情報セキュリティ

情報セキュリティinfosec )は、情報リスクを軽減することで情報を保護する実践です。情報リスク管理の一部です。[ 1 ]通常、データへの不正または不適切なアクセス、または情報の違法な使用、開示、中断、削除、破損、変更、検査、記録、または価値の低下を防止または低減することを伴います。また、このようなインシデントの悪影響を軽減するための措置も含まれます。保護される情報は、電子的または物理的、有形(書類など)、無形(知識など)など、あらゆる形式を取ることができます。[ 2 ] [ 3 ]情報セキュリティの主な焦点は、データの機密性完全性可用性(CIAトライアドとして知られ、米国政府機関とは無関係)をバランスよく保護することです。 [ 4 ]組織の生産性を損なうことなく、効率的なポリシー実装に重点を置きます。[ 5 ]これは主に構造化されたリスク管理プロセスを通じて達成されます。[ 6 ]

この分野を標準化するために、学者と専門家が協力して、パスワードウイルス対策ソフトウェアファイアウォール暗号化ソフトウェア法的責任セキュリティ意識とトレーニングなどに関するガイダンス、ポリシー、業界標準を提供しています。[ 7 ]この標準化は、データへのアクセス、処理、保存、転送、破棄の方法に影響を与えるさまざまな法律や規制によってさらに推進される可能性があります。[ 8 ]

紙ベースの業務運営は依然として広く行われており、独自の情報セキュリティ対策が求められていますが、企業のデジタル化への取り組みはますます重要視されるようになってきており、[ 9 ] [ 10 ] 、情報保証は現在、情報技術(IT)セキュリティの専門家によって担われています。これらの専門家は、情報セキュリティを技術(多くの場合、何らかのコンピュータシステム)に適用します。

大企業では、そのデータの性質と価値から、ITセキュリティの専門家がほぼ必ず存在します。[ 11 ]彼らは、重要な個人情報の取得や社内システムの制御を試みるような悪意のある攻撃から、社内のあらゆる技術を安全に保つ責任を負っています。 [ 12 ] [ 13 ]

情報セキュリティには、ネットワークや関連インフラのセキュリティ確保、アプリケーションデータベースのセキュリティ確保、セキュリティテスト、情報システム監査事業継続計画、電子記録の開示、デジタルフォレンジックなど、多くの専門職の役割があります。[ 14 ]

定義

情報セキュリティ標準とは、一般的に出版物に記載されている、ユーザーや組織の情報を保護するための技術です。[ 15 ]この環境には、ユーザー自身、ネットワーク、デバイス、すべてのソフトウェア、プロセス、保管中または転送中の情報、アプリケーション、サービス、ネットワークに直接的または間接的に接続されるシステムが含まれます。

主な目的は、攻撃の防止または軽減を含むリスクの軽減です。これらの公開資料は、ツール、ポリシー、セキュリティコンセプト、セキュリティ保護手段、ガイドライン、リスク管理アプローチ、アクション、トレーニング、ベストプラクティス、保証、テクノロジーで構成されています。

ベクトルバージョン
情報セキュリティ属性機密性、完全性、可用性(CIA)といった特性。情報システムは、ハードウェア、ソフトウェア、通信という3つの主要部分で構成され、物理、個人、組織の3つのレベルまたは層における保護と予防のメカニズムとして、情報セキュリティ業界標準を特定し適用することを目的としています。基本的に、手順またはポリシーは、管理者、ユーザー、およびオペレーターに、組織内の情報セキュリティを確保するための製品の使用方法を示すために実装されます。[ 16 ]

以下に、さまざまな情報源から要約された情報セキュリティのさまざまな定義を示します。

  1. 「情報の機密性、完全性、可用性の保持。注:さらに、真正性、説明責任、否認不能性、信頼性などの他の特性も含まれる場合がある。」(ISO/IEC 27000:2018)[ 17 ]
  2. 「機密性、完全性、可用性を確保するために、情報および情報システムを不正なアクセス、使用、開示、妨害、変更、破壊から保護すること。」(CNSS、2010)[ 18 ]
  3. 「許可されたユーザー(機密性)のみが、必要なときに正確で完全な情報(完全性)にアクセスできるようにします(可用性)。」(ISACA、2008年)[ 19 ]
  4. 「情報セキュリティとは、組織の知的財産を保護するプロセスである。」(ピプキン、2000)[ 20 ]
  5. 「情報セキュリティはリスク管理の分野であり、その役割は情報リスクがビジネスにもたらすコストを管理することです。」(マクダーモットとギア、2001年)[ 21 ]
  6. 「情報リスクと情報統制のバランスが取れているという十分な情報に基づいた確信」(アンダーソン、J.、2003)[ 22 ]
  7. 「情報セキュリティとは、情報を保護し、情報が不正な第三者に漏洩するリスクを最小限に抑えることである。」(ベンターとエロフ、2003年)[ 23 ]
  8. 情報セキュリティは、組織の境界内外のあらゆる場所にある情報、ひいては情報が作成、処理、保存、転送、破壊される情報システムを脅威から守るために、あらゆる種類のセキュリティメカニズム(技術的、組織的、人間的、法的)の開発と実装に関わる学際的な研究分野および専門的活動です。[ 24 ]
  9. 通信システムや機器を用いた情報および情報資源のセキュリティとは、情報、情報システム、または書籍を不正アクセス、損傷、盗難、破壊から保護することを意味します(黒瀬・ロス、2010)。[ 25 ]

脅威

情報セキュリティの脅威はさまざまな形で存在します。[ 26 ]現在最も一般的な脅威には、ソフトウェア攻撃、知的財産の盗難、個人情報の盗難、機器または情報の盗難、妨害行為、情報の強要などがあります。[ 27 ] [ 28 ]ウイルス[ 29 ]ワームフィッシング攻撃トロイの木馬は、ソフトウェア攻撃の一般的な例です。知的財産の盗難も、多くの企業にとって大きな問題となっています。[ 30 ]個人情報の盗難とは、通常、別の人物として行動してその人の個人情報を入手したり、ソーシャルエンジニアリングを通じて重要な情報へのアクセスを利用したりすることです。[ 31 ] [ 32 ]妨害行為は通常、組織のウェブサイトを破壊して顧客の信頼を失わせようとすることです。[ 33 ]情報恐喝は、ランサムウェアのように、企業の財産や情報を盗み、その所有者に情報や財産を返還するのと引き換えに金銭を受け取ろうとするものである。[ 34 ]このような攻撃に対する最も効果的な予防策の1つは、定期的にユーザーへの意識向上を図ることである。[ 35 ]

政府軍隊企業金融機関病院、非営利団体、民間企業は、従業員、顧客、製品、研究、財務状況に関する大量の機密情報を蓄積しています。[ 36 ]企業の顧客や財務、新製品ラインに関する機密情報が競合他社やハッカーの手に渡った場合、企業とその顧客は広範囲にわたる取り返しのつかない経済的損失を被るだけでなく、企業の評判も失墜する可能性があります。[ 37 ]ビジネスの観点から見ると、情報セキュリティはコストとバランスを取る必要があります。ゴードン・ローブ・モデルは、この懸念に対処するための数理経済学的アプローチを提供します。[ 38 ]

個人にとって、情報セキュリティはプライバシーに大きな影響を与えますが、その捉え方は文化によって異なります。[ 39 ]

歴史

通信が始まった当初から、外交官や軍の指揮官は通信の機密性を保護するためのメカニズムと、改ざんを検知するための手段が必要であることを理解していた。[ 40 ]ジュリアス・シーザーは紀元前50年頃にシーザー暗号を発明したとされている。これは、彼の秘密メッセージが悪人の手に渡っても読まれないようにするために作られたものである。[ 41 ]しかし、ほとんどの場合、保護は手続き的な取り扱い制御の適用によって達成された。[ 42 ] [ 43 ]機密情報には、信頼できる人物によって保護および輸送され、安全な環境または金庫で警備および保管されるべきであることを示すマークが付けられた。[ 44 ]郵便サービスが拡張されるにつれて、政府は手紙を傍受、解読、読み取り、再封するための公式組織を設立した(例:1653年に設立された英国の秘密事務所[ 45 ])。

19 世紀半ばには、政府が機密性に応じて情報を管理できるように、より複雑な分類システムが開発された。 [ 46 ]たとえば、英国政府は1889 年に公務秘密法を公布して、これをある程度成文化した。[ 47 ]この法律の第 1 条はスパイ活動と違法な情報開示に関するもので、第 2 条は公務上の信頼の侵害を扱っていた。[ 48 ]すぐに、国家の利益のための開示を防御する公共の利益の抗弁が追加されました。[ 49 ]インドでは 1889 年に同様の法律であるインド公務秘密法が可決された。これは英国の植民地時代に関連するもので、インド政府の政策に反対する新聞を取り締まるために使用された。[ 50 ] 1923 年には、統治に関するすべての機密情報や秘密情報にまで範囲を広げた新しいバージョンが可決された。[ 51 ]第一次世界大戦 の頃には、様々な前線との間で情報を伝達するために多層的な分類システムが使用され、外交本部や軍本部で暗号の作成と解読を行う部門の利用が促進されました。[ 52 ]戦間期には、機械が情報の暗号化と解読に使用されるようになり、暗号化はより高度になりました。[ 53 ]

コンピュータセキュリティの確立は、情報セキュリティの歴史の幕開けとなった。その必要性は第二次世界大戦中に現れた。[ 54 ]第二次世界大戦中、連合国が共有した情報量の増加により、分類システムと手順管理の正式な整合が求められた。[ 55 ]ますます複雑な金庫や保管施設が開発されるにつれ、文書を扱える人(通常は兵士ではなく将校)や、保管場所を示すための不可解なマークが次々と登場した。[ 56 ]ドイツ軍が戦争データを暗号化するために使用し、アラン・チューリングが解読に成功したエニグマ機は、保護された情報の作成と使用の顕著な例と言える。[ 57 ]文書が適切に破棄されるように手順が進化したが、こうした手順に従わなかったことが、戦争中の最大の諜報活動における大失敗(例えば、 U-570の捕獲[ 57 ])のいくつかにつながった。

冷戦時代、様々なメインフレームコンピュータがオンライン接続され、より高度なタスクを実行しました。これは、コンピュータセンター間で磁気テープを郵送するよりも容易な通信プロセスでした。そのため、米国国防総省の高等研究計画局(ARPA)は、米国軍内で情報交換を行うためのネットワーク通信システムの実現可能性に関する研究を開始しました。1968年、ラリー・ロバーツによってARPANETプロジェクトが策定され、これが後にインターネットとして知られるものへと発展しました。[ 58 ]

1973年、インターネットの先駆者であるロバート・メトカーフは、ARPANETのセキュリティの重要な要素に多くの欠陥があることを発見しました。例えば、「パスワードの構造と形式の脆弱性、ダイヤルアップ接続の安全手順の欠如、ユーザー識別と認証の欠如」などです。さらに、不正アクセスからデータを保護するための制御と安全対策も欠如していました。電話番号は一般に知られていたため、ハッカーはARPANETに容易にアクセスできました。[ 59 ]これらの問題に加え、コンピュータセキュリティの絶え間ない侵害、そしてシステムのホストとユーザー数の急増により、「ネットワークセキュリティ」はしばしば「ネットワークの不安定性」と呼ばれるようになりました。[ 59 ]

ロシア国防省による情報セキュリティ促進ポスター

20世紀末から21世紀初頭にかけて、電気通信、コンピューティングのハードウェアソフトウェア、データ暗号化が急速に進歩しました。[ 60 ]より小型で高性能、そして安価なコンピューティング機器が利用できるようになったことで、電子データ処理が中小企業や家庭ユーザーにも手の届くものになりました。 [ 61 ] 1980年代初頭にTCP/IP(転送制御プロトコル/インターネットワークプロトコル)が確立されたことで、異なる種類のコンピュータが通信できるようになりました。[ 62 ]これらのコンピュータはすぐにインターネットを通じて相互接続されるようになりました。[ 63 ]

