対策

1.4.3.      不正アクセス対策

  • 脆弱性の対策には
  • 脆弱性対策に関する情報や対策に関するアドバイス(官民ボード不正アクセス行為防止WGセキュリティ・ホール攻撃対策の取組SWG)
  • 情報システムの技術的なセキュリティ対策
  • 情報システムに対する技術的なセキュリティ対策(官民ボード不正アクセス行為防止WGセキュリティ・ホール攻撃対策の取組SWG)
  • 侵入の手法と対処(警察庁)
  • 無線LANでの対策(警察庁)
  • 不正アクセスに遭わないために(総務省)
  • 不正アクセス対策のしおり(IPA)
  • 無線LAN<危険回避>対策のしおり(IPA)
  • ウェブサイトの脆弱性検出ツール「iLogScanner」(IPA)
  • 注意喚起 深刻且つ影響範囲の広い脆弱性などに関する情報(JPCERT/CC)

1.4.4.      情報漏えい

1.4.5.      ワンクリック請求(料金画面が消えない・料金請求された)【LEVEL1】【詳細】

1.4.6.      パスワード

1.4.7.      フィッシング詐欺・なりすまし

1.4.8.      標的型攻撃メール

1.4.9.      迷惑メール

1.4.10.    ガイドライン

1.5.     教育・学習

1.5.1.      一般向け

1.5.2.      ホームユーザ向け

1.5.3.      中小企業向け・より大きな企業・組織向け

    • 初めての情報セキュリティ対策のしおり(IPA) 【LEVEL1】【冊子体】【容易】【中小】

1.5.4.      OSのアップデート(サポート終了関連情報を含む)

1.6.     セキュリティチェック

1.6.1.      クイズに挑戦

1.6.2.      安全性を診断しよう

1.6.3.      試験・資格

1.7.     データ&レポート

サイバーセキュリティ対策公的機関・関連団体・関連機関インデックス

セキュリティ FIX

【準備中】