直前対策10点上がるリレー 【経営情報システム】出題されそうな情報セキュリティ用語7選 by どらごん
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
先日まで募集していた夏セミナー(多年度受験生向け2次試験対策セミナー)は大盛況につき、応募を締め切らせていただきました。たくさんのご応募ありがとうございました!皆様とお会いできることを楽しみにしています!
夏セミナーに参加される方は、令和3年度2次試験の事例Ⅰ・事例Ⅱを徹底解説するので、与件文と設問を事前に読み込んでおいてください。
※『セミナーのキャンセル』『申し込み完了メールが届いていない』等のお問い合わせ事項がございましたら、「shindanshi.dojyo13@gmail.com」宛てに電話番号を記載の上ご連絡頂きますようお願いいたします。
どうも、どらごんです。
ニューノーマルがノーマルになってほしいと願う今日この頃です。
今日の記事は「直前対策10点上がるリレー第4弾」。
コロナ禍でネットワークを介した働き方や企業活動が一般的になった現在、情報セキュリティの重要性が増しています。
そこで今回、経営情報システムで出題されそうな7つの情報セキュリティ用語の解説をしたいと思います。それではどうぞ!
【はじめに】
もともとデジタル化が進んでいた大企業と違い、中小企業の場合はコロナ禍でオンライン対応が急ごしらえになっています。そのため、情報セキュリティが脆弱になっている面があります。
また情報セキュリティに関する事故は、顧客情報の漏洩による企業のブランドイメージの失墜や情報システムの停止による損失など、企業に大きな被害や影響をもたらします。
そのような理由により、経営情報システムでは情報セキュリティ関連の問題が今後も数多く出題されることが予想されます。
ちなみに、過去3年間の情報セキュリティに関する問題は以下の通りです。
- 令和3年度 第11問 利用者認証の仕組み
- 令和3年度 第21問 ゼロトラスト
- 令和3年度 第22問 情報セキュリティ5か条
- 令和3年度 第25問 テレワークの方式
- 令和2年度 第 9問 無線LANの特性
- 令和2年度 第10問 安全なネットワーク通信
- 令和2年度 第15問 ITガバナンスの重要性
- 令和元年度 第 8問 URL(SSL)
- 令和元年度 第19問 暗号化方式
- 令和元年度 第20問 情報セキュリティ対策
※「令和元年度 第19問 暗号化方式」は、こちらの記事でくまが詳しく解説しています。
情報セキュリティ問題は毎年3~4問が出題されています。点数にして12~16点。なんだか10点上がりそうな気がしてきました。
以下、季節柄も兼ねて五月雨(さみだれ)式に「経営情報システムで出題されそうな情報セキュリティ用語」をバンバン挙げていきます。
マルウェア
マルウェア とは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。「コンピュータウイルス」「トロイの木馬」「ワーム」などが含まれます。
近年、猛威を振るっているマルウェアに「Emotet(エモテット)」があります。Emotetは、悪意のある攻撃者によって送られる不正なメールから感染が拡大しているマルウェアです。
不用意にメールの添付ファイルを開いたり、添付ファイルのマクロを実行したりしないようにしましょう。
※「マルウェア」は昔からある用語ですが、まだ経営情報システムの試験で登場したことはありません。今後、直接用語の意味を問われることはないとは思いますが、問題文で出てきても内容を理解できるようにしておきましょう。
ランサムウェア
ランサムウェアとは、身代金を意味する”ransom”と”software”を組み合わせた造語です。暗号化などによってファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに金銭(身代金)を要求するマルウェアを指します。
また近年は、ランサムウェアで窃取したファイルをインターネットへ晒すことを引き換えに身代金を要求する、といった悪質な脅迫も増えています。
情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威 2022」の組織部門でも堂々の第1位でした。
令和3年度の警察庁の資料(サイバー空間をめぐる脅威の情勢等について)によると、2021年のサイバー犯罪の検挙件数は12,275件と過去最多、そのうちランサムウェアによる被害件数は146件と年々右肩上がりで増加を続けています。
その他、資料によるとランサムウェアの被害状況は以下のとおりです。
<被害企業・団体等の規模別報告件数>
- 中小企業が半数以上を占めています。
<ランサムウェアの感染経路>
- リモートワーク由来の感染経路が多そうです。
<被害の調査・復旧に要した総額>
- 半数以上が被害総額500万円以上と、多額の損害を被ります。