インターネットを介した電子データ処理と電子商取引の急速な成長と普及、そして国際テロの頻発により、コンピュータとそこに保存、処理、送信される情報の保護のためのより優れた方法の必要性が高まった。[ 64 ]コンピュータセキュリティ情報保証の学問分野は、情報システムのセキュリティと信頼性を確保するという共通の目標を共有する多くの専門組織とともに生まれた。[ 65 ]

セキュリティ目標

CIAの三位一体

機密性、完全性、可用性の「CIAトライアド」は、情報セキュリティの中核を成す。[ 66 ]この概念は1972年のアンダーソン報告書で導入され、後に『コンピュータシステムにおける情報保護』でも再解釈された。この略語は1986年頃にスティーブ・リップナーによって考案された。[ 67 ]

この三つの原則が急速に変化する技術とビジネス要件に対応するのに十分であるかどうかについては議論が続いており、可用性と機密性の交差点、そしてセキュリティとプライバシーの関係を拡大することを検討するよう勧告されている。[ 4 ] 「説明責任」などの他の原則が提案されることもあったが、否認不能性などの問題は三つのコア概念にうまく適合しないという指摘もあった。[ 68 ]

機密保持

情報セキュリティにおいて、機密性とは「情報が権限のない個人、団体、またはプロセスに提供または開示されない性質」を指します。[ 69 ]「プライバシー」と類似していますが、この2つの単語は互換性がありません。むしろ、機密性はプライバシーを構成する要素であり、権限のない閲覧者からデータを保護するために機能します。[ 70 ]電子データの機密性が侵害される例としては、ノートパソコンの盗難、パスワードの盗難、機密メールが不適切な人物に送信されることが挙げられます。[ 71 ]

誠実さ

ITセキュリティにおいて、データ整合性とは、データのライフサイクル全体にわたってデータの正確性と完全性を維持し保証することを意味します。[ 72 ]これは、データが不正または検出されない方法で変更されないことを意味します。[ 73 ]これはデータベース参照整合性とは異なりますが、トランザクション処理の古典的なACIDモデルで理解されている一貫性の特殊なケースと見なすことができます。[ 74 ]情報セキュリティシステムには通常、カーネルまたはコア機能を意図的および偶発的な脅威から保護するための制御が組み込まれています。[ 75 ]多目的およびマルチユーザーのコンピュータシステムは、データと処理を区分化して、ユーザーまたはプロセスが他に悪影響を与えないようにすることを目的としています。ただし、マルウェア感染、ハッキング、データ盗難、詐欺、プライバシー侵害などのインシデントに見られるように、制御が成功しない場合があります。[ 76 ]

より広義には、完全性とは、人的・社会的、プロセス、商業的完全性、そしてデータの完全性を含む情報セキュリティの原則です。したがって、完全性、一貫性、真実性、完全性、正確性、適時性、保証といった側面に関係します。[ 77 ]

可用性

情報システムがその目的を果たすためには、必要なときに情報にアクセスできなければなりません。 [ 78 ]これは、情報を保存および処理するために使用されるコンピューティングシステム、情報を保護するために使用されるセキュリティ制御、および情報にアクセスするために使用される通信チャネルが正しく機能している必要があることを意味します。[ 79 ]高可用性システムは、停電、ハードウェア障害、およびシステムのアップグレードによるサービスの中断を防ぎ、常に利用可能な状態を維持することを目的としています。[ 80 ]可用性を確保するには、対象システムへの大量の受信メッセージなどのサービス拒否攻撃を防ぎ、事実上システムをシャットダウンさせることも含まれます。[ 81 ]

情報セキュリティの分野では、可用性は情報セキュリティプログラムの成功において最も重要な要素の一つと捉えられることが多い。最終的には、エンドユーザーが職務を遂行できる必要がある。可用性を確保することで、組織はステークホルダーが期待する水準で業務を遂行できるようになる。[ 82 ]これには、プロキシ設定、外部からのWebアクセス、共有ドライブへのアクセス、メール送信といったトピックが含まれる。[ 83 ]経営幹部は情報セキュリティの技術的な側面を理解しておらず、可用性を安易な解決策と捉えることが多いが、これはネットワーク運用、開発運用、インシデント対応、ポリシー/変更管理など、組織内の様々なチームとの連携を必要とすることが多い。[ 84 ]成功する情報セキュリティチームには、CIA(中央情報局)の三位一体を効果的に実現するために、様々な重要な役割が連携して機能する必要がある。[ 85 ]

追加のセキュリティ目標

従来の CIA のセキュリティ目標の 3 つに加えて、一部の組織では、真正性、説明責任、否認不可、信頼性などのセキュリティ目標を含める必要がある場合があります。

否認防止

法律上、否認不可とは、契約上の義務を履行する意思があることを意味します。また、取引の一方当事者が取引の受領を否定できず、他方当事者が取引の送信を否定できないことも意味します。[ 86 ]

暗号システムなどの技術は否認防止の取り組みを支援するものの、否認防止の概念は本質的に技術の領域を超越した法的概念であることに留意することが重要です。[ 87 ]例えば、メッセージが送信者の秘密鍵で署名されたデジタル署名と一致し、したがって送信者のみがメッセージを送信でき、他の誰も送信中にメッセージを改ざんできなかったことを示すだけでは不十分です(データ整合性)。[ 88 ]送信者とされる人物は、デジタル署名アルゴリズムに脆弱性や欠陥があることを実証したり、署名鍵が侵害されたと主張したり証明したりすることができます。[ 89 ]これらの違反の責任が送信者にあるかどうかは不明であり、そのような主張は送信者の責任を免除するかどうかは不明ですが、署名が必ずしも真正性と整合性を証明するという主張は無効になります。したがって、送信者はメッセージを否認することができます(真正性と整合性は否認防止の前提条件であるため)。[ 90 ]

その他のモデル

1992年に作成され2002年に改訂されたOECD情報システムとネットワークのセキュリティに関するガイドライン[ 91 ]では、認識、責任、対応、倫理、民主主義、リスク評価、セキュリティの設計と実装、セキュリティ管理、再評価という9つの一般的に受け入れられている原則が提案されました。 [ 92 ]これを基に、2004年にNIST情報技術セキュリティに関するエンジニアリング原則[ 68 ]は33の原則を提案しました。

1998年、ドン・パーカーは、古典的な「CIA」の三要素モデルに代わる、情報の六つの要素と名付けたモデルを提唱しました。これらの要素は、機密性所有完全性真正性可用性、そして有用性です。パーカーの六要素モデルの利点は、セキュリティ専門家の間で議論の的となっています。[ 93 ]

2011年、オープングループは情報セキュリティ管理標準O-ISM3を公開しました。[ 94 ]この標準では、アクセス制御(9)、可用性(3)、データ品質(1)、コンプライアンス、技術(4)に関連する「セキュリティ目標」と呼ばれる要素を使用して、セキュリティの主要概念の運用上の定義を提案しました。

リスク管理

リスクとは、情報資産に損害を与える(または資産を失う)ような悪いことが起こる可能性のことである。[ 95 ]脆弱性とは、情報資産を危険にさらしたり、損害を与えたりするために利用できる弱点である。脅威とは、損害を引き起こす可能性のあるもの(人為的なものまたは自然現象)である。 [ 96 ]脅威が脆弱性を利用して損害を与える可能性が、リスクを生み出す。脅威が脆弱性を利用して損害を与える場合、影響が生じる。[ 97 ]情報セキュリティの観点では、影響とは可用性、完全性、機密性の損失、および場合によってはその他の損失(収入の損失、生命の損失、不動産の損失)である。[ 98 ]

公認情報システム監査人CISA)レビューマニュアル2006では、リスク管理を「組織がビジネス目標を達成するために使用する情報資源に対する脆弱性脅威を特定し、組織にとっての情報資源の価値に基づいて、リスクを許容レベルまで低減するためにどのような対策を講じるかを決定するプロセスと定義しています[ 100 ]

この定義には、明確に説明する必要がある点が2つあります。第一に、リスク管理のプロセスは継続的かつ反復的なプロセスであり、無期限に繰り返す必要があります。ビジネス環境は常に変化しており、新たな脅威脆弱性が日々出現しています。[ 101 ]第二に、リスク管理に用いる対策コントロール)の選択は、生産性、コスト、対策の有効性、そして保護対象となる情報資産の価値の間でバランスを取る必要があります。[ 102 ]さらに、セキュリティ侵害は一般的に稀であり、容易に再現できない特定の状況で発生するため、これらのプロセスには限界があります。[ 103 ]したがって、あらゆるプロセスと対策自体について、脆弱性を評価する必要があります。[ 104 ]すべてのリスクを特定することも、すべてのリスクを排除することもできません。残存するリスクは「残余リスク」と呼ばれます。[ 105 ]

リスク評価は、事業の特定の分野に関する知識を持つ人々で構成されたチームによって実施される。[ 106 ]チームの構成員は、評価対象となる事業の様々な部分に応じて時間の経過とともに変化する可能性がある。[ 107 ]評価では、情報に基づいた主観的な定性分析が使用されることもあれば、信頼できる金額や過去の情報が利用可能な場合は、定量分析が使用されることもある。

研究によると、ほとんどの情報システムにおいて最も脆弱な点は、人間のユーザー、オペレーター、設計者、またはその他の人間であることが明らかになっています。[ 108 ]情報セキュリティ管理の実践規範であるISO /IEC 27002:2005では、リスク評価の際に以下の項目を検討することを推奨しています。

大まかに言えば、リスク管理プロセスは以下の要素から構成されます。[ 109 ] [ 110 ]

  1. 資産の特定と価値の見積もり。対象には、人、建物、ハードウェア、ソフトウェア、データ(電子データ、印刷データ、その他)、消耗品などが含まれます。[ 111 ]
  2. 脅威評価を実施する。対象には、自然災害、戦争行為、事故、組織内外からの悪意ある行為などが含まれる。[ 112 ]
  3. 脆弱性評価を実施し、それぞれの脆弱性について、悪用される確率を計算する。ポリシー、手順、標準、トレーニング、物理的セキュリティ品質管理、技術的セキュリティを評価する。[ 113 ]
  4. それぞれの脅威が各資産に与える影響を計算します。定性分析または定量分析を使用します。[ 114 ]
  5. 適切な管理策を特定、選択、実施する。適切な対応策を提供する。生産性、費用対効果、資産価値を考慮する。[ 115 ]
  6. 管理措置の有効性を評価する。管理措置が、生産性の顕著な低下を招くことなく、必要な費用対効果の高い保護を提供していることを確認する。[ 116 ]

経営陣は、いかなるリスクについても、資産価値の相対的な低さ、発生頻度の相対的な低さ、そして事業への影響の相対的な低さに基づいて、リスクを受け入れることを選択できます。[ 117 ]あるいは、経営陣は適切な管理策を選択し、実施することでリスクを軽減することを選択できます。場合によっては、保険を購入したり、他の事業にアウトソーシングしたりすることで、リスクを他の事業に移転できます。[ 118 ]一部のリスクの実態は議論の余地があります。そのような場合、経営陣はリスクを否定することを選択できます。[ 119 ]

セキュリティ管理

適切なセキュリティ管理策を選択して実施することは、まず組織がリスクを許容レベルまで引き下げるのに役立ちます。[ 120 ]管理策の選択はリスク評価に基づいて行うべきです。[ 121 ]管理策は性質が異なりますが、基本的には情報の機密性、完全性、または可用性を保護する方法です。ISO /IEC 27001はさまざまな分野の管理策を定義しています。[ 122 ]組織は組織の要件に応じて追加の管理策を実装できます。[ 123 ] ISO/IEC 27002は組織の情報セキュリティ基準のガイドラインを提供しています。[ 124 ]

