[情報セキュリティマネジメント試験]セキュリティ評価[無料講座・例題付き!]

2021年5月2日

今回は情報セキュリティマネジメント試験におけるセキュリティ評価について学習します。

くろん
くろん
社内で導入したセキュリティシステム、本当に大丈夫か不安だにゃ
モナ
モナ
そういう時は組織単位だったり、外部だったりに委託して評価するのが良いニャ!

セキュリティ評価

情報システムや組織全体のセキュリティ対策の有効性や実施状況を確認するため、評価する必要があります。

評価には自分で行う自己評価と、第三者に依頼する第三者評価に分かれます。

どのような評価方法があるのか、また、どのような外部機関があるのかなどを確認していきましょう。

評価方法

まずは評価方法から確認していきましょう

自己評価

自己評価では情報システムの担当者が、自分の組織の情報セキュリティ対策状況を自分自身で評価します。

主観的にならないよう、チェックリストを用いて毎回決められたタイミングで定期的に行います。

時間や手間、コストがかからないと言ったメリットがあります。

  • 自己点検・・・従業者が自ら対策順守状況を確認する方法です。順守状況の把握・守るべき対策の徹底・情報セキュリティ意識向上の効果を期待できます。
  • CSA(Control Self Assessment)・・・従業者が自部門の活動の監査を自分で行う方法です。
キュー
キュー
ただ、いずれもあくまで自己評価やから信ぴょう性に欠けるで

第三者評価

第三者評価は中立の立場である第三者に監査を依頼する方式です。

第三者のお墨付きとなるので信頼性が非常に高くなります。

一方、事前準備が必要なので時間や費用がかかる点はデメリットになります。

  • 内部監査・・・組織内部の監査部門で行う評価
  • 外部監査・・・組織外部の専門家に依頼する評価
カズ
カズ
第三者評価はコストが高い分信頼もできるんだね!

評価基準

情報セキュリティ評価に関する基準や用語も押さえておきましょう。

  • PCI DSS(Payment Card Industry Data Security Standard)・・・クレジットカード情報を保護するためのセキュリティ基準
  • CVSS(Common Vulnerability Scoring System)・・・共通脆弱性評価システムとも。情報システムの脆弱性に対する公平で汎用的な評価手順
  • 情報セキュリティ対策ベンチマーク・・・自組織の情報セキュリティ対策状況と企業情報を回答することで、セキュリティレベルを確認できる自己診断システム

組織・機関

情報セキュリティを守るためや評価するため、情報を共有するためにいくつか組織や機関があります。

CSIRT

CSIRTはComputer Security Incident Response Teamの頭文字を取りシーサートと言います。

情報セキュリティのインシデント発生時に対応する組織で、インシデント報告の受付・対応・分析・再発行防止・経営層への報告などが主な役割です。

特に技術面からの手助けがメイン業務となります。

  • 国際連携CSIRT・・・国や地域を対象にした大規模のCSIRTです。
  • JPCERT/CC・・・日本を代表するSCIRTで、組織内CSIRTを組織するためのガイドラインであるCSIRTマテリアルを作成します。
  • 組織内CSIRT・・・各組織を対象としたCSIRTです。自組織で起きたインシデントを対象に活動します。

JVN

JVN(Japan Vulnerability Notes)は日本で使用されているソフトウェアの脆弱性情報とその対策情報を提供するポータルサイトです。

JPCERT/CCとIPAが共同で運行しています。

くろん
くろん
IPAってなんだにゃ?
チョロ
チョロ
きっと怪しい組織でチュ!

※情報セキュリティマネジメント試験を実施している独立行政法人です。

  • JVN iPedia・・・JVNが運営する脆弱性に関するデータベースです。
  • MyJVN・・・JVNで提供しているバージョンチェッカです。

J-CRAT

J-CRATは標的型攻撃の被害拡大を防止するための組織です。

相談を受けた組織の被害を低減させたり、そこから踏み台にされて攻撃の連鎖が起こることを止めます。

こちらもIPAが運営しています。

カズ
カズ
正式名称はCyber Rescure and Advice Team against targeted attack of Japanの略だよ!

J-CSIP

J-CSIPは参加組織内におけるサイバー攻撃の情報を集約・共有するための組織です。

参加組織内において検知されたサイバー攻撃を公的機関のIPAへと集約し、情報を共有することで迅速に対応します。

キュー
キュー
こっちはInitiative for Cyber Security Infomation sharing Partnership of Japanの略やで

セキュリティオペレーションセンター

セキュリティオペレーションセンターはサイバー攻撃を防ぐために、情報機器の監視を専業で行う組織です。

監視を外部業者のセキュリティオペレーションセンターに委託する場合も多いです。

スポンサーリンク

セキュリティ評価・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

情報セキュリティに係るリスクマネジメントが効果的に実施されるよう,リスクアセスメントに基づいた適切なコントロールの整備,運用状況を検証又は評価し,保証又は助言を与えるものであり,実施者に独立かつ専門的な立場が求められるものはどれか。(R.1/秋)

ア コントロールセルフアセスメント(CSA)
イ 情報セキュリティ監査
ウ 情報セキュリティ対策ベンチマーク
エ ディジタルフォレンジックス

問2

JPCERT/CCの説明はどれか。(SG.28/秋)

ア 産業標準化法に基づいて経済産業省に設置されている審議会であり,産業標準化全般に関する調査・審議を行っている。
イ 電子政府推奨暗号の安全性を評価・監視し,暗号技術の適切な実装法・運用法を調査・検討するプロジェクトであり,総務省及び経済産業省が共同で運営する暗号技術検討会などで構成される。
ウ 特定の政府機関や企業から独立した組織であり,国内のコンピュータセキュリティインシデントに関する報告の受付,対応の支援,発生状況の把握,手口の分析,再発防止策の検討や助言を行っている。
エ 内閣官房に設置され,我が国をサイバー攻撃から防衛するための司令塔機能を担う組織である。

問3

情報セキュリティ管理を行う上での情報の収集源の一つとしてJVNが挙げられる。JVNが主として提供する情報はどれか。(H.29/春)

ア 工業製品などに関する技術上の評価や製品事故に関する事故情報及び品質情報
イ 国家や重要インフラに影響を及ぼすような情報セキュリティ事件・事故とその対応情報
ウ ソフトウェアなどの脆弱性関連情報や対策情報
エ 日本国内で発生した情報セキュリティインシデントの相談窓口に関する情報

解説(クリックで展開)

セキュリティ評価・まとめ

今回はセキュリティ評価について学習しました。

自己評価と第三者評価の違いや、組織について押さえておきましょう。

カズ
カズ
アルファベットが多いけど、何の頭文字化を押さえながら覚えていくと覚えやすいよ!!

次回は情報セキュリティ対策の脅威について学習します。


スポンサーリンク