以下を自分の言葉で説明できるようにする。

・情報セキュリティの3つの特性は？

・3つの特性を確保・維持する上で考慮すべき点は？

・情報セキュリティの付加的な特性には何があるか？

・その付加的な特性を確保・維持するために考慮すべき点は？

・情報セキュリティ対策における機能を挙げよ

・外部からの不正アクセスに対してはどのような機能を高めることが効果的か

・内部犯罪に対してはどのような機能を高める事が効果的か

・情報セキュリティ対策を検討する前に行うべきことはなにか

・最小権限の原則とは何か？

・責務の分離（職務分離）の原則とは何か？

--------------

 　答え

-------------

・3つの特性は、CIA。（Confident：機密性、Integrate：完全性、Avairablility：可用性）

・機密性の確保のためのキーワードはアクセス権、認証、暗号化。

　アクセス権（認証）を適切に設定する事で権限者のみが閲覧などできる。

　暗号化によって、盗聴などを防げる。

・完全性の確保のためのキーワードは改ざん、欠落、重複。

　改ざんをなくすために、データの正当性、正確性、網羅性、一貫性を維持する。

　改ざん検知や署名が重要。

・可用性の確保のためのキーワードは「いつでも」

　各種設備で故障・障害が発生してもいつでも使用できる、そもそも故障しない、などがポイント。

　設備の2重化、リソースを十分に確保、定期的なバックアップ、保守が重要。

・付加的な特性は、責任追跡性、信頼性、真正性、否認防止性。（いい覚え方ないかな…）３S+Not

・責任追跡性は誰が何をしたかを一意に追跡できること。

　責任追跡性の確保には、ログや記録。入退室や資産の取り扱い記録。

・信頼性は実行の結果が期待どうりである事。矛盾していないこと。

・真正性は利用者、情報が主張通りであること。偽装、なりすましがない事。

　確保のためには、なりすましの防止や本人の識別・認証をすること。

・否認防止性はやったことを否定できない事。

　確保のためには、真正性や責任追跡性を保つ。証拠の完全性を保つ。

・機能は、予防・防止、抑止・抑制、検知・追跡、回復。

　抑止・抑制は、内部的なもの。教育や監視。情報セキュリティのポリシ策定・運用。

　予防・防止は、外部的なもの。不正アクセスなどを防ぐ事。攻撃に対する防御。

　検知・追跡は、不正・内部犯罪を速やかに発見する。

　回復は障害・不測事態・災害などから速やかに復帰する事。復帰までのマニュアルをつくる。

・外部からの不正アクセスには、防止をする。

　ファイアウォールやパケットフィルタリングなど。

・内部犯罪には抑止・検知。

・対策を検討する前に、リスクアセスメントの実施。

　つまり、どんなリスクがあるかを洗い出して評価する。

・最小権限は、権限は必要最低限にする事。過剰な権限は不正につながりかねない。

・責務の分離は、同じ人に関連する複数業務の権限を与えない。