多層防御

多層防御のタマネギモデル

多層防御とは、個々のコンポーネントに障害が発生しても保護を維持するよう設計された、重複するセキュリティシステムに依存する基本的なセキュリティ哲学です。単一のセキュリティ対策に依存するのではなく、クラウドとネットワークエンドポイントの両方で複数のセキュリティ制御レイヤーを組み合わせます。このアプローチには、ファイアウォールと侵入検知システム、電子メールフィルタリングサービスとデスクトップアンチウイルス、クラウドベースのセキュリティと従来のネットワーク防御の組み合わせなどが含まれます。[ 125 ] この概念は、管理、論理、物理制御の3つの異なるレイヤーを通じて実装することも、[ 126 ]または、データを中核とし、その周囲に人、ネットワークセキュリティ、ホストベースセキュリティ、アプリケーションセキュリティのレイヤーを配置したタマネギモデルとして視覚化することもできます。[ 127 ]この戦略では、セキュリティにはテクノロジーだけでなく、人とプロセスの連携が不可欠であり、リアルタイムの監視と対応が重要な要素であることを強調しています。[ 125 ]

分類

情報セキュリティとリスク管理の重要な側面は、情報の価値を認識し、その情報に対する適切な手順と保護要件を定義することです。[ 128 ]すべての情報が同等というわけではなく、したがってすべての情報に同じレベルの保護が必要なわけではありません。[ 129 ]このため、情報にはセキュリティ分類を割り当てる必要があります。[ 130 ]情報分類の最初のステップは、分類する特定の情報の所有者として上級管理職を特定することです。次に、分類ポリシーを策定します。[ 131 ]ポリシーでは、さまざまな分類ラベルを説明し、特定のラベルを割り当てる情報の基準を定義し、各分類に必要なセキュリティ管理策をリストする必要があります。[ 132 ]

どの分類情報を割り当てるべきかを左右する要因としては、その情報が組織にとってどれだけの価値を持つか、情報がどれくらい古いか、情報が古くなっているかどうかなどが挙げられます。[ 133 ]情報を分類する際には、法律やその他の規制要件も重要な考慮事項となります。[ 134 ]情報システム監査管理協会(ISACA)とその情報セキュリティビジネスモデルは、セキュリティ専門家がシステムの観点からセキュリティを検証するためのツールとしても機能し、セキュリティを総合的に管理できる環境を作り出し、実際のリスクに対処できるようにします。[ 135 ]

選択され使用される情報セキュリティ分類ラベルの種類は組織の性質によって異なり、例としては次のようなものがある。[ 132 ]

  • ビジネス分野では、Public、Sensitive、Private、Confidential などのラベルが使用されます。
  • 政府部門では、Unclassified、Unofficial、Protected、Confidential、Secret、Top Secretなどのラベルや、それらに相当する非英語のラベルが使用されています。[ 136 ]
  • 部門横断的な構成では、白、緑、黄、赤で構成される信号プロトコルが使用されます。
  • 個人部門では、「金融」などのラベルが1つあります。これには、オンラインバンキングなど、金銭管理に関連する活動が含まれます。[ 137 ]

組織内のすべての従業員とビジネスパートナーは、分類スキームに関するトレーニングを受け、各分類に必要なセキュリティ管理と取り扱い手順を理解している必要があります。[ 138 ]割り当てられた特定の情報資産の分類は、定期的に見直され、その分類が情報に適切であり、分類に必要なセキュリティ管理が実施され、適切な手順に従っていることを確認する必要があります。[ 139 ]

アクセス制御

保護された情報へのアクセスは、その情報にアクセスする権限を持つ人物に制限されなければならない。[ 140 ]コンピュータプログラム、そして多くの場合、情報を処理するコンピュータも承認を受ける必要がある。[ 141 ]これには、保護された情報へのアクセスを制御するためのメカニズムが必要である。[ 141 ]アクセス制御メカニズムの高度さは、保護される情報の価値に見合ったものでなければならない。つまり、情報の機密性や価値が高いほど、制御メカニズムは強力でなければならない。[ 142 ]アクセス制御メカニズムの基盤は、識別と認証から始まる。[ 143 ]

アクセス制御は一般的に、識別、認証認可の3つのステップで考えられます。[ 144 ] [ 71 ]

識別

識別とは、ある人が誰であるか、あるいはある物が何であるかを主張することです。ある人が「こんにちは、私の名前はジョン・ドウです」と発言した場合、その人は自分が誰であるかを主張していることになります。[ 145 ]しかし、その主張は真実である場合もあれば、そうでない場合もあります。ジョン・ドウに保護情報へのアクセスを許可する前に、ジョン・ドウであると主張する人が本当にジョン・ドウであるかどうかを確認する必要があります。[ 146 ]通常、この主張はユーザー名の形で行われます。ユーザー名を入力することで、「私はそのユーザー名の所有者です」と主張することになります。[ 147 ]

認証

認証とは、本人確認を行う行為です。ジョン・ドウが銀行で預金を引き出す際、彼は銀行員に自分はジョン・ドウであると告げ、本人確認を行います。[ 148 ]銀行員は写真付き身分証明書の提示を求め、運転免許証を手渡します。[ 149 ]銀行員は免許証にジョン・ドウの名前が印刷されているかを確認し、免許証の写真とジョン・ドウを名乗る人物を照合します。[ 150 ]写真と名前が本人と一致すれば、銀行員はジョン・ドウが本人であると認証したことになります。同様に、正しいパスワードを入力することで、ユーザーは自分がユーザー名の所有者であることを証明していることになります。[ 151 ]

認証に使用できる情報には3種類あります。[ 152 ] [ 153 ]

強力な認証には、複数の種類の認証情報(二要素認証)の提供が必要です。[ 159 ]ユーザー名は今日のコンピュータシステムで最も一般的な識別形式であり、パスワードは最も一般的な認証形式です。[ 160 ]ユーザー名とパスワードは目的を果たしてきましたが、ますます不十分になってきています。[ 161 ]ユーザー名とパスワードは、時間ベースのワンタイムパスワードアルゴリズムなどのより洗練された認証メカニズムに徐々に置き換えられたり、補完されたりしています。[ 162 ]

承認

人、プログラム、またはコンピュータが正常に識別され、認証された後、それらにどのような情報リソースへのアクセスが許可され、どのようなアクション(実行、表示、作成、削除、または変更)が許可されるかを決定する必要があります。[ 163 ]これは認可と呼ばれます。情報やその他のコンピューティングサービスへのアクセスの認可は、管理ポリシーと手順から始まります。[ 164 ]ポリシーは、どの情報およびコンピューティングサービスに誰がどのような条件でアクセスできるかを規定します。次に、アクセス制御メカニズムがこれらのポリシーを適用するように設定されます。[ 165 ]コンピューティングシステムによって、アクセス制御メカニズムの種類は異なります。システムによっては、複数のアクセス制御メカニズムを選択できるものもあります。[ 166 ]システムが提供するアクセス制御メカニズムは、3つのアクセス制御アプローチのいずれかに基づいていますが、それらを組み合わせたものになることもあります。[ 71 ]

非裁量的アプローチは、すべてのアクセス制御を集中管理下に統合します。[ 167 ]情報やその他のリソースへのアクセスは、通常、組織内での個人の役割または個人が実行する必要があるタスクに基づいています。[ 168 ] [ 169 ]裁量的アプローチでは、情報リソースの作成者または所有者に、それらのリソースへのアクセスを制御する権限が与えられます。[ 167 ]強制アクセス制御アプローチでは、情報リソースに割り当てられたセキュリティ分類に基づいてアクセスが許可または拒否されます。[ 140 ]

現在使用されている一般的なアクセス制御メカニズムの例としては、多くの高度なデータベース管理システムで利用可能なロールベースのアクセス制御、UNIXおよびWindowsオペレーティングシステムで提供されるシンプルなファイル権限、 [ 170 ] Windowsネットワークシステムで提供されるグループポリシーオブジェクト、多くのファイアウォールルーターで使用されているKerberosRADIUSTACACS、およびシンプルなアクセスリストなどがあります。[ 171 ]

効果的なポリシーやその他のセキュリティ管理策は、施行可能で、かつ維持されなければなりません。効果的なポリシーは、人々が自らの行動に責任を負うことを保証します。[ 172 ]例えば、米国財務省の機密情報または専有情報を処理するシステムに関するガイドラインでは、認証およびアクセス試行の失敗と成功をすべて記録し、情報へのアクセスはすべて何らかの監査証跡を残す必要があると規定されています。[ 173 ]

また、アクセス制御においては、知る必要がある原則が適用される必要があります。この原則は、職務を遂行するために個人にアクセス権を与えます。[ 174 ]この原則は、政府において異なる認可を扱う際に用いられます。[ 175 ]異なる部署の2人の従業員が最高機密の認可を持っていたとしても、情報を交換するためには知る必要がある原則が必要です。知る必要がある原則に基づき、ネットワーク管理者は従業員に最小限の権限を与えることで、従業員が本来の権限を超えてアクセスすることを防ぎます。[ 176 ]知る必要がある原則は、機密性、完全性、可用性の3要素を強化するのに役立ちます。知る必要がある原則は、3要素のうち機密領域に直接影響を及ぼします。[ 177 ]

暗号化

情報セキュリティでは、暗号技術を使用して、使用可能な情報を、許可されたユーザー以外には使用できない形式に変換します。このプロセスは暗号化と呼ばれます。[ 178 ]暗号化された(使用できなくなった)情報は、暗号鍵を所有する許可されたユーザーによって、復号化プロセスを経て元の使用可能な形式に戻すことができます。[ 179 ]暗号技術は、情報セキュリティにおいて、情報が(電子的または物理的に)転送中および保管中に、不正または偶発的な開示から情報を保護するために使用されます。[ 71 ]

暗号化は、認証方法の改善、メッセージダイジェスト、デジタル署名、否認防止、暗号化ネットワーク通信など、他の有用なアプリケーションでも情報セキュリティを提供します。[ 180 ] Telnetファイル転送プロトコル(FTP)などの古くて安全性の低いアプリケーションは、暗号化ネットワーク通信を使用するセキュアシェル(SSH)などのより安全なアプリケーションに徐々に置き換えられています。[ 181 ]無線通信は、WPA/WPA2や古い(安全性の低い)WEPなどのプロトコルを使用して暗号化できます。有線通信( ITU-T G.hnなど)は、暗号化にAES 、認証と鍵交換にX.1035を使用して保護されています。[ 182 ] GnuPGPGPなどのソフトウェアアプリケーションは、データファイルや電子メールの暗号化に使用できます。[ 183 ]

暗号化は、正しく実装されていないとセキュリティ上の問題を引き起こす可能性があります。[ 184 ]暗号化ソリューションは、暗号化の独立した専門家による厳格なピアレビューを受けた業界で認められたソリューションを使用して実装する必要があります。[ 185 ]暗号化キーの長さと強度も重要な考慮事項です。[ 186 ]キー弱かったり短すぎたりすると、暗号化が弱くなります。[ 186 ]暗号化と復号化に使用されるキーは、他の機密情報と同じ厳格さで保護する必要があります。[ 187 ]キーは不正な開示や破壊から保護されなければならず、必要なときに利用できる必要があります。 公開鍵基盤(PKI)ソリューションは、キー管理を取り巻く多くの問題に対処します。[ 71 ]

プロセス

米国連邦量刑ガイドラインでは、企業役員が情報システムの管理において然るべき注意と相当の注意を払わなかったとして責任を問うことが可能になった。[ 188 ]

情報セキュリティの分野では、ハリス[ 189 ] はデュー・ケアとデュー・デリジェンスについて次のような定義を提示している。

「デュー・ケアとは、企業が社内で行われる活動に対して責任を負い、企業、その資源、従業員を保護するために必要な措置を講じていることを示すために講じられる措置である[ 190 ]。」そして、[デュー・デリジェンスとは] 「保護メカニズムが継続的に維持され、運用されていることを確認するための継続的な活動である」[ 191 ] 。

