サイトアイコン ITコンサルタント:佐藤豊史(さとうとよし)のブログ

IT入門お役立ち情報:情報処理安全確保支援士試験受験編(その9)

序盤:基礎知識固めとして参考書を勉強しました(8)

参考書の章立てに沿って、次の内容について勉強しました。そこで、気づいたことや感じたことを少し述べてみます。

各システム開発工程にて、それぞれ推奨されるセキュリティ対策があります。つまり、システム開発終了後にセキュリティ対策を検討するのではなく、システム開発当初からセキュリティ対策を検討しておく必要があります。特に、要件定義フェーズから、セキュリティ対策の基本方針を決定することが重要だと思います。

C++言語には、バッファーオーバーフロー攻撃の標的となりやすい言語仕様上の問題があるので、これに対する留意点や対策が多く解説されています。

Javaは他の言語と比べて、セキュアな開発を行うのに適した言語といえるようです。サンドボックスモデルのように、セキュリティが確保された環境が提供されていますが、それでもいくつか留意点があります。

ECMAScriptとは、JavaScriptなどを標準化したスクリプト言語です。これに関連した技術として、AjaxやJSONなどがあり、これらを利用する上での留意点があります。

ISOなどの国際標準化機関で策定された情報セキュリティに関する様々な規格があります。多くは、日本のJIS規格にも策定されており、それに関する認証制度などもあります。IT関連製品や情報システムそのもののセキュリティレベルを評価するものと、組織自体のセキュリティレベルを評価するものに分かれます。

コンピュータ犯罪を取り締まるために、これまで様々な法律が施行・改正されてきました。そして、著作権などの知的財産権を保護するための法律についても理解が必要です。また、個人情報保護やマイナンバーに関する法律・ガイドラインおよびプライバシーマーク制度もあります。これらは正しく理解をして、自分が意識せず違法行為をしていないか注意することも大切だと思います。

企業などが事業活動で作成する法定文書について、電子文書による保存が容認されてきています。そのための法令や、それを可能にするためのタイムスタンプに関する制度なども理解が必要です。

組織内に違法行為や不正行為などが発生しないように、活動全般を適切にコントロールすることを内部統制といいますが、それを維持するための法律があります。本来は、このような法律がなくても、企業としてこのようなことが発生しないようにするべきですが、現実はさにあらず、残念なことです。

Follow me!

モバイルバージョンを終了