同じく警察庁の資料では、ランサムウェアによる被害の未然防止対策として以下の事項が挙げられています。
- 電子メール等への警戒
- OS等の脆弱性対策
- ウイルス対策ソフトの導入等によるマルウェア対策
- 認証情報の適切な管理
当たり前のことを当たり前にやることは案外難しいものです。
今回、警察庁の資料を引用しましたが、試験では中央省庁や関連機関の資料を引用した情報セキュリティの問題が増えています。ご参考までに。
- 令和3年度 第22問 情報処理推進機構(IPA)「中小企業の情報セキュリティ対策ガイドライン」
- 令和3年度 第25問 総務省「テレワークセキュリティガイドライン第5 版」
- 令和2年度 第15問 経済産業省の「システム管理基準(平成30 年4 月20 日)」
- 令和元年度 第20問 情報処理推進機構(IPA)「中小企業の情報セキュリティ対策ガイドライン」
ゼロデイ攻撃
ゼロデイ攻撃とは、OSやソフトウェアの脆弱性に対する修正プログラムが提供される前に、その脆弱性を利用して行われるサイバー攻撃のことです。
修正プログラムの提供日を1日目として考え、それ以前の期間なので、ゼロデイと呼ばれます。
前述の「情報セキュリティ10大脅威 2022」の組織部門では初登場で第7位でした。
ビジネスメール詐欺(BEC)
ビジネスメール詐欺(BEC)とは、インターネットを利用した金銭搾取を伴う詐欺行為です。(BEC:Business Email Compromise)
攻撃者は取引先や経営者になりすまし、セキュリティ意識の低い末端の個人を標的に用意した口座へ送金するように誘導します。
テレワークの普及に伴い、対面での確認がしづらい状況が増加していることを狙って、財務部門等の従業員を標的にBEC被害が増加傾向にあるそうです。
「情報セキュリティ10大脅威 2022」の組織部門では第8位でした。(2021年は第5位)
PPAP
PPAPとは、社外とのメールで添付ファイルをやりとりする際に「①メールでパスワード付きのZIPファイルを送る」「②別のメールでパスワードを送る」、という2段階の方法をとることです。
「パスワード(Password)付きzip」「パスワード(Password)送信」「暗号(Angou)化」「プロトコル(Protocol)」の頭文字をとっています。
2020年ごろに「PPAPはセキュリティ対策として無意味!」として問題視されるようになり、その後、多くの公的機関や企業で廃止されるようになりました。
当時は「PPAPは全面禁止」のニュースにあのピコ太郎氏も反応したとか。「Angou」がやや無理筋な気がしますが、流行歌にあやかったのでしょう。
EDR
EDRとは、組織内のネットワークに接続されているエンドポイントからログデータを収集し、解析サーバーで相関解析、不審な挙動・サイバー攻撃を検知し、管理者に通知する技術です。(Endpoint Detection and Response)
近年、サイバー攻撃の巧妙化により情報セキュリティの事前対策だけでは侵入を100%阻止することが難しくなってきています。こうした状況に対応するため、未知のマルウェアを含めた不審な挙動を検知し、マルウェア感染後の対応を迅速に行えるようにするEDRが注目されています。
情報処理推進機構(IPA)の「サイバーセキュリティお助け隊サービス制度」の資料にも登場する用語です。
CSIRT
CSIRTとは、ウイルス感染、不正アクセス、情報漏えいなどのセキュリティ脅威に対して、原因の調査、対策の検討、サービス復旧などを適切に行う組織のことです。(Computer Security Incident Response Team)
セキュリティインシデント(セキュリティ事故)にレスポンス(応答)するチーム(組織)です。「問題を起こさないこと」ではなく「問題が起こることを前提に、被害を最小限に抑えるための組織づくり」という考え方です。
【おわりに】
いかがでしたでしょうか。
情報セキュリティの分野は攻撃と防御の「いたちごっこ」。日進月歩、というよりはまさに秒進分歩の世界です。
その情報セキュリティの進歩になかなか追いつけない中小企業に対して、的確な診断・助言ができるよう最新トレンドの知識を習得しておくようにしましょう。
明日はまよです。お楽しみに。
☆☆☆☆☆
いいね!と思っていただけたらぜひ投票(クリック)をお願いします!
ブログを読んでいるみなさんが合格しますように。にほんブログ村
にほんブログ村のランキングに参加しています。
(クリックしても個人が特定されることはありません)
2024年1次試験合格見込みの2年目受験生です。
この記事にお礼を申し上げたくて、コメントさせてください。
本当にありがとうございました
「ゼロデイ攻撃」が瞬殺(4点)できて
「CSIRT」の正誤を見抜けることができました。
昨年は、情報システムにやられてしまい
今年も、対策の仕様がないからと理解の浅いまま当日を迎え
当落ギリの点数でしたので
前日にこの記事を読んでいなければと思うと
感謝しかありません。 多謝。