これらの定義には2つの重要な点がある。[ 192 ] [ 193 ]まず、デュー・ケアでは、示すための措置が講じられる。これは、その措置が検証可能、測定可能、あるいは具体的な成果物を生み出すことさえ可能であることを意味する。[ 194 ] [ 195 ]次に、デュー・デリジェンスでは、継続的な活動が行われる。これは、人々が実際に保護メカニズムを監視および維持するための活動を行っており、これらの活動が継続していることを意味する。[ 196 ]

組織は情報セキュリティを適用する際に、注意義務を実践する責任があります。注意義務リスク分析基準(DoCRA)[ 197 ]は、リスク評価の原則と実践方法を示しています。[ 198 ]は、リスクの影響を受ける可能性のあるすべての関係者を考慮します。[ 199 ] DoCRAは、合理的な負担を伴いながら、他者を危害から保護するのに適切な安全対策を評価するのに役立ちます。[ 200 ]データ侵害訴訟の増加に伴い、企業はセキュリティ管理、コンプライアンス、そしてその使命のバランスを取る必要があります。[ 201 ]

インシデント対応計画

コンピュータセキュリティインシデント管理は、コンピュータやネットワーク上のセキュリティイベントを予測可能な方法で監視、検出、対応することに重点を置いたインシデント管理の特殊な形式です。[ 202 ]

組織は、セキュリティ侵害が検出された際に発動されるインシデント対応計画(IRP)を通じてこれを実行します。[ 203 ]これらの計画には通常、侵入テスト、コンピューターフォレンジック、ネットワークセキュリティなどの分野で専門的なスキルを持つインシデント対応チーム(IRT)が関与します。[ 204 ]

変更管理

変更管理は、情報処理環境への変更を指示および制御するための正式なプロセスです。[ 205 ] [ 206 ]これには、デスクトップコンピュータ、ネットワーク、サーバー、およびソフトウェアへの変更が含まれます。[ 207 ]変更管理の目的は、情報処理環境への変更によってもたらされるリスクを軽減し、変更が行われるにつれて処理環境の安定性と信頼性を向上させることです。[ 208 ]必要な変更の実施を妨げたり妨げたりすることが変更管理の目的ではありません。[ 209 ] [ 210 ]

情報処理環境へのいかなる変更もリスクの要素をもたらします。[ 211 ]一見単純な変更でさえも予期せぬ影響を及ぼす可能性があります。[ 212 ]経営陣の多くの責任の1つはリスク管理です。[ 213 ] [ 214 ]変更管理は情報処理環境の変更によってもたらされるリスクを管理するためのツールです。[ 215 ]変更管理プロセスの一部は、変更が不適切なタイミングで実施され、重要なビジネスプロセスを混乱させたり、実施中の他の変更を妨げたりしないようにします。[ 216 ]

すべての変更を管理する必要はありません。[ 217 ] [ 218 ]ある種の変更は情報処理の日常的なルーチンの一部であり、定義済みの手順に準拠しているため、処理環境への全体的なリスクレベルが軽減されます。[ 219 ]新しいユーザーアカウントの作成や新しいデスクトップコンピューターの導入は、通常、変更管理を必要としない変更の例です。[ 220 ]ただし、ユーザーファイル共有の再配置や電子メールサーバーのアップグレードは、処理環境に非常に高いレベルのリスクをもたらすため、通常の日常的なアクティビティではありません。[ 221 ]変更管理の重要な最初のステップは、(a) 変更の定義(およびその定義の伝達)と (b) 変更システムの範囲の定義です。[ 222 ]

変更管理は通常、主要なビジネス領域の代表者で構成される変更レビュー委員会によって監督されます。[ 223 ]セキュリティ、ネットワーク、システム管理者、データベース管理、アプリケーション開発者、デスクトップサポート、ヘルプデスク。[ 224 ]変更レビュー委員会のタスクは、自動化されたワークフローアプリケーションの使用によって促進されます。[ 225 ]変更レビュー委員会の責任は、組織の文書化された変更管理手順が遵守されていることを確認することです。[ 226 ]変更管理プロセスは次のとおりです。[ 227 ]

  • 要求: 誰でも変更を要求できます。[ 228 ] [ 229 ]変更要求を行う人物は、分析を実行したり変更を実装したりする人物と同じである場合も、そうでない場合もあります。[ 230 ] [ 231 ]変更要求が受信されると、要求された変更が組織のビジネスモデルや慣行と互換性があるかどうか、また変更を実装するために必要なリソースの量を判断するための予備審査が行われる場合があります。[ 232 ]
  • 承認:経営陣は事業を運営し、資源の配分を管理するため、変更要求を承認し、すべての変更に優先順位を付ける必要があります。[ 233 ]変更がビジネスモデル、業界標準、またはベストプラクティスに適合しない場合、経営陣は変更要求を拒否することがあります。[ 234 ] [ 235 ]また、変更に必要なリソースが割り当て可能なリソースを超えている場合、経営陣は変更要求を拒否することがあります。[ 236 ]
  • 計画: 変更を計画するには、提案された変更の範囲と影響の発見、変更の複雑さの分析、リソースの割り当て、実装計画とバックアウト計画の開発、テスト、文書化が含まれます。[ 237 ]バックアウトの決定を行う基準を定義する必要があります。[ 238 ]
  • テスト: 変更を本番環境に適用する前に、実際の本番環境を厳密に反映した安全なテスト環境ですべての変更をテストする必要があります。[ 239 ]バックアウト計画もテストする必要があります。[ 240 ]
  • スケジュール:変更審査委員会の責任の一部は、提案された実施日が他の予定されている変更や重要なビジネス活動と競合する可能性を検討することにより、変更のスケジュール作成を支援することです。[ 241 ]
  • コミュニケーション: 変更がスケジュールされたら、それを伝達する必要があります。[ 242 ]コミュニケーションの目的は、変更をスケジュールする際に見落とされた可能性のある他の変更や重要なビジネス活動について、変更レビュー委員会に思い出させる機会を他の人に与えることです。[ 243 ]コミュニケーションはまた、ヘルプデスクとユーザーに変更が行われようとしていることを知らせるのにも役立ちます。[ 244 ]変更レビュー委員会のもう1つの責任は、変更の影響を受ける人や変更に利害関係のある人に、予定されている変更が適切に伝達されていることを確認することです。[ 245 ] [ 246 ]
  • 実施: 指定された日時に、変更を実施する必要があります。[ 247 ] [ 248 ]計画プロセスの一部として、実施計画、テスト計画、および取り消し計画を策定しました。[ 249 ] [ 250 ]変更の実施が失敗した場合、または実施後のテストが失敗したり、その他の「中止」基準が満たされた場合は、取り消し計画を実施する必要があります。[ 251 ]
  • 文書: すべての変更は文書化されなければならない。[ 252 ] [ 253 ]文書化される内容には、変更の最初の要求、その承認、割り当てられた優先順位、実施、[ 254 ]テストとバックアウト計画、変更レビュー委員会の批評の結果、変更が実施された日時、[ 255 ]誰が変更を実施したか、変更が正常に実施されたか、失敗したか、延期されたかが含まれる。[ 256 ] [ 257 ]
  • 変更後レビュー:変更レビュー委員会は、変更の実装後レビューを実施する必要があります。[ 258 ]特に、失敗した変更や取り消された変更をレビューすることが重要です。レビュー委員会は、発生した問題を理解し、改善の余地を探すように努めるべきです。[ 258 ]

分かりやすく使いやすい変更管理手順は、情報処理環境に変更が加えられた際に生じる全体的なリスクを大幅に軽減することができます。[ 259 ]優れた変更管理手順は、変更が実施される際に全体的な品質と成功を向上させます。[ 260 ]これは、計画、ピアレビュー、文書化、およびコミュニケーションを通じて実現されます。[ 261 ]

ISO/IEC 20000、Visible OPSハンドブック:4つの実用的かつ監査可能なステップでITILを実装する[ 262 ](書籍の全要約)、[ 263 ]ITILはすべて、情報セキュリティの効率的かつ効果的な変更管理プログラムを実装するための貴重なガイダンスを提供します。[ 264 ]

事業継続性

事業継続管理(BCM)は、組織の重要な業務機能をインシデントによる中断から保護するか、少なくとも影響を最小限に抑えることを目的とした取り決めに関するものです。[ 265 ] [ 266 ] BCMは、通常の業務継続に対する現在の脅威に合わせて技術とビジネスを維持するために、あらゆる組織にとって不可欠です。[ 267 ] BCMは、組織のリスク分析計画に含める必要があり、あらゆるタイプの脅威が発生した場合でも、必要なすべての業務機能が継続するために必要なものを確保する必要があります。[ 268 ]

これには以下が含まれます。

  • 要件の分析、例えば、重要なビジネス機能、依存関係、潜在的な障害点、潜在的な脅威、ひいては組織にとって懸念されるインシデントやリスクの特定など。[ 269 ] [ 270 ]
  • 仕様、例:最大許容停止期間、リカバリポイント目標(データ損失の最大許容期間)[ 271 ]
  • アーキテクチャと設計、例えば、回復力(例えば、高可用性のためのITシステムとプロセスのエンジニアリング、[ 272 ]ビジネスを中断する可能性のある状況を回避または防止する)、インシデントおよび緊急事態管理(例えば、建物からの避難、緊急サービスの呼び出し、トリアージ/状況[ 273 ]評価、復旧計画の発動)、復旧(例えば、再構築)、および不測の事態管理(利用可能なあらゆるリソースを使用して、発生するあらゆる事態に積極的に対処する一般的な能力)を含むアプローチの適切な組み合わせ[ 274 ]
  • 実装(バックアップやデータ転送などの構成とスケジュール設定、重要な要素の複製と強化、サービスおよび機器のサプライヤーとの契約など)。
  • テスト、例えば、様々な種類、コスト、保証レベルの事業継続性演習など[ 275 ]
  • 管理、例:戦略の定義、目的と目標の設定、作業の計画と指示、資金、人材、その他のリソースの割り当て、他の活動に対する優先順位付け、チームビルディング、リーダーシップ、管理、動機付け、他のビジネス機能や活動との調整[ 276 ](例:IT、施設、人事、リスク管理、情報リスクとセキュリティ、運用)、状況の監視、状況の変化時の取り決めの確認と更新、継続的な改善、学習、適切な投資によるアプローチの成熟。
  • 保証、例えば、指定された要件に対するテスト、主要なパラメータの測定、分析、報告、発動された場合に取り決めが計画通りに進むという確信を高めるための追加のテスト、レビュー、監査の実施など。[ 277 ]

BCMは、インシデントの発生確率と重大性の両方を低減することで災害関連リスクを最小限に抑える幅広いアプローチを採用しているのに対し、災害復旧計画(DRP)は、災害後にできるだけ早く事業を再開することに特に焦点を当てています。[ 278 ]災害復旧計画は、災害発生直後に発動され、重要な情報通信技術(ICT)インフラを復旧するために必要な手順を定めます。[ 279 ]災害復旧計画には、計画グループの設立、リスク評価の実施、優先順位の設定、復旧戦略の策定、計画のインベントリと文書の作成、検証基準と手順の策定、そして最後に計画の実施が含まれます。[ 280 ]

法律と規制

プライバシー・インターナショナル2007プライバシーランキング緑:保護と安全策赤:監視社会の蔓延

以下は、データ処理と情報セキュリティに重大な影響を及ぼしている、及ぼしていた、または及ぼすであろう世界各地の政府の法律と規制の一部です。[ 281 ] [ 282 ]情報セキュリティに重大な影響を与える重要な産業分野の規制も含まれています。[ 281 ]

