3月4日（金）の19：00～『絶対わかるセスペ　27秋 2016年春版』発行記念イベント

3月4日（金）の19：00～『絶対わかるセスペ　27秋 2016年春版』発行記念イベントをやります！
先着50名様です。
情報セキュリティスペシャリスト試験の勉強方法や、合格のコツをご紹介します。
https://www.shosen.co.jp/event/29388/

　
絶対わかるセスペ27秋 2016年春版 [単行本]

左門至峰

日経BP社　2016年2月19日発売
2500円＋税

どこよりも詳しい午後の過去問解説です。
よろしくお願いします！

「1.情報セキュリティとは」のintroduction

「刑事は恨まれてなんぼ」
～踊る大捜査線(フジテレビ) 第2話恩田さんのセリフ～

これって、
セキュリティ対策にも言えますね。
「セキュリティは嫌がられてなんぼ」。
確かにそう。情報セキュリティ対策は、嫌がられるものである。
面倒な処理をさせれられるし、わずらわしい。セキュリティ対策によって売上げが上がるわけでもない。でも、会社を守るため、顧客を守るために、やらなくてはいけないのである。
嫌がられてもやる。それがセキュリティ対策である。
イラスト：嫌がられてもセキュリティを推進するのが情報セキュリティスペシャリスト- Copyright (C) viva-se.net システムエンジニアの仕事

イラスト：嫌がられてもセキュリティを推進するのが情報セキュリティスペシャリスト- Copyright (C) viva-se.net システムエンジニアの仕事

画像: 嫌がられてもセキュリティを推進するのが情報セキュリティスペシャリスト

情報セキュリティスペシャリスト試験対策　-　絶対わかるセスペ27春

情報セキュリティスペシャリスト試験対策の本を紹介します。

　
絶対わかるセスペ27春 2015年秋版

日経BP社

2015-08-27
2500円＋税　

この本は、今年の春に行われた情報セキュリティスペシャリスト試験の一番詳しい過去問解説です。
今回も、LACさん含めた情報セキュリティの専門家（スペシャリスト）である我々が、知識を終結して解説した午後問題解説です。
単に設問解説だけでなく、問題文も丁寧に解説し、関連する基礎技術にも触れています。図版を適宜入れ、分かりやすい解説に心がけました。

今回の本だけの特徴を2点お伝えします。

合格のための行動面のチェックリスト
合格する人の行動はどんなのか、というのを私なりに考えたチェックリストです。

セキュリティの一問一答
150問作りました。情報セキュリティスペシャリスト試験を中心とした、情報処理技術者試験の過去問を基に作成しております。基礎のおさらさい、キーワードチェックとして活用ください。

情報セキュリティスペシャリスト試験対策の「セスぺ27春」の本の紹介動画は以下です。

新宿紀伊國屋さんにて、私（左門至峰）のネスペ、セスぺ、「論文問題攻略法」などが大々的に販売されております。「定番商品」ということで、力を入れて販売していただいております。ありがたいことです。

また、私の最も自信作である論文対策本も置いてもらっています。論文試験は本当に短い時間で合格できるので、是非このノウハウを多くのSEさんに広めたいと思っております。

絶対わかる論文問題攻略法

日経BP社

2015-07-30

左門至峰
1,890円
この本は、ITサービスマネージャ、ITストラテジスト、システムアーキテクト、システム監査技術者、プロジェクトマネージャの論文問題を攻略するための副読本です。

★前作の「論文試験は簡単だ！（星雲社）【※現在は絶版】」の内容が半分含まれています。この本をお持ちの方はご注意ください。

最後になりましたが、読者の皆様が，情報セキュリティスペシャリスト試験に見事合格されることを，心より応援いたしております。

左門至峰

情報セキュリティの3大要素

情報セキュリティの3大要素を、それぞれ「〇〇性」で答えよ

３大要素ですか・・・
東野圭吾さんの「歪笑小説 (集英社文庫)」にあった、「編集者は必要なのは三つのG」「ゴルフ、銀座、ゴマすり」みたいなものですよね。　
で、そもそも、「3大要素」ってどういう観点の3大要素ですか？
セキュリティの目的と考えればいいだろう。試験センターのシラバスには、情報セキュリティの目的と考え方が掲載されている。

