情報セキュリティマネジメント試験のワークブック

ワークブック

情報セキュリティマネジメント試験対策 ワークブック

情報セキュリティマネジメント試験対策の講義で使う空欄補充の「書いて覚えるワークブック」です。

重点分野のワークブック

  1. SG 重点分野のワークブック 01
    情報セキュリティの三要素と呼ばれる(機密性、完全性、可用性)などの特性、監視と監査の違い、リスクとは何か、事前の対策である抑止・予防と事後の対策になる検知・追跡の定義、脅威や脆弱性など、情報セキュリティの基礎用語を確認します。
  2. SG 重点分野のワークブック 02
    物理的脅威や技術的脅威などの脅威に関する分類、ランサムウェアやトロイの木馬と呼ばれるマルウェアの種類、機会・動機・正当化で構成される「不正のトライアングル」の概念、人の心理や行動を悪用するソーシャルエンジニアリングなど、不正のメカニズムを把握しておきましょう。
  3. SG 重点分野のワークブック 03
    ブルートフォースアタックと呼ばれる総当たり攻撃、流出したIDとパスワードで不正アクセスを試みるパスワードリスト攻撃、複数のWebサイトを跨いで攻撃を行うクロスサイトスクリプティングやクロスサイトリクエストフォージェリ、DoS攻撃やSQLインジェクションなど、さまざまなサイバー攻撃手法について学習します。
  4. SG 重点分野のワークブック 04
    暗号技術を確認するCRYPTREC、公開鍵や共通鍵などの暗号方式、信頼し合う者同士で互いの信用度を維持する「信用の輪」という概念、ディジタル署名やチャレンジレスポンス方式の仕組み、ハッシュ関数や危殆化(きたいか)などの用語を取り上げます。
  5. SG 重点分野のワークブック 05
    利用者認証技術について、使い捨てのパスワードであるワンタイムパスワード、Cookieやリバースプロキシを使ったシングルサインオンの仕組み、静脈や虹彩を個人の認証に使うバイオメトリクス認証におけるFRP(本人拒否率)とFAR(他人受入率)の関係などを理解しましょう。
  6. SG 重点分野のワークブック 06
    リスクの特定、分析、評価に至るリスクアセスメントのプロセス、ベースラインアプローチや組み合わせアプローチなどのリスク分析手法、リスク基準・選好・コミュニケーションと残留リスクなど、情報セキュリティリスクマネジメントの分野を学習しましょう。
  7. SG 重点分野のワークブック 07
    情報セキュリティポリシの策定手順、対策基準と実施手順、コーポレートガバナンスや情報セキュリティガバナンス、内部統制とIT統制の関係、コンティンジェンシープランと呼ばれる緊急時対応計画など、情報セキュリティに関する諸規程を確認します。
  8. SG 重点分野のワークブック 08
    ISO/IEC27000シリーズのさまざまな規格群の概要、ISMS適合評価制度やCC(ISO/IEC15408)などの評価システム、内閣サイバーセキュリティセンター(NISC)、CRYPTRECやCSIRT、IPAやJPCERT/CCなど、情報セキュリティに関する組織や制度・規格について学びます。
  9. SG 重点分野のワークブック 09
    システムの性能を評価するRASISという5つの概念、ファジングやペネトレーションテストなど脆弱性検査の手法、侵入検知のIDSと侵入防止のIPS、セキュリティ情報のイベント管理であるSIEMの仕組み、ステガノグラフィや電子透かし、ディジタルフォレンジックスなどのセキュリティ対策について理解しましょう。
  10. SG 重点分野のワークブック 10
    産業財産権と呼ばれる特許・実用新案・商標・意匠について、著作物とは何か、著作財産権や著作隣接権などの著作権の種類、二次的著作物の利用に関する考え方、Jailbreak(脱獄)やコピープロテクト外しといった行為など、知的財産権の概要を把握してください。
  11. SG 重点分野のワークブック 11
    高度情報通信ネットワーク社会の形成に関する施策を推進するIT基本法の考え方、サイバーセキュリティ基本法の概要、不正アクセス禁止法や不正競争防止法が規制する行為、プロバイダ責任制限法の概要、個人情報保護法で規定された個人情報の取り扱い方など、プライバシーを守るさまざまな規定を学びます。
  12. SG 重点分野のワークブック 12
    組織の業務に個人のデバイスを用いるBYODやシャドーITと呼ばれる行為、マイナンバー法で定められた個人番号と法人番号の扱いに関する違い、個人番号利用事務実施者が個人番号を利用できる事務など、改正された労働者派遣法、多様なライセンス契約などを学習します。