  • 1998年英国データ保護法は、個人に関する情報の取得、保有、使用、開示を含む、個人に関する情報の処理を規制するための新たな規定を設けている。[ 283 ] [ 284 ]欧州連合データ保護指令(EUDPD)は、EU加盟国全てに対し、EU全体の市民のデータプライバシー保護を標準化するための国内規制を採用することを義務付けている。[ 285 ] [ 286 ]
  • 1990年のコンピュータ不正使用法は、英国議会で制定された法律で、コンピュータ犯罪(ハッキングなど)を刑事犯罪と定めています。[ 287 ]この法律は、カナダアイルランドを含む他の多くの国[ 288 ]が、その後独自の情報セキュリティ法を起草する際に参考にしたモデルとなっています。[ 289 ] [ 290 ]
  • EUのデータ保持指令(廃止)では、インターネットサービスプロバイダーと電話会社に対し、送信されたすべての電子メッセージと行われた通話に関するデータを6か月から2年間保存することを義務付けました。[ 291 ]
  • 家族教育権とプライバシー法(FERPA)(20 USC  § 1232 g; 34 CFR Part 99)は、生徒の教育記録のプライバシーを保護する米国連邦法です。[ 292 ]この法律は、米国教育省の該当プログラムに基づいて資金を受け取るすべての学校に適用されます。[ 293 ]一般的に、学校は生徒の教育記録から情報を公開するために、保護者または資格のある生徒からの書面による許可を得る必要があります。 [ 293 ] [ 294 ]生徒の教育記録から情報を公開するには、[ 295 ]
  • 連邦金融機関検査評議会(FFIEC)の監査人向けセキュリティガイドラインは、オンラインバンキングのセキュリティ要件を規定しています。[ 296 ]
  • 1996年の医療保険の携行性と責任に関する法律(HIPAA)は、電子医療取引に関する国家標準の採用と、医療提供者、医療保険プラン、雇用主のための国家識別子の採用を義務付けている。[ 297 ]さらに、医療提供者、保険提供者、雇用主は、医療データのセキュリティとプライバシーを保護する必要がある。[ 298 ]
  • 1999年グラム・リーチ・ブライリー法(GLBA)は、1999年金融サービス近代化法としても知られ、金融機関が収集、保有、処理する個人の金融情報のプライバシーとセキュリティを保護します。[ 299 ]
  • 2002年サーベンス・オクスリー法(SOX法)第404条は、上場企業に対し、各会計年度末に提出する年次報告書において、財務報告に関する内部統制の有効性を評価することを義務付けている。[ 300 ]最高情報責任者は、財務データを管理・報告するシステムのセキュリティ、正確性、信頼性に責任を負っている。[ 301 ]また、この法律では、上場企業に対し、評価の妥当性を証明し、報告する独立監査人と契約することを義務付けている。[ 302 ]
  • ペイメントカード業界データセキュリティ基準(PCI DSS)は、決済口座データのセキュリティを強化するための包括的な要件を規定しています。[ 303 ]これは、PCIセキュリティ基準協議会の創設決済ブランド(アメリカン・エキスプレスディスカバー・ファイナンシャル・サービス、JCB、マスターカード・ワールドワイド、[ 304 ]およびビザ・インターナショナルを含む)によって開発され、世界規模で一貫したデータセキュリティ対策の広範な導入を促進します。 [ 305 ] PCI DSSは、セキュリティ管理、ポリシー、手順、ネットワークアーキテクチャ、ソフトウェア設計、およびその他の重要な保護対策の要件を含む多面的なセキュリティ標準です。[ 306 ]
  • 州のセキュリティ侵害通知法(カリフォルニア州およびその他多数)では、暗号化されていない「個人情報」が漏洩、紛失、盗難にあった可能性がある場合、企業、非営利団体、州機関は消費者に通知することが義務付けられています。[ 307 ]
  • カナダの個人情報保護および電子文書法(PIPEDA)は、特定の状況下で収集、使用、開示される個人情報を保護することにより、電子商取引を支援し促進し、[ 308 ] [ 309 ]情報や取引を伝達または記録するための電子的手段の使用を規定し、カナダ証拠法、法定文書法、および法令改正法を改正する。[ 310 ] [ 311 ] [ 312 ]
  • ギリシャの通信セキュリティおよびプライバシー庁(ADAE)(法律165/2011)は、顧客の機密性を保護するために、ギリシャで電子通信ネットワークおよび/またはサービスを提供するすべての企業が導入すべき最低限の情報セキュリティ管理策を定め、説明しています。[ 313 ]これらには、管理上の管理策と技術的な管理策の両方が含まれます(例:ログ記録は2年間保存する必要があります)。[ 314 ]
  • ギリシャの通信セキュリティおよびプライバシー庁(ADAE)(法律205/2013)は、ギリシャの通信会社が提供するサービスとデータの完全性と可用性の保護に重点を置いています。[ 315 ]この法律は、これらの会社やその他の関連会社に、適切な事業継続計画と冗長性のあるインフラストラクチャを構築、展開、およびテストすることを義務付けています。[ 316 ]

米国国防総省(DoD)は2004年にDoD指令8570を発行し、DoD指令8140によって補完されました。これにより、情報保証の役割と活動に携わるすべてのDoD職員とすべてのDoD契約職員は、ネットワークインフラ防衛に携わるすべてのDoD職員がIT業界で認められた最低限の知識、スキル、能力(KSA)を有することを確保するため、様々な業界の情報技術(IT)認定資格を取得し、維持することが義務付けられました。AnderssonとReimers(2019)は、これらの認定資格は、CompTIAのA+やSecurity+からICS2.orgのCISSPなどまで多岐にわたると報告しています。[ 317 ]

文化

情報セキュリティ文化とは、従業員のセキュリティ意識の高さを単に説明するだけでなく、組織の考え方、慣習、社会的行動であり、情報セキュリティにプラスにもマイナスにも影響を与えるものです。[ 318 ]文化的概念は、組織内の様々な部門が情報セキュリティに対して効果的に働くことを助ける場合もあれば、逆に阻害する場合もあります。従業員がセキュリティについてどのように考え、どのように行動するかは、組織内の情報セキュリティに大きな影響を与える可能性があります。Roer & Petric (2017) は、組織における情報セキュリティ文化の7つの中核的な側面を特定しています。[ 319 ]

  • 態度:組織の情報セキュリティに関わる様々な活動に対する従業員の気持ちや感情。[ 320 ]
  • 行動: 情報セキュリティに直接的または間接的に影響を及ぼす、従業員の実際または意図的な活動およびリスクを伴う行動。
  • 認知:情報セキュリティに関連する実践、活動、自己効力感の関係に関する従業員の認識、検証可能な知識、信念。
  • コミュニケーション: 従業員同士のコミュニケーション方法、帰属意識、セキュリティ問題のサポート、インシデント報告。
  • コンプライアンス: 組織のセキュリティ ポリシーの遵守、そのようなポリシーの存在の認識、およびそのようなポリシーの内容を思い出す能力。
  • 規範: セキュリティ関連の組織的行動および慣行についての認識で、従業員やその同僚によって非公式に正常または逸脱しているもの。例: セキュリティ行動に関する隠れた期待や、情報通信技術の使用に関する暗黙のルールなど。
  • 責任: 情報のセキュリティ、ひいては組織のセキュリティを維持または危険にさらす重要な要素としての従業員の役割と責任に対する従業員の理解。

アンダーソンとライマーズ(2014)は、従業員がしばしば自分自身を組織の情報セキュリティの「取り組み」の一部であると認識しておらず、組織の情報セキュリティの最善の利益を無視した行動をとる傾向があることを明らかにしました。[ 321 ]研究によると、情報セキュリティ文化は継続的に改善する必要があることが示されています。『分析から変革への情報セキュリティ文化』の中で、著者らは「これは終わりのないプロセスであり、評価と変革、あるいは維持のサイクルである」と述べています。情報セキュリティ文化を管理するには、事前評価、戦略計画、運用計画、実装、事後評価という5つのステップを踏む必要があります。[ 322 ]

  • 事前評価:従業員の情報セキュリティに対する意識を把握し、現在のセキュリティポリシーを分析する
  • 戦略的計画:より良い啓発プログラムを構築するには、明確な目標を設定する必要があります。目標達成には、人材をクラスター化することが有効です。
  • 運用計画: 社内コミュニケーション、経営陣の賛同、セキュリティ意識、トレーニング プログラムに基づいて、優れたセキュリティ文化を構築します。
  • 実施:経営陣のコミットメント、組織メンバーとのコミュニケーション、全組織メンバー向けのコース、従業員のコミットメントを特徴とする必要がある[ 322 ]
  • 事後評価: これまでのステップの有効性をより正確に評価し、継続的な改善を図る

