・リスクマネジメント
・リスクアセスメント
・クロスサイトスクリプティング
・ソーシャルエンジニアリング
・SQLインジェクション
インシデント
望まないセキュリティ上の事象であり、事業活動の継続を困難にする可能性が高いものを言う。
全商協会が公開しているサンプル問題には「情報管理やシステム運用に関して保安上の脅威となる事象」と書かれている。
実例
経済産業省のサイバーセキュリティ課が発表した「主なインシデント事例(令和4年4月4日)」によれば、下記の実例が日本国内で発生している。これもインシデントの1種である。
2021年10月末、国内の公立病院がランサムウェア攻撃を受け、電子カルテが暗号化され閲覧不可になったほか、診療報酬計算や電子カルテ閲覧に使用する基幹システムが使用不能になったため、新規患者の受け入れを停止。
リスクマネジメント・リスクアセスメント
似ているこの二つの用語だが、中身はちゃんと異なる。そこを抑える。
リスクマネジメント
リスク(ある事象が発生したときに損失する危険性)を特定して、分析・評価し、対処すること。
リスクアセスメント
リスクを特定して、分析・評価すること。
サンプル問題には「将来のリスクに備えるための一連の活動のこと。リスク特定,リスク分析,リスク評価などがある」と書いてある。
違い
この2つの違いは、実際に生じたリスクに対して何か「対処」を行うかどうかにある。
リスクアセスメントは、リストの特定から評価までを意味し、実際に対応することは含まない。
反対にリスクマネジメントは、リスクに関するプロセスすべてを含む。
この違いは、「ロールバック・ロールフォワード」のように出題されると考えられるから、しっかりと抑えたい。
クロスサイトスクリプティング(XSS/CSS)
悪意のあるスクリプトを脆弱性のあるサイトに送り込み、スクリプトを含むHTMLを出力し、ブラウザ上で実行させる攻撃のこと。
基本情報の試験(H27-春期)では、「訪問者の入力データをそのまま画面に表示するWebサイトに対して、悪意のあるスクリプトを埋め込んだ入力データを送ることによって、訪問者のブラウザで実行させる攻撃」と書かれています。
ソーシャルエンジニアリング
ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法。
電話による抜き出し
その名の通り、電話によってターゲットより重要情報を抜き出す方法。攻撃者は、ターゲットの上司になりすましたり、その会社のシステム課など、重要情報を聞き出してきてもおかしくないような人物になりすましたりする。
ショルダーハッキング
重要情報を入力しているとき(例えば、パスワードの入力時や取引先との重要事項連絡時など)に、後ろから覗き見て盗む行為。
トラッシング
ゴミ箱をあさって重要情報を手に入れようとする行為。
SQLインジェクション
データベースを利用するwebアプリケーションの脆弱性を利用して、本来想定していないSQL文が実行されるように入力情報を工夫し、データベース内の情報を不正にアクセス・閲覧する攻撃
基本情報の試験(FE-H24-40)では「Webアプリケーションに問題があるとき、データベースに悪意のある問合せや操作を行う命令文を入力して、データベースのデータを改ざんしたり不正に取得したりする攻撃」とある。
小テスト・用語集はmoodleで!
★未登録の方はこちら
★登録済みの方はこちら