関連分野のワークブック

  1. SG 関連分野のワークブック 01
    集中処理システムと分散処理システムのメリットとデメリット、負荷分散と機能分散のシステム構成、デュプレックスシステムとタンデムシステムやクラスタシステムの違い、RAID 0(ストライピング)とRAID 1(ミラーリング)などコンピュータシステムの概要を学習します。
  2. SG 関連分野のワークブック 02
    関係データベースとは何か、データベース管理システムは何をする仕組みなのか、フルバックアップと差分バックアップの違い、ビッグデータとデータマイニングなどのデータベースに関する基本的な事項と、TCPやIPなどのインターネットの基礎用語を確認しましょう。
  3. SG 関連分野のワークブック 03
    OSI基本参照モデルの各層の役割、ルータやモデムなどの通信機器の機能、プロキシサーバやサブネットマスクなどの仕組みと機能、IPv4とIPv6の違い、メール転送のSMTP、メール受信のPOP3とIMAPの違いなど、LANと通信プロトコルに関するキーワードを取り上げます。
  4. SG 関連分野のワークブック 04
    設計・開発・保守などの基本用語の確認、従量制課金や逓減課金などの料金体系の種類、MTBF(平均故障感覚)とMTTR(平均修復時間)、稼働率の計算方法、ブロードバンドの定義とサービスの種類など、ネットワーク応用に相当する分野を学びます。
  5. SG 関連分野のワークブック 05
    プロジェクトとは何か、プロジェクトマネジメントの知識体系であるPMBOKについて、全体を細かい作業に分割した構成図であるWBS、個人の知識を組織で共有するためのナレッジマネジメントなど、プロジェクトマネジメントに関するキーワードを学習します。
  6. SG 関連分野のワークブック 06
    ITILとは何か、ISO/IEC 2000とは何か、重要成功要因(CSF)や重要目標達成指標(KGI)と重要業績評価指標(KPI)について、可用性・性能・移行性・セキュリティ・環境などの非機能要件、SLAとSLMなど、サービスマネジメントに関するキーワードを理解しましょう。
  7. SG 関連分野のワークブック 07
    目標復旧時間(RTO)と目標復旧時点(RPO)などの基本的な用語の確認、SPDやUPSなどのデバイスとファシリティマネジメント、内部統制やIT統制、ITガバナンスや情報セキュリティ監査基準など、インシデントと内部統制の基本的な考え方を確認しましょう。
  8. SG 関連分野のワークブック 08
    組織の全体のあるべき姿を明確にするための「全体最適化計画」について、全体最適化の方針と目標、情報システム化委員会、SaaSやPaaSなどインターネット経由で提供されるサービスの種類、投資利益率のROIやビジネスプロセスを抜本的に見直すBPRなど、システム戦略のキーワードを整理しておきましょう。
  9. SG 関連分野のワークブック 09
    計画・実行・確認・改善を継続的に行おうとするPDCAサイクル、自社の強みと弱み・外部環境の機会と脅威を明確にするSWOT分析、マーケティングミックスやコアコンピタンスという考え方、調達から販売に至る活動を価値の連鎖と考えるバリューチェーンなど、企業活動について学びます。
  10. SG 関連分野のワークブック 10
    品質管理の「QC7つ道具」と「新QC7つ道具」、ベストプラクティスとのギャップを分析するベンチマーキング、制限時間内に未処理箱にある多くの案件を処理するインバスケットなどのトレーニング方法など、さまざまな手法や概念を理解しましょう。
  11. SG 関連分野のワークブック 11
    システム管理基準とソフトウェア管理ガイドライン、情報セキュリティ管理基準と情報セキュリティ監査基準、サーバーセキュリティ経営ガイドラインと事業継続計画策定ガイドライン、継続戦略の策定と実施について定めるBCPやBCMなどのフレームワークを学びます。
  12. SG 関連分野のワークブック 12
    財務会計と管理会計の違い、企業の一定時点における財務状態を表示する貸借対照表、会計期間における経営成績を表示する損益計算書、キャッシュフロー計算書、損益分岐点や営業利益を求める計算式、総資産利益率のROAや自己資本利益率のROEなど、会計と財務の分野を学習します。