参照

参考文献

  1. ^ Joshi, Chanchala; Singh, Umesh Kumar (2017年8月). 「情報セキュリティリスク管理フレームワーク ― 大学ネットワークにおけるセキュリティリスク軽減に向けた一歩」. Journal of Information Security and Applications . 35 : 128–137 . doi : 10.1016/j.jisa.2017.06.006 . ISSN  2214-2126 .
  2. ^ダニエル・ケント、ティットマン・シェリダン(2006年8月)「有形・無形情報に対する市場の反応」The Journal of Finance61 (4): 1605–1643 . doi : 10.1111/j.1540-6261.2006.00884.x . SSRN 414701 . 
  3. ^フィンク、カースティン (2004)。知識の可能性の測定と不確実性。ドイツ大学。ISBN 978-3-322-81240-7. OCLC  851734708 .
  4. ^ a b Samonas, S.; Coss, D. (2014). 「CIAの逆襲:セキュリティにおける機密性、完全性、可用性の再定義」 . Journal of Information System Security . 10 (3): 21– 45. 2018年9月22日時点のオリジナルよりアーカイブ2018年1月25日閲覧。
  5. ^ Keyser, Tobias (2018年4月19日)、「セキュリティポリシー」、情報ガバナンスツールキット、CRC Press、pp.  57– 62、doi : 10.1201/9781315385488-13ISBN 978-1-315-38548-8{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  6. ^リチャード・ダンジグ、国防大学ワシントンD.C.国家戦略研究所 (1995). 「3つの大きな安全保障リスク:我々にとって最大の安全保障リスクとその対処法DTIC ADA421883 .
  7. ^ Lyu, MR; Lau, LKY (2000). 「ファイアウォールセキュリティ:ポリシー、テスト、および性能評価」 . Proceedings 24th Annual International Computer Software and Applications Conference. COMPSAC2000 . IEEE Comput. Soc. pp.  116– 121. doi : 10.1109/cmpsac.2000.884700 . ISBN 0-7695-0792-1. S2CID  11202223 .
  8. ^「データ標準化の欠如がデータ駆動型医療を阻害する仕組み」、データ駆動型医療、ホーボーケン、ニュージャージー州、米国:John Wiley & Sons, Inc.、p. 29、2015年10月17日、doi10.1002/9781119205012.ch3ISBN 978-1-119-20501-2{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  9. ^ 「ガートナー、デジタル破壊的イノベーションがあらゆる業界に影響を及ぼし、デジタルKPIは成功の測定に不可欠」ガートナー、2017年10月2日。 2018年1月25日閲覧
  10. ^ 「ガートナーの調査によると、CEOの42%がデジタルビジネス変革に着手している」ガートナー、2017年4月24日。 2018年1月25日閲覧
  11. ^フェッツァー、ジェームズ、ハイフィル、カッスー、ホッシソ、トーマス、ストラスナー、エリック、ヤング、ジェフリー(2018年11月)。 「米国産業における企業異質性を考慮する:企業レベルおよび事業所レベルのデータを用いた拡張供給・使用表と付加価値貿易」ワーキングペーパーシリーズ。全米経済研究所。doi 10.3386/ w25249。S2CID 169324096 
  12. ^「サイバー確率的攻撃に対する安全な推定」、クラウド制御システム、モデリングにおける新たな方法論とアプリケーション、エルゼビア:373– 404、2020年、doi10.1016/b978-0-12-818701-2.00021-4ISBN 978-0-12-818701-2S2CID  240746156{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  13. ^ Nijmeijer, H. (2003).機械システムの同期. World Scientific. ISBN 978-981-279-497-0. OCLC  262846185 .
  14. ^ 「サイバーセキュリティの専門分野の9つの種類」
  15. ^ 「ITU-T勧告データベース」
  16. ^ Cherdantseva Y.、Hilton J.「情報セキュリティと情報保証:その意味、範囲、目標に関する議論」『情報システム管理者の組織的、法的、技術的側面』 Almeida F.、Portela, I.(編)IGI Global Publishing.(2013年)
  17. ^ ISO/IEC 27000:2018 (E). (2018). 情報技術 – セキュリティ技術 – 情報セキュリティマネジメントシステム – 概要と用語. ISO/IEC.
  18. ^国家安全保障システム委員会:国家情報保証(IA)用語集、CNSS指令第4009号、2010年4月26日。
  19. ^ 「2008年用語集」(PDF) ISACA 2008年
  20. ^ Pipkin, D. (2000).『情報セキュリティ:グローバル企業の保護』 ニューヨーク:ヒューレット・パッカード社.
  21. ^ B., McDermott, E., & Geer, D. (2001). 情報セキュリティとは情報リスクマネジメントである. 2001年ワークショップ「新しいセキュリティパラダイムに関するNSPW '01」論文集, (pp. 97 – 104). ACM. doi : 10.1145/508171.508187
  22. ^ Anderson, JM (2003). 「なぜ情報セキュリティの新しい定義が必要なのか」. Computers & Security . 22 (4): 308– 313. doi : 10.1016/S0167-4048(03)00407-3 .
  23. ^ Venter, HS; Eloff, JHP (2003). 「情報セキュリティ技術の分類法」. Computers & Security . 22 (4): 299– 307. doi : 10.1016/S0167-4048(03)00406-1 .
  24. ^ Gold, S (2004年12月). 「境界を越えて迫りくる脅威」.情報セキュリティ技術レポート. 9 (4): 12– 14. doi : 10.1016/S1742-6847(04)00129-6 . ISSN 1363-4127 . 
  25. ^ Бучик, С. С.; Юдін, О. К.; Нетребко, Р. В. (2016年12月21日). 「情報通信システムの不正アクセスに対するセキュリティの機能タイプを決定する方法の分析」 . 『情報化と経営の問題』 . 4 (56). doi : 10.18372/2073-4751.4.13135 . ISSN 2073-4751 . 
  26. ^ラヒム、ヌール・H.(2006年3月)「マレーシアにおける人権と国内治安:レトリックと現実」国防技術情報センター、OCLC 74288358 
  27. ^クレイマー、デイヴィッド(2018年9月14日)「核の盗難と破壊工作の脅威は依然として高い、と報告書は警告」Physics Today (9) 30951. Bibcode : 2018PhT..2018i0951K . doi : 10.1063/pt.6.2.20180914a . ISSN 1945-0699 . S2CID 240223415 .  
  28. ^ワイルディング、エドワード(2017年3月2日)『情報リスクとセキュリティ:職場のコンピュータ犯罪の防止と調査』ラウトレッジ、ISBN 978-1-351-92755-0. OCLC  1052118207 .
  29. ^スチュワート、ジェームズ (2012). CISSP 学習ガイド. カナダ: John Wiley & Sons. pp.  255– 257. ISBN 978-1-118-31417-3
  30. ^ 「なぜ生産性の伸びは低下したのか?」 OECD経済調査:デンマーク2009年。OECD 。2009年。65~96頁。doi  10.1787 / eco_surveys - dnk-2009-4 - en。ISBN 978-92-64-07655-6. 2023年11月30日閲覧
  31. ^ 「個人情報窃盗:業界真剣に受け止めなければならない最新のデジタル攻撃」情報システムにおける問題』2007年。doi 10.48009/2_iis_2007_297-302。ISSN 1529-7314 
  32. ^ウェンデル=ペルソン、アンナ;フレドリック、ロンヘド (2017)。IT は、すべての目標を達成するために重要です。ウメオ大学、情報機関。OCLC 1233659973 
  33. ^ Shao, Ruodan; Skarlicki, Daniel P. (2014). 「従業員を不当に扱った顧客に対する妨害行為尺度」. PsycTESTSデータセット. doi : 10.1037/t31653-000 .
  34. ^キッチン、ジュリー(2008年6月)「7side – 会社情報、会社設立、不動産検索」『リーガル・インフォメーション・マネジメント8 (2):146. doi : 10.1017/s1472669608000364 . ISSN 1472-6696 . S2CID 144325193 .  
  35. ^ヤング、コートネイ(2018年5月8日)「パニック発作への対処法」『メンタルヘルスへの道』ラウトレッジ、pp.  209– 214、doi : 10.4324/9780429475474-32ISBN 978-0-429-47547-4{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  36. ^ Lequiller, F.; Blades, D. (2014).表7.7 フランス:非金融法人と非金融法人+非法人企業の利益分配の比較(PDF) . OECD . p. 217. doi : 10.1787/9789264214637-en . ISBN 978-92-64-21462-0. 2023年12月1日閲覧
  37. ^カサボフ、エドワード、ウォーロウ、アレックス(2012年)「どのようにしてすべてが起こったのか?」コンプライアンスビジネスとその顧客、ベイシングストーク:パルグレイブマクミラン、pp.  11– 20、doi10.1057/9781137271150_3ISBN 978-1-137-27115-0{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  38. ^ Gordon, Lawrence A. ; Loeb, Martin P. (2002年11月). 「情報セキュリティ投資の経済学」 . ACM Transactions on Information and System Security . 5 (4): 438– 457. doi : 10.1145/581271.581274 . S2CID 1500788 . 
  39. ^ Cho Kim, Byung; Khansa, Lara; James, Tabitha (2011年7月). 「個人の信頼と消費者のリスク認識」. Journal of Information Privacy and Security . 7 (3): 3– 22. doi : 10.1080/15536​​548.2011.10855915 . ISSN 1553-6548 . S2CID 144643691 .  
  40. ^ラーセン、ダニエル(2019年10月31日)「アメリカの秘密文化の創造:ウィルソン時代の外交における暗号技術」外交史dhz046. doi : 10.1093/dh/dhz046 . ISSN 0145-2096 . 
  41. ^「序論:シーザーは死んだ。シーザー万歳!」ジュリアス・シーザーの自己創造イメージとその劇的なその後、ブルームズベリー・アカデミック、2018年、doi10.5040/9781474245784.0005ISBN 978-1-4742-4578-4{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  42. ^スエトニウス・トランキッルス、ガイウス(2008年)『カエサル列伝』(オックスフォード・ワールドズ・クラシックス)ニューヨーク:オックスフォード大学出版局、p. 28。ISBN 978-0-19-953756-3
  43. ^シン、サイモン(2000). 『コードブック』 . アンカー. pp.  289–290 . ISBN 978-0-385-49532-5
  44. ^ Tan, Heng Chuan (2017).車両環境における信頼性とセキュリティの高い通信の実現に向けて(論文). 南洋理工大学. doi : 10.32657/10356/72758 .
  45. ^ジョンソン、ジョン (1997). 『英国シギントの進化:1653-1939』 女王陛下文具局. ASIN B00GYX1GX2 . 
  46. ^ Willison, M. (2018年9月21日). 「銀行は特別だったのか? 19世紀半ばのイギリスにおける対照的な視点」 .金融経済学:国際金融フロー. doi : 10.2139/ssrn.3249510 . 2023年12月1日閲覧。
  47. ^ Ruppert, K. (2011). 「公務秘密法(1889年、1911年新法、1920年、1939年、1989年改正)」。Hastedt, GP編著『スパイ、盗聴、そして秘密作戦:アメリカの諜報活動百科事典』第2巻。ABC-CLIO。589  590ページ。ISBN 978-1-85109-808-8
  48. ^ 「2. クレイトン法:違法な価格差別を定義する第2条の考察」連邦反トラスト法』コロンビア大学出版局。1930年12月31日。18  28。doi : 10.7312/ dunn93452-003。ISBN 978-0-231-89377-0. 2021年5月29日閲覧{{cite book}}:ISBN / 日付の非互換性(ヘルプ
  49. ^ Maer, Lucinda; Gay (2008年12月30日). 「公式秘密」(PDF) .アメリカ科学者連盟.
  50. ^トーマス、ロザムンド(2016年6月10日)「1911年法第2条に代わる1989年公務秘密法」『スパイ活動と秘密』(ラウトレッジ・リバイバルズ)、ラウトレッジ、pp.  267– 282、doi : 10.4324/9781315542515ISBN 978-1-315-54251-5{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  51. ^ 「公務秘密法:その適用範囲、適用された事例、疑問点」インディアン・エクスプレス紙2019年3月8日。 2020年8月7日閲覧
  52. ^シン、ガジェンドラ (2015 年 11 月)。 」「我々を縛っていた鎖を断ち切る:尋問室、インド国民軍、そして軍人アイデンティティの否定、1941~1947年」ブリル社第一次世界大戦デジタル図書館。doi 10.1163/2352-3786_dlws1_b9789004211452_019
  53. ^ダンカンソン、デニス(1982年6月)「フランス領インドシナの解体をめぐる争奪戦」アジア情勢. 13 (2): 161–170 . doi : 10.1080/03068378208730070 . ISSN 0306-8374 . 
  54. ^ホイットマン他 2017年、3頁。
  55. ^「アライド・パワー:カナダの第二次世界大戦中の水力発電の活用」アライド・パワー、トロント大学出版局、pp.  1-2、2015年12月31日、doi : 10.3138/9781442617117-003ISBN 978-1-4426-1711-7{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  56. ^グラットハール、ジョセフ・T.(2011年6月15日)「将校と下士官」、北バージニア陸軍の兵士、ノースカロライナ大学出版、pp.  83– 96、doi10.5149/9780807877869_glatthaar.11ISBN 978-0-8078-3492-3{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  57. ^ a bセバグ・モンテフィオーレ、H. (2011).エニグマ:暗号をめぐる戦い. オリオン社. 576頁. ISBN 978-1-78022-123-6
