css@dropstone.co.jp
💻 Phase3:技術理解(Day20)|ゼロトラストとは何か?従来型との違い|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. 「社内だから安全」はもう通用しない 従来のセキュリティは、 社内ネットワーク=安全社外ネットワーク=危険 という前提で設計されていました。 しかし、 クラウド利用 テレワーク BYOD 内部不正 この時代に、その前提は崩れています。 ここで登場するのが、 ゼロトラスト(Zero Trust) です。 2. ゼロトラストとは何か? ゼロトラストとは、 何も信頼しないことを前提に設計する思想。 社内外を問わず、 常に検証する。 これが核心です。 3. 従来型(境界防御)の考え方 従来型は、 ...
💻 Phase3:技術理解(Day19)|ファイアウォール・IDS/IPSの役割比較|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. 境界は今も重要か? 「ゼロトラストの時代だから境界防御は不要」 これは誤解です。 クラウド時代でも、 通信を制御する仕組みは不可欠。 そこで登場するのが: ファイアウォール(FW) IDS IPS 違いを構造で整理します。 2. ファイアウォールとは何か? ファイアウォールは、 通信の通過・遮断を制御する装置。 役割: ✔ 許可された通信だけ通す✔ 不要なポートを閉じる✔ 内外通信の制御 イメージは「門番」。 3. ファイアウォールの特徴 ✔ ルールベース制御✔ 事前定義された条件で判断 ...
💻 Phase3:技術理解(Day18)|電子署名とハッシュ関数の違い電子署名とハッシュ関数の違い|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. 今日のテーマは「改ざん」 昨日は暗号=機密性でした。 今日は、 改ざんされていないことを証明する技術。 ここで登場するのが、 ハッシュ関数 電子署名 試験ではこの違いが頻出です。 2. ハッシュ関数とは何か? ハッシュ関数とは、 データから固定長の値(ハッシュ値)を生成する仕組み。 特徴: ✔ 入力が違えば出力も違う✔ 元に戻せない(一方向性)✔ 少しの変更で値が大きく変わる 代表例:SHA-256 3. ハッシュの役割 主な目的は、 改ざん検知。 例えば: ファイルのハッシュ値を保存 ...
のコピー.png)
💻 Phase3:技術理解(Day17)|暗号技術(共通鍵・公開鍵)の超シンプル解説|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. 暗号は「盗まれても読めない」設計 情報セキュリティの核心は、 盗まれないことではなく、盗まれても読めないこと。 これが暗号技術の本質です。 試験では、数式は出ません。 構造理解がすべてです。 2. 暗号の目的 暗号の主な目的は: ✔ 機密性の確保✔ 改ざん防止(後日扱う)✔ 本人確認(電子署名) 今日はまず、 “機密性”の話に集中します。 3. 共通鍵暗号とは? 共通鍵暗号とは、 暗号化と復号に同じ鍵を使う方式。 イメージ: 🔒 1つの鍵→ 送信者も受信者も同じ鍵を持つ 特徴: ✔ 処理 ...
.png)
💻 Phase3:技術理解(Day16)|フィッシングと標的型攻撃の違いを構造で理解する|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. 攻撃は「技術」より「心理」を突く 近年のサイバー攻撃の多くは、 高度な技術よりも人の判断ミスを狙います。 代表例が、 フィッシング攻撃 標的型攻撃 どちらも試験頻出。 違いを“構造”で理解しましょう。 2. フィッシングとは何か? フィッシング(Phishing)とは、 不特定多数に対して偽メールや偽サイトを送り、 認証情報などを盗む攻撃。 特徴: ✔ 大量送信✔ なりすまし✔ 偽物のログイン画面 目的は主に、 ID・パスワード窃取 クレジットカード情報取得 3. フィッシングの構造 流 ...
.png)
💻 Phase3:技術理解(Day15)|マルウェアの種類と感染経路を整理する|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. マルウェアとは何か? マルウェア(Malware)とは、 悪意のあるソフトウェアの総称。 目的はさまざまですが、主に: 情報窃取 破壊 不正操作 金銭要求 です。 試験では、 個別名称よりも仕組みの違いが問われます。 2. まずは全体構造で理解する マルウェアは大きく見ると、 ① 侵入する② 実行される③ 拡散・被害発生 という流れで動きます。 この“流れ”で理解すると整理できます。 3. 主なマルウェアの種類 ① ウイルス(Virus) 他のプログラムに寄生 実行時に感染拡大 特徴:自 ...
.png)
🏢 Phase2:組織と管理(Day14)|事業継続計画(BCP)と情報セキュリティの関係|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. セキュリティの目的は「止めない」こと 情報セキュリティというと、 守る防ぐ遮断する というイメージが強いかもしれません。 しかし本質は、 事業を止めないこと。 ここで登場するのが、BCPです。 2. BCPとは何か? BCP(Business Continuity Plan)とは、 重大な事故や災害が発生しても重要業務を継続・早期復旧させるための計画。 対象は: 地震 火災 サイバー攻撃 システム障害 パンデミック つまり、 “起きる前提”で設計する計画です。 3. 情報セキュリティとB ...
デジタルガバナンス・コード2.0で中小企業が“本当に”やるべきこと
前回の記事 「結局、何をすればいいのか?」 これが一番多い質問です。 結論から言います。 中小企業がやるべきことは大企業と同じ“構造”で、小さく始めることです。 難しい仕組みは不要です。しかし、経営の意思は必要です。 まず理解すべき前提 デジタルガバナンス・コード2.0は、 DXをやれ AIを使え という話ではありません。 本質は、 デジタルを経営管理の対象にせよ ということです。 つまり「管理」と「説明責任」です。 中小企業がやるべき具体的アクション7選 ① 経営ビジョンとデジタルを結びつける(A4一枚 ...
デジタルガバナンス・コード2.0とは何か― 経営者が説明できる“DXの経営原則” ―
1. そもそも何か? デジタルガバナンス・コード2.0とは、経済産業省が示した「企業がデジタル時代に持つべき経営の指針」です。 簡単に言えば、 DXを“IT部門の仕事”にせず、経営の中核に置くための原則 です。 これは法律ではありません。しかし、上場企業・中堅企業にとっては事実上の“経営の評価基準”になっています。 2. なぜ作られたのか? 背景は明確です。 DXをやっていると言いながら成果が出ない企業が多い IT投資が「コスト」扱いのまま レガシーシステムが経営の足かせになっている 経営者がデジタルを説 ...
.png)
🏢 Phase2:組織と管理(Day13)|ログ管理と監査の重要性を説明できるか?|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. 「証拠」がなければ守れない インシデント発生。 そのとき最初に問われるのは、 いつ 誰が 何をしたか これに答えられなければ、 原因究明も再発防止もできません。 そこで重要になるのが、ログです。 2. ログとは何か? ログとは、 システムやユーザーの操作履歴の記録。 例: ログイン履歴 ファイルアクセス履歴 設定変更履歴 通信履歴 ログは「記録」。 しかし、記録するだけでは意味がありません。 3. ログ管理の目的 ログの目的は大きく3つ。 ① 不正の検知② 事故原因の特定③ 抑止効果 特 ...