午後問題のワークブック

  1. SG 午後問題のワークブック 01
    まずは、組織の「内部者」とは誰を指すのか、内部不正を防ぐための管理のあり方、経営者の責任、ガバナンスなどを確認します。次に個人情報保護法、マイナンバー法、不正競争防止法、労働契約法と労働者派遣法など、関連する法律の概要を学びます。
  2. SG 午後問題のワークブック 02
    「どのようなリスクがあるのか?」という問いかけに対する経営者の意識、組織運営への影響、対策のポイントなどについて整理しておきましょう。総括責任者の任命と組織横断的な体制構築、最高責任者と総括責任者の役割についても理解しておきましょう。
  3. SG 午後問題のワークブック 03
    重要情報の格付け区分して適切な管理をするための二つのポイント、情報システムにおける利用者のアクセス管理、移動や退職などによって変更があった利用者の識別と認証について、システム管理者の権限管理におけるリスクと対策について、IPA「組織における内部不正防止ガイドライン」を参照しながら考えてみましょう。
  4. SG 午後問題のワークブック 04
    物理的な保護と入退管理にはどのようなリスクが存在するのか、対策ポイントについても理解しておきましょう。個人のスマートデバイスなどのモバイル機器やUSBメモリなどの記録媒体を業務で利用することについての是非、順守事項やルールの整備と持ち込み制限などについて学びましょう。
  5. SG 午後問題のワークブック 05
    組織におけるソフトウェアのインストール、WebアクセスとSNS、アップローダやインターネットの掲示板、電子メールの添付ファイルにおけるリスク、証拠確保、コンプライアンスなどネットワーク利用のための安全管理などについて学習します。
  6. SG 午後問題のワークブック 06
    サイバーセキュリティ経営とは何か、経営者のリーダーシップが求められるのは具体的にどのような事項か、対応方針の策定と実施内容、ベースラインアプローチや非形式アプローチなどのリスク分析手法と管理体制の構築などについて、「サイバーセキュリティ経営ガイドライン」を基に学習します。
  7. SG 午後問題のワークブック 07
    CSIRTの構築方法、組織内の状況把握、経営層への提案と承認の獲得、CSIRT構築作業チームの設置、予算と人員の確保、設計で検討すべき役割・機能・権限、連絡窓口、組織上の位置づけ、幹部との連絡体制などについて「サイバーセキュリティ経営ガイドライン」に沿って理解しておきましょう。
  8. SG 午後問題のワークブック 08
    脆弱性対応、インシデントハンドリング、事象の分析、普及啓発と注意喚起、ネットワークの遮断やサービスの停止も含めたサイバー攻撃の初動対応と事後の対応事項、CISOに求められる役割など、インシデントマネジメントについて学習します。
  9. SG 午後問題のワークブック 09
    「1件の重大な事故の背景には、29件の軽微な事故(ヒヤリハット)が起こっている」というハインリッヒの法則、外部からの攻撃と内部者の不正行為、内部犯行者の定義と分類、システムの破壊や情報の持ち出しなど犯行の分類と特徴、IP(知的財産)についても確認しておきましょう。
  10. SG 午後問題のワークブック 10
    内部犯行の低減と検出について個人的な特徴(IT技術)と環境要因、鬱憤した感情や経済的ひっ迫などの犯行状況の特徴、TBP(信頼あるビジネスパートナー)とは何か、犯罪者・対象物・場所の「ルーティンアクティビティ理論」、動機・機械・正当化の「不正のトライアングル」などを学びます。
  11. SG 午後問題のワークブック 11
    犯行を難しくするため5つのセキュリティ対策、捕まるリスクを高める対策、犯行の見返り・挑発を減らすための対策、犯罪を容認する言い訳をさせないための対策について、「組織内部者の不正行為によるインシデント調査 調査報告書」を紐解いて理解しておきましょう。
  12. SG 午後問題のワークブック 12
    内部不正の要因について2つのモデルで分類・考察します。業務量やノルマなどの動機とプレッシャー、物理的な環境と不正行為を行う機会、特定の経験やアクセスが許可されているなどの権限と知識(スキル)について、それぞれの要因を整理しておきましょう。

戻る  情報セキュリティマネジメント試験合格講座

Pocket
LINEで送る