  58. ^ホイットマン他 2017年、4~5頁。
  59. ^ a bホイットマン他 2017年、5頁。
  60. ^デカール、ポール・R.(2012年4月26日).トーマス・マートン:21世紀の生活のための20世紀の知恵. ラターワース・プレス. pp.  160– 184. doi : 10.2307/j.ctt1cg4k28.13 . ISBN 978-0-7188-4069-3
  61. ^ Murphy, Richard C. (2009年9月1日). Processing-In-Memory (PIM) LDRDを用いたより強力で安価なスーパーコンピュータの構築 最終報告書 (報告書). doi : 10.2172/993898 .
  62. ^ 「インターネットの簡潔な歴史」 www.usg.edu 20208月7日閲覧
  63. ^「デルフトの眺望を歩く - インターネット上」Computers & Graphics . 25 (5): 927. 2001年10月. doi : 10.1016/s0097-8493(01)00149-2 . ISSN 0097-8493 . 
  64. ^ DeNardis, L. (2007). 「第24章:インターネットセキュリティの歴史」. de Leeuw, KMM; Bergstra, J. (編). 『情報セキュリティの歴史:包括的ハンドブック』. Elsevier. pp.  681–704 . ISBN 978-0-08-055058-9
  65. ^パリッシュ, アレン; インパグリアッツォ, ジョン; ラジ, ラジェンドラ・K.; サントス, エンリケ; アスガル, ムハンマド・リズワン; ヨサン, アウドゥン; ペレイラ, テレサ; スタヴロウ, エリアナ (2018年7月2日). 「2030年に向けたサイバーセキュリティ教育のグローバル展望:メタ分野の必要性」 .第23回ACMコンピュータサイエンス教育におけるイノベーションとテクノロジーに関する会議議事録. ACM. pp.  36– 54. doi : 10.1145/3293881.3295778 . hdl : 1822/71620 . ISBN 978-1-4503-6223-8. S2CID  58004425 .
  66. ^ Perrin, Chad (2008年6月30日). 「CIAトライアド」 . 2012年5月31日閲覧
  67. ^ Ham, Jeroen Van Der (2021年6月8日). 「サイバーセキュリティのより良い理解に向けて」デジタル脅威:研究と実践23):1-3。doi 10.1145 / 3442445。ISSN 2692-1626 。
  68. ^ a b Stoneburner, G.; Hayden, C.; Feringa, A. (2004). 「情報技術セキュリティのためのエンジニアリング原則」(PDF) . csrc.nist.gov. doi : 10.6028/NIST.SP.800-27rA . 2011年8月15日時点のオリジナル(PDF)からアーカイブ。 2011年8月28日閲覧
  69. ^ Beckers, K. (2015). 『パターンとセキュリティ要件:エンジニアリングに基づくセキュリティ標準の確立』 Springer. p. 100. ISBN 978-3-319-16664-3
  70. ^フィンバーグ、スティーブン・E.; スラヴコヴィッチ、アレクサンドラ・B. (2011)、「データプライバシーと機密性」、国際統計科学百科事典、pp.  342– 345、doi : 10.1007/978-3-642-04898-2_202ISBN 978-3-642-04897-5
  71. ^ a b c d e Andress, J. (2014).情報セキュリティの基礎:理論と実践における情報セキュリティの基礎を理解する. Syngress. p. 240. ISBN 978-0-12-800812-6
  72. ^ Boritz, J. Efrim (2005). 「情報インテグリティの中核概念に関する情報システム実務家の見解」.国際会計情報システムジャーナル. 6 (4). エルゼビア: 260– 279. doi : 10.1016/j.accinf.2005.07.001 .
  73. ^ Hryshko, I. (2020). 「土地の不法占拠と不法建設:戦術的調査手段の概念と種類」 .国際人道大学ヘラルド. 法学(43): 180–184 . doi : 10.32841/2307-1745.2020.43.40 . ISSN 2307-1745 . 
  74. ^ Kim, Bonn-Oh (2000年9月21日)、「データベース設計のための参照整合性」、High-Performance Web Databases、Auerbach Publications、pp.  427– 434、doi : 10.1201/9781420031560-34ISBN 978-0-429-11600-1{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  75. ^ Pevnev, V. (2018). 「脅威のモデル化と情報の完全性の確保」 .システムとテクノロジー. 2 (56): 80– 95. doi : 10.32836/2521-6643-2018.2-56.6 . ISSN 2521-6643 . 
  76. ^ Fan, Lejun; Wang, Yuanzhuo; Cheng, Xueqi; Li, Jinming; Jin, Shuyuan (2013年2月26日). 「プライバシー窃盗マルウェアのマルチプロセス連携分析」 .セキュリティとコミュニケーションネットワーク. 8 (1): 51– 67. doi : 10.1002/sec.705 . ISSN 1939-0114 . 
  77. ^「データモデルの完全性一貫性、完全性」。継続的な改善のためのデータ品質測定。MKビジネスインテリジェンスシリーズ。エルゼビア。2013年。e11  e19頁。doi 10.1016/b978-0-12-397033-6.00030-4。ISBN 978-0-12-397033-6. 2021年5月29日閲覧
  78. ^ SPIE(国際光学光技術協会)のビデオ。doi:10.1117 / 12.2266326.5459349132001
  79. ^ 「情報システム専攻の卒業生が活用するコミュニケーションスキル」情報システムに関する課題』 2005年. doi : 10.48009/1_iis_2005_311-317 . ISSN 1529-7314 . 
  80. ^ケーブル故障による電力供給の停止 ボストン・エジソン社システム(報告書). 1980年7月1日. doi : 10.2172/5083196 . OSTI 5083196. 2022年1月18日閲覧 
  81. ^ Loukas, G.; Oke, G. (2010年9月) [2009年8月]. 「サービス拒否攻撃に対する防御:概観」(PDF) . Comput. J. 53 (7): 1020– 1037. doi : 10.1093/comjnl/bxp078 . 2012年3月24日時点のオリジナル(PDF)からアーカイブ。 2015年8月28日閲覧
  82. ^「臨床活動を実施できること」、定義、Qeios、2020年2月2日、doi10.32388/dine5xS2CID 241238722 
  83. ^太田麻衣、藤井健夫(2011年5月)「共有プライマリスペクトルにおける反復協調センシングによるセンシング能力の向上」 2011 IEEE国際ダイナミックスペクトラムアクセスネットワークシンポジウム(DySPAN) IEEE. pp.  623– 627. doi : 10.1109/dyspan.2011.5936257 . ISBN 978-1-4577-0177-1. S2CID  15119653 .
  84. ^情報技術. 情報セキュリティインシデントマネジメント, BSI英国規格, doi : 10.3403/30387743
  85. ^ Blum, Dan (2020)、「セキュリティ関連の役割の特定と調整」、Rational Cyber​​security for Business、カリフォルニア州バークレー:Apress、pp.  31– 60、doi10.1007/978-1-4842-5952-8_2ISBN 978-1-4842-5951-1S2CID  226626983{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  86. ^ McCarthy, C. (2006). 「デジタル図書館:セキュリティと保存に関する考慮事項」 . Bidgoli, H. (編). 『情報セキュリティ、脅威、脆弱性、予防、検出、管理ハンドブック』 第3巻. John Wiley & Sons. pp.  49– 76. ISBN 978-0-470-05121-4
  87. ^情報技術。オープンシステム相互接続。オープンシステムのセキュリティフレームワーク、BSI英国規格、doi : 10.3403/01110206u
  88. ^クリストフォリ、ラルフ (2014 年 1 月 1 日)、ハウフ、ラインハルト; Akademie、Merz (編)、「こうなる可能性はあった」、Julio Rondo - Ok、Meta Memory、Wilhelm Fink Verlag、doi : 10.30965/9783846757673ISBN 978-3-7705-5767-7{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  89. ^ Atkins, D. (2021年5月). 「CBORオブジェクト署名および暗号化(COSE)におけるWalnutデジタル署名アルゴリズムの使用」 . RFC Editor . doi : 10.17487/rfc9021 . S2CID 182252627. 2022年1月18日閲覧 
  90. ^ Le May, I. (2003)、「石油化学産業における構造健全性」、包括的構造健全性、エルゼビア、pp.  125– 149、doi : 10.1016/b0-08-043749-4/01001-6ISBN 978-0-08-043749-1{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  91. ^ "oecd.org" (PDF) . 2011年5月16日時点のオリジナル(PDF)からアーカイブ2014年1月17日閲覧。
  92. ^「GSSP(一般に認められたシステムセキュリティ原則):アビリーンへの旅」. Computers & Security . 15 (5): 417. 1996年1月. doi : 10.1016/0167-4048(96)82630-7 . ISSN 0167-4048 . 
  93. ^ Slade, Rob. 「(ICS)2 Blog」 . 2017年11月17日時点のオリジナルよりアーカイブ2017年11月17日閲覧。
  94. ^ Aceituno, Vicente. 「オープン情報セキュリティ成熟度モデル」 . 2017年2月12日閲覧
  95. ^ Sodjahin, Amos; Champagne, Claudia; Coggins, Frank; Gillet, Roland (2017年1月11日). 「リスクの先行指標か遅行指標か? 財務外パフォーマンススコアの情報内容」. Journal of Asset Management . 18 (5): 347– 370. doi : 10.1057/s41260-016-0039-y . ISSN 1470-8272 . S2CID 157485290 .  
  96. ^ Reynolds, EH (1995年7月22日). 「葉酸は有害作用を引き起こす可能性がある」 . BMJ . 311 (6999): 257. doi : 10.1136/bmj.311.6999.257 . ISSN 0959-8138 . PMC 2550299. PMID 7503870 .   
  97. ^ランドール、アラン(2011)、「危害、リスク、脅威」、リスクと予防、ケンブリッジ:ケンブリッジ大学出版局、pp.  31-42doi10.1017/cbo9780511974557.003ISBN 978-0-511-97455-7{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  98. ^ Grama, JL (2014).情報セキュリティにおける法的問題. Jones & Bartlett Learning. p. 550. ISBN 978-1-284-15104-6
  99. ^キャノン、デイビッド・L.(2016年3月4日)「監査プロセス」 CISA :公認情報システム監査人学習ガイド(第4版)pp.  139– 214. doi : 10.1002/9781119419211.ch3 . ISBN 978-1-119-05624-9
  100. ^ CISAレビューマニュアル2006 . 情報システム監査・管理協会. 2006年. p. 85. ISBN 978-1-933284-15-6
  101. ^ Kadlec, Jaroslav (2012年11月2日). 「2次元プロセスモデリング(2DPM)」. Business Process Management Journal . 18 (6): 849– 875. doi : 10.1108/14637151211283320 . ISSN 1463-7154 . 
  102. ^「すべての対策には何らかの価値があるが、完璧な対策はない」Beyond Fear、ニューヨーク:Springer-Verlag、pp.  207– 232、2003年、doi10.1007/0-387-21712-6_14ISBN 0-387-02620-7{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  103. ^「データ侵害:デロイトが深刻な打撃を受ける一方、EquifaxとYahooに関する詳細が明らかに」Computer Fraud & Security . 2017 (10): 1– 3. 2017年10月. doi : 10.1016/s1361-3723(17)30086-6 . ISSN 1361-3723 . 
  104. ^ Spagnoletti, Paolo; Resca A. (2008). 「情報セキュリティ管理の二重性:予測可能な脅威と予測不可能な脅威への対処」 . Journal of Information System Security . 4 (3): 46– 62.
  105. ^ Yusoff, Nor Hashim; Yusof, Mohd Radzuan (2009年8月4日). 「過酷な環境におけるHSEリスク管理」. All Days SPE-122545-MS. SPE. doi : 10.2118/122545-ms .
  106. ^バクスター・ウェズリー (2010).完売:オタワのダウンタウンのビジネス改善地区が都市空間を確保し、価値を高めた方法(論文). カールトン大学. doi : 10.22215/etd/2010-09016 .
  107. ^ de Souza, André; Lynch, Anthony (2012年6月). 「投資信託のパフォーマンスは景気循環によって変化するのか?」マサチューセッツ州ケンブリッジ. doi : 10.3386/w18137 . S2CID 262620435 . {{cite web}}:欠落または空|url=(ヘルプ)
  108. ^ Kiountouzis, EA; Kokolakis, SA (1996年5月31日).情報システムセキュリティ:21世紀の情報社会への対応. ロンドン: Chapman & Hall, Ltd. ISBN 978-0-412-78120-9
  109. ^ニューサム、B. (2013). 『セキュリティとリスクマネジメントの実践入門』 SAGE Publications. p. 208. ISBN 978-1-4833-2485-2
  110. ^ Whitman, ME; Mattord, HJ (2016). 『情報セキュリティマネジメント』(第5版). Cengage Learning. p. 592. ISBN 978-1-305-50125-6
