さらに続きます。
今週の3つの記事、実はWordで作成した一つのファイルなんです。当日はそっちを試験会場に持って行こうか、と思っておりまして。
なんせIPAは試験主催者ですからね。
試験主催者が発表した
「2014年の10大脅威」、受験生は要チェックですよ。
今日はラスト、7位から10位まで、さらに圏外も少々。
7位:SNSへの軽率な情報公開
解答例:投稿内容の公開範囲の設定が、誰でも閲覧できる一般公開になっていることに気づかないユーザも存在するから。
<対策/対応>
・個人ユーザのモラル向上
・組織人の教育、周知すること
・SNS利用ポリシーの規定
※ システム的にウェブ閲覧を制限する。
8位:紛失や設定不備による情報漏えい
解答例:インターネットを利用するオフィス機器やクラウドサービスが増えたから
<対策/対応>
・情報持ち出しルールの設定
・BYODの組織ポリシーの徹底
・ユーザー教育
・利用するサービスの仕様の理解
・アカウント・アクセス権限の管理
・暗号化対策
USBメモリ等の記録媒体の持ち出しに関しての被害軽減策は?
記録媒体のデータを暗号化する製品を利用し、情報漏えい発生時の被害を軽減する。
9位:ウイルスを使った詐欺・恐喝
チェックすべきワード:ランサムウェア
ランサムウェア対策を3つ挙げよ
◎ウイルス対策ソフトの導入
◎OS・ソフトウェアの更新
◎データのバックアップ
解答例:重要なデータがあれば、定期的にバックアップを取得しておく
10位:サービス妨害
攻撃が可能となっていた理由を述べよ
「DNSサーバーがオープンリゾルバ設定になっていてDDoS攻撃の踏み台にされたから」
代表的な攻撃手口として、以下の3つが挙げられる。
・DDoS
・データ破壊
・メールボム→メールは不特定多数から届くものであり、日常的に利用するため、簡単にブロックすることが難しいから。
<対策/対応>
・セキュアなサーバーの設定
・通信制御
・ウイルス対策ソフトの導入
・OS・ソフトウェアの更新
※ DDoS攻撃の通信に特徴があれば、特定の通信をネットワーク機器等でブロックする。
おまけ
11位:内部犯行・ルール違反
対策は? 職務権限の分離やアクセス制限等を適切に行うこと。
15位:無線LANの不正利用・盗聴
盗聴によって、機密情報の漏えいやアカウント認証情報の窃取等の影響を及ぼす可能性がある。
17位:自然災害・オペレーションミス
ITシステムには故障やバックアップデータの消失等に備えたBCP(事業継続計画)が必要。
にほんブログ村