情報セキュリティの目的と考え方
　情報の機密性（Confidentiality），完全性（Integrity），可用性（Availability）を確保，維持することによりさまざまな脅威から情報システム及び情報を保護し，情報システムの信頼性を高めることを理解する。
（試験センターの応用情報シラバスより引用）

「機密性」「完全性」「可用性」は情報セキュリティの3大要素とも言われ、情報セキュリティの目的は、この3つを守ることと考えてよいだろう。
　・機密性は、データを暗号化するなどして、第三者に盗まれたり盗聴されたりしないようにすること。
　・完全性は、データの改ざんなく正確な状態に保つこと。過去問では、「完全性を脅かす攻撃」の例として、「Webページの改ざん（H21AP秋午前40）」と述べられている。
　・可用性は、サービス妨害攻撃などに対処し、利用したいときに使用できる状態になっていること。

さて、この問題の正解は、機密性、完全性、可用性である。
情報セキュリティの3大要素_情報セキュリティスペシャリスト

情報セキュリティの拡張要素

「機密性」「完全性」「可用性」に加え、以下の4つも理解しておきましょう。ただ、試験にはほとんど出ませんので、さらりと確認するレベルでいいでしょう。

信頼性（Reliability）
　セキュリティの要素というよりは、やや一般的な内容です。たとえば、セキュリティのシステムが正しく動作していなければ、不審者を侵入させてしまったり、認証を間違えたりしてしまいます。セキュリティのシステムそのものが信頼性できる状態である必要があります。

責任追跡性（Accountability）
　ユーザがシステムにアクセスした記録を追跡できるようにすること。Accountabilityの関連語でAccountingという言葉をよく耳にすると思う。Accountingという言葉は、ITの世界では「課金」を意味する。課金をするには、「誰が」「いつ」「どのシステム」にアクセスしたかを正確に記録しておく必要がある。

真正性
詳しくは以下を参照してください。
http://sc.seeeko.com/archives/4064030.html

否認防止性（Non Repudiation）
　「やっていません」と否認する人に対し，証拠を見せます。
情報セキュリティスペシャリスト試験を目指す女性SE

　

どうやって証拠を見せるのですか？
単純な例として、認証およびその記録を取ることです。深夜のサーバ室に誰が侵入して盗難を働いたとします。IDパスワード認証や生体認証での入室の記録があれば、その本人が間違いないく侵入したという証拠になります。結果として、やっていないという否認を防止します。

さてここで、以下の過去問の、空欄を考えましょう。

問　以下のb,cに当てはまる字句を答えよ（H20SV午後2問2より抜粋）
IDは英語でidentifier (識別子)というくらいだから利用者の識別が主な目的ではあるが,もう一つ大事な目的として[　b　]制御がある。つまり,どの利用者に,どのリソースに対して,どのようなアクセスを許可するのかということだ。個別に利用者IDを割り当てないと,権限の管理が適切に行えないおそれがある。また,最近は内部統制の観点から[　c　]性という要素も重視されるようになってきている。

今回は、責任追跡性に関する内容です。。
穴埋めの正解は以下である。
b　許可
c　責任追跡
情報セキュリティの責任追跡性と否認防止性と真正性

情報セキュリティとは、どういう意味か

　
「情報セキュリティとは」って言われても、
セキュリティはセキュリティですよね。
たとえば、セキュリティを保つということは、悪意のある人からの攻撃を防御することでしょう。
それが基本的な考えで間違いない。でも、それだけではない。情報セキュリティスペシャリスト試験ではないが、以下の問題を見てみよう。

システムのアクセスに使用している通信ケーブルを誤って切断した。このとき，情報セキュリティのマネジメント要素のうち,どれが低下したことになるか。（H21IP秋午前問81）

通信ケーブルを切断すると、システムが使えなくなる。このことを、情報セキュリティの3大要素の一つ「○○性」で答える。次の問題にて、情報セキュリティの3大要素を解説する。参考にしていただきたい。
正解は、可用性。
ちなみに、H17年春IP問39では、可用性について、「ITサービスにおいて,合意したサービス時間中に実際にサービスをどれくらい利用できるかを表す用語」と述べられている。