User Tools

Site Tools


ja:intro:セキュアコーディングの目的

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
ja:intro:セキュアコーディングの目的 [2017/07/02 08:24] yohgakija:intro:セキュアコーディングの目的 [2017/10/21 03:28] (current) – [セキュリティ対策の定義] yohgaki
Line 8: Line 8:
 ISO 27000/ISMSでは ISO 27000/ISMSでは
  
-  * **機密性** - 秘密の情報を秘密にしておく特性+  * **機密性** - 秘密の情報を秘密にすることを保証する特性
   * **完全性** - 処理の一貫性を保証する特性   * **完全性** - 処理の一貫性を保証する特性
   * **可用性** - 利用可能な状態を保証する特性   * **可用性** - 利用可能な状態を保証する特性
   * **信頼性** - 処理の正しさを保証する特性   * **信頼性** - 処理の正しさを保証する特性
   * **真正性** - 処理の要求が本当に権限を持つモノからの要求であることを保証する特性   * **真正性** - 処理の要求が本当に権限を持つモノからの要求であることを保証する特性
-  * **責任追跡性** - 処理が誰によって処理されたか追跡できる特性 +  * **責任追跡性** - 処理が誰によって処理されたか追跡できることを保証する特性 
-  * **否認防止** - 誰かによって処理された事項を後になって否定できない特性+  * **否認防止** - 誰かによって処理された事項を後になって否定できないことを保証する特性
  
 これら全ての性質を保証することを求めている。”攻撃可能な脆弱性対策”(攻撃防止)はセキュリティ対策の一部であり、これだけでは不十分である。 これら全ての性質を保証することを求めている。”攻撃可能な脆弱性対策”(攻撃防止)はセキュリティ対策の一部であり、これだけでは不十分である。
Line 21: Line 21:
  
  
 +===== セキュリティ対策の目的 =====
  
 +情報セキュリティ対策の目的は
 +
 +  * リスクを許容範囲内に抑えて情報システムを利用する
 +
 +です。「リスクを廃除/削減すること」がセキュリティ対策の目的と勘違いはよく見られます。「リスクを廃除/削減すること」は情報セキュリティ対策の目的ではなく、手段に過ぎません。
 +
 +
 +===== セキュリティ対策の定義 =====
 +
 +「セキュリティ対策」という用語の定義は人によって異る場合が多いです。このため「セキュリティ対策」ではなく「リスク対応策」と考える方が解りやすく、誤解も少なくなります。
 +
 +ISO 27000のリスク対応
 +
 +<code>
 +2.71
 +リスク対応
 +リスクを変化 (2.61)させる為のプロセス(2.54)
 +
 +ノート 1
 +リスク対応には以下の項目を含める事ができる:
 +
 + リスクを発生させる活動を開始しない、または継続しないことを決断することによりリスクを回避する
 + 機会を獲得する為にリスクを選択または増加させる
 + リスクの原因を排除する
 + 発生の頻度を変える
 + 結果を変える
 + 他の組織(契約企業やリスクの資金的処理を含む 訳注:保険など)とリスクを共有し
 + 見聞のある選択によりリスクを抑える
 +
 +ノート 2
 +否定的な結果をもたらす事象のリスク対応は、”リスク緩和策”、”リスク排除策”、”リスク防止策”、
 +”リスク削減策”などと呼ばれる事がある
 +
 +ノート 3
 +リスク対応は新しいリスクを生成したり、既存のリスクを変更することができる
 +</code>
ja/intro/セキュアコーディングの目的.1498983848.txt.gz · Last modified: 2017/07/02 08:24 by yohgaki

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki