2009/02/09
日常語ISO27001 with セキュリティ新事情 ~用語 3.2~16
No.203 09.02.09 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 先月末にインターネットサーバを乗り換えたわけですが、やはり問題は 出ました。 トップページのファイル名は、サーバ側の設定により以前は”index.htm” だったのですが、新しいサーバでは”index.html”にしけなればならなかっ たのです。そのせいで、一時トップページにアクセス出来なくなってしまい、 原因を探して解消したわけですが、まだ問題は残っていました。 当方のWebサイトでは、全てのページからトップページに戻るリンクを 設置しているのですが、つまりはそのリンク先のアドレスが変わってしまう 事になったのです。おかげで、百数十ページ全部を修正です。 エライ事になりました。他に何かお気づきになりましたら、ご連絡お願い 致します。では、203号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 最近『クリックジャック』という用語が、情報セキュリティニュースで よく見られる様になりました。筆者は、個人的にあまり重要な語とは思わな いのですが、あまりにたくさんみかけますからちょいと解説しておきましょ う。 『クリック』は、その通りマウスをクリックして、PCを操作する事です。 ここでは、webページを見ている時にリンクをクリックして、他のページへ 移動することを意味しています。 『ジャック』というのは、ハイジャックから来ていて「乗っ取られる」事 です。本人が思う通りではなく、悪者が思うようにさせられてしまう事です ね。 つまり『クリックジャック』は、リンクをクリックしてどこかのページへ 移動しようとしている人を、本来のリンク先以外のページへ移動させる行為 です。という事は、広い意味で「クロスサイトスクリプティング」の一種と いう事になりますね。昨年の秋頃から注目を集めて、アチコチで紹介される 様になりました。 手口としては、普通に表示されている元々のWebページに透明なフレーム を重ねておいて、クリックしたら透明なフレームの方に設定してあった先の 方へ飛ばされる様にしてあるというのが主流です。183号で紹介した 「iframe攻撃」の一種とも言えますし、複合攻撃とも言えるでしょう。 (バックナンバーは新事情INDEXから: http://www.kiriishi.net/7799/jijo.htm) 飛ばされた先に、正規のリンク先とそっくりなユーザ認証画面があったら おそらくフィッシング(22号)に遭ってしまうでしょうし、不正プログラムを 自動ダウンロード/実行させられてしまうかもしれません。 いずれにしても、元々のwebサーバが書き換えられてしまう事が発端になり ますから、webページ管理者がしっかりしていれば起きにくい問題ですが、 そんなにしっかりしたweb管理者というのは1割も居ないのではないでしょう か。地方公共団体、新聞社、学校...公共的役割のwebページが軒並み書き 換えに遭っていますので、それを期待するのは難しいですね。 webブラウザの方で、「クリックジャック攻撃」に遭いにくい様な対策が 取られていますので、そちらに期待しましょう。今のところ、インターネッ トエクスプローラー8(最新版:7ではありません)、オペラ(最新版)では、 対策がされています。ファイアフォックスも3.0.6(最新更新版)を出して、 対応するとの事です。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 3.用語の定義 3.2 可用性 許可を受けている人なら、必要な時にその情報が”いつでも利用できる”と いう性質。 3.3 機密性 許可されていない人が、その情報を利用できない性質。言い換えれば、 ”情報が漏れない”性質。 3.4 情報セキュリティ 情報の機密性、完全性、可用性の3つを保つ事。 この他に、真正性、責任追跡性、否認防止性、信頼性を含めても良いでしょ う。 3.5 情報セキュリティイベント(事象) 情報セキュリティに関して何か起こった状態。 例えば、違反の可能性がある事、管理策に何か足りないものがある可能性、 その他まだよくわからないけれども情報セキュリティに関係のある何かの出来 事。 3.6 情報セキュリティインシデント(事件) 情報セキュリティに関して、歓迎したくない出来事。 会社の事業に何か悪い影響を与えそうだったり、情報セキュリティを脅かし そうだと思われる出来事。 インシデントは、イベントの一種で、そのなかでも重大なもの。 3.7 情報セキュリティマネジメントシステム(ISMS) 情報セキュリティの保ち方を、会社に関係のあるリスクに合わせて、作り 上げ、次に実際にシステムを使って、システムがうまく使われているか確かめ、 確かめた結果どうすれば良いか考え、更に必要な場合に書き改めたり・より 良く直して行く、その様な事をする仕組みの事。経営の仕組みの一部。 3.8 完全性 情報が正確であるという性質。また、情報の処理の仕方が正確であるという 性質。言い換えれば、”情報に間違いがなく、改竄(書き換え)されていない” 性質。 3.9 残留リスク 一通りリスクへの対応が済んだ後でも残っているリスク。 3.10 リスクの受容(許容限度) 「このリスクについては、仕方ないのだ。」と決める事(仕方ないとする 限度)。 3.11 リスク分析(アナライシス) どんなリスクがあって、それぞれどのくらい重大なのかを見積もるための 情報集め。 3.12 リスクアセスメント リスク分析(3.11)〜リスク評価(3.13)までの作業。 3.13 リスク評価(エヴァリュエーション) それぞれのリスクがどれだけ重大なのか見積もって、基準と比べてどのくら いに位置するのかハッキリさせる作業。 3.14 リスクマネジメント リスクについて、会社全体でスムーズに取り組める様になっている管理。 3.15 リスク対応(の取扱:トリートメント) リスクを変化させるための手だてを選んだり、実施したりする事。 3.16 適用宣言書 会社で適用する管理目的や管理策(手だて)を書いた文書。もちろん、リスク アセスメントやリスク対応の結果を受けて書きます。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− マネジメント改善研究所では、1月末にWebサーバ、メールサーバの移転を 行いました。何か不具合を発見された方は、ご連絡いただけると幸いです。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、専門職以外の派遣労働廃止は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