  111. ^「ハードウェア、ファブリック、接着剤、その他の劇場用品」、イラストレイテッド・シアター・プロダクション・ガイド、ラウトレッジ、pp.  203– 232、2013年3月20日、doi : 10.4324/9780080958392-20ISBN 978-0-08-095839-2{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  112. ^リーズン、ジェームズ(2017年3月2日)、「安全でない行為の認識」、人間の貢献、CRCプレス、pp.  69-103doi10.1201 / 9781315239125-7ISBN 978-1-315-23912-5{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  113. ^「情報セキュリティ手順と標準」、情報セキュリティポリシー、手順、標準、ボカラトン、フロリダ州:Auerbach Publications、pp.  81– 92、2017年3月27日、doi10.1201/9781315372785-5ISBN 978-1-315-37278-5{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  114. ^荘、海豊;チェン、ユウ。盛、仙府。ホン、リリ。ガオ、ルイラン。荘、暁芬(2020年6月25日)。「図 S1: それぞれの単一のサイン遺伝子の予後への影響の分析」ピアJ8 : e9437。土井10.7717/peerj.9437/supp-1
  115. ^ Standaert, B.; Ethgen, O.; Emerson, RA (2012年6月). 「CO4費用対効果分析 - あらゆる状況に適しているか?」 . Value in Health . 15 (4): A2. doi : 10.1016/j.jval.2012.03.015 . ISSN 1098-3015 . 
  116. ^「GRPキャノピーは費用対効果の高いドア上部の保護を提供する」Reinforced Plastics . 40 (11): 8. 1996年11月. doi : 10.1016/s0034-3617(96)91328-4 . ISSN 0034-3617 . 
  117. ^「図2.3. 個人の状況に応じた低パフォーマンス者になる相対リスク(2012年)」doi : 10.1787/888933171410{{cite web}}:欠落または空|url=(ヘルプ)
  118. ^ Stoneburner, Gary; Goguen, Alice; Feringa, Alexis (2002). 「NIST SP 800-30 情報技術システムのためのリスク管理ガイド」 . doi : 10.6028/NIST.SP.800-30 . 2022年1月18日閲覧
  119. ^ウェルチ、シェイ(2012年)「私は選択してよいのか?私は選択できるのか?抑圧と選択」『自由の理論』パルグレイブ・マクミラン、pp.  53– 72、doi10.1057/9781137295026_4ISBN 978-1-137-29502-6{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  120. ^ Parker, Donn B. (1994年1月). 「セキュリティ管理策の選択と実装ガイド」.情報システムセキュリティ. 3 (2): 75– 86. doi : 10.1080/10658989409342459 . ISSN 1065-898X . 
  121. ^ Zoccali, Carmine; Mallamaci, Francesca; Tripepi, Giovanni (2007年9月25日). 「ゲスト編集者:Rajiv Agarwal:心血管リスクプロファイル評価と薬物管理が最優先」Seminars in Dialysis . 20 (5): 405– 408. doi : 10.1111/j.1525-139x.2007.00317.x . ISSN 0894-0959 . PMID 17897245. S2CID 33256127 .   
  122. ^ ISO/IEC 27001に基づくISMS管理策の導入および監査ガイド。ロンドン:BSI British Standards。2013年11月1日。doi 10.3403 / 9780580829109。ISBN 978-0-580-82910-9
  123. ^ Johnson, L. (2015).セキュリティ管理の評価、テスト、および評価ハンドブック. Syngress. p. 678. ISBN 978-0-12-802564-2
  124. ^情報技術。セキュリティ技術。ISO/IEC 27001およびISO/IEC 27002の改訂版のマッピング、BSI英国規格、doi : 10.3403/30310928
  125. ^ a bシュナイアーのセキュリティに関する見解:クラウドにおけるセキュリティ
  126. ^「管理的制御」、職業人間工学、CRC Press、pp.  443– 666、2003年3月26日、doi : 10.1201/9780203507933-6ISBN 978-0-429-21155-3{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  127. ^ 「Security Onion Control Scripts」 .応用ネットワークセキュリティモニタリング. エルゼビア. 2014. pp.  451– 456. doi : 10.1016/b978-0-12-417208-1.09986-4 . ISBN 978-0-12-417208-1. 2021年5月29日閲覧
  128. ^ Peltier, Thomas R. (2001年12月20日)、「概要」情報セキュリティポリシー、手順、および標準、Auerbach Publications、doi : 10.1201/9780849390326ISBN 978-0-8493-1137-6{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  129. ^電気保護リレー。すべての保護リレーに関する情報と要件、BSI英国規格、doi : 10.3403/bs142-1
  130. ^ディバティスタ、ジョセフ D.ライマー、ジェームス D.スタット、マイケル。マスッチ、ジョバンニ D.ビオンディ、ピエラ。ブラウワー、マールテン・デ;マイケル・バンス(2019年2月6日)。「補足情報 4: MEGAN バージョン 5.11.3 で割り当てられた、アルファベット順のすべての結合ファミリーのリスト」ピアJ7 : e6379。土井: 10.7717/peerj.6379/supp-4
  131. ^ Kim, Sung-Won (2006年3月31日). 「ディレクトリの分類クラスと分類情報リソースの定量分析」 . Journal of Information Management . 37 (1): 83– 103. doi : 10.1633/jim.2006.37.1.083 . ISSN 0254-3621 . 
  132. ^ a b Bayuk, J. (2009). 「第4章 情報分類」 . Axelrod, CW; Bayuk, JL; Schutzer, D. (編). 『エンタープライズ情報セキュリティとプライバシー』 . Artech House. pp.  59– 70. ISBN 978-1-59693-191-6
  133. ^「情報化時代へようこそ」Overload!、ホーボーケン、ニュージャージー州、米国:John Wiley & Sons、Inc.、pp.  43– 65、2015年9月11日、doi10.1002/9781119200642.ch5ISBN 978-1-119-20064-2{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  134. ^ Crooks, S. (2006). 「102. ケーススタディ:露出制御の取り組みが他の重要な設計上の考慮事項よりも優先される場合」. AIHce 2006 . AIHA. pp. V102. doi : 10.3320/1.2759009 (2025年7月1日現在非アクティブ).{{cite book}}: CS1 maint: DOI inactive as of July 2025 (link)
  135. ^ 「情報セキュリティのためのビジネスモデル(BMIS)」 ISACA。2018年1月26日時点のオリジナルよりアーカイブ。 2018年1月25日閲覧
  136. ^マコーリフ、レオ(1987年1月)「最高機密/企業秘密:制限情報へのアクセスと保護」『政府情報季刊4 (1): 123–124 . doi : 10.1016/0740-624x(87)90068-2 . ISSN 0740-624X . 
  137. ^ Iqbal, Javaid; Soroya, Saira Hanif; Mahmood, Khalid (2023年1月5日). 「オンラインバンキングにおける金融情報セキュリティ行動」 . Information Development . 40 (4): 550– 565. doi : 10.1177/02666669221149346 . ISSN 0266-6669 . S2CID 255742685 .  
  138. ^ハイルディン、イスマイル・モフド;シデク、シャフルル・ナイム。アブドゥル・マジード、アンワルPP;ラズマン、モフド・アズライ・モハド。プジ、アスマラニ・アハマド。メリーランド州ハズリナ州ユソフ(2021年2月25日)。「図 7: すべての特徴に対する各モデルの分類精度PeerJ コンピュータ サイエンス7 : e379。土井: 10.7717/peerj-cs.379/fig-7
  139. ^「資産分類」、情報セキュリティの基礎、Auerbach Publications、pp.  327– 356、2013年10月16日、doi : 10.1201/b15573-18ISBN 978-0-429-13028-1{{citation}}: CS1 maint: work parameter with ISBN (link)
  140. ^ a b Almehmadi, Abdulaziz; El-Khatib, Khalil (2013). 「承認済み!アクセス拒否、未承認!アクセス許可」 .第6回国際情報ネットワークセキュリティ会議議事録. Sin '13. ニューヨーク、米国: ACM Press. pp.  363– 367. doi : 10.1145/2523514.2523612 . ISBN 978-1-4503-2498-4. S2CID  17260474 .
  141. ^ a bペイス、キャシー(2020年)「心の国も攻撃しなければならない」インフォメーションハンターズ、オックスフォード大学出版局、pp.  16– 39、doi10.1093/oso/9780190944612.003.0003ISBN 978-0-19-094461-2{{citation}}: CS1 maint: work parameter with ISBN (link)
  142. ^ Fugini, MG; Martella, G. (1988年1月). 「アクセス制御メカニズムのペトリネットモデル」.情報システム. 13 (1): 53– 63. doi : 10.1016/0306-4379(88)90026-9 . ISSN 0306-4379 . 
  143. ^情報技術。個人識別。ISO準拠運転免許証、BSI英国規格、doi : 10.3403/30170670u
  144. ^サントス、オマール (2015). CCNA セキュリティ 210-260 公式認定ガイド. シスコ プレス. ISBN 978-1-58720-566-8. OCLC  951897116 .
  145. ^「アサーションとは何か?」アサーショントレーニング、アビンドン、イギリス:テイラー&フランシス、pp.  1-7、1991年、doi10.4324/9780203169186_chapter_oneISBN 978-0-203-28556-5{{citation}}: CS1 maint: work parameter with ISBN (link)
  146. ^ Doe, John (1960). 「イリノイ州のフィールドシーズンは5月2日に始まる」. Soil Horizo​​ns . 1 (2): 10–11 . doi : 10.2136/sh1960.2.0010 . ISSN 2163-2812 . 
  147. ^ Leech, M. (1996年3月). 「SOCKS V5のユーザー名/パスワード認証」 . doi : 10.17487/rfc1929 . 2022年1月18日閲覧
  148. ^カーク、ジョン、ウォール、クリスティン(2011)、「テラー、セラー、組合活動家:銀行員の階級形成と変化するアイデンティティ」、ワーク・アンド・アイデンティティ、ロンドン:パルグレイブ・マクミランUK、pp.  124– 148、doi10.1057/9780230305625_6ISBN 978-1-349-36871-6{{citation}}: CS1 maint: work parameter with ISBN (link)
  149. ^デヴィ、ミラ・ヌルマラ (2020年12月23日). 「Perbandingan Kinerja Teller Kriya Dan Teller Organik Pt. Bank Syariah Mandiri」ニスバ: ジャーナル・ペルバンカン・シャリア6 (2): 75.土井: 10.30997/jn.v6i2.1932ISSN 2528-6633S2CID 234420571  
  150. ^ヴィル、ジョン(2013)、「ライセンスチェック」、修正第4条百科事典、ワシントンDC:CQプレス、doi10.4135 / 9781452234243.n462ISBN 978-1-60426-589-7
  151. ^「彼が言った/彼女が言った」『My Ghost Has a Name 』 、サウスカロライナ大学出版局、pp.  17– 32、doi : 10.2307/j.ctv6wgjjv.6ISBN 978-1-61117-827-2{{citation}}: CS1 maint: work parameter with ISBN (link)
  152. ^ Bacigalupo, Sonny A.; Dixon, Linda K.; Gubbins, Simon; Kucharski, Adam J.; Drewe, Julian A. (2020年10月26日). 「補足情報8:様々な種類の接触を監視するために使用される方法」 . PeerJ . 8 : e10221. doi : 10.7717/peerj.10221/supp-8 .
  153. ^ Igelnik, Boris M.; Zurada, Jacek (2013).計算知能のための効率性とスケーラビリティ手法. 情報科学参考文献. ISBN 978-1-4666-3942-3. OCLC  833130899 .
  154. ^「保険スーパービルにはあなたの名前がプロバイダーとして記載されている必要があります」、最初の顧客に会う前に、ラウトレッジ、pp.  37– 38、2005年1月1日、doi10.4324 / 9780203020289-11ISBN 978-0-203-02028-9{{citation}}: CS1 maint: work parameter with ISBN (link)
  155. ^キッセル、ジョー(2019年4月11日)『パスワードを管理しよう』alt concepts incorporated. ISBN 978-1-4920-6638-5. OCLC  1029606129 .
  156. ^「クイーンズランド州の新しいスマート運転免許証が発表されました」。Card Technology Today . 21 (7): 5. 2009年7月. doi : 10.1016/s0965-2590(09)70126-4 . ISSN 0965-2590 . 
  157. ^ローレンス・リバモア国立研究所. 米国エネルギー省. 科学技術情報局 (1995).セキュリティアクセスパネルインターフェースの人間工学的および人間工学的評価. 米国エネルギー省. OCLC 727181384 . 
  158. ^ Lee, Paul (2017年4月). 「指紋の魅力:指紋はいかにして主流の生体認証の先駆者となるか」. Biometric Technology Today . 2017 (4): 8–11 . doi : 10.1016/s0969-4765(17)30074-7 . ISSN 0969-4765 . 
  159. ^ランドロック、ピーター (2005). 「二要素認証」.暗号とセキュリティ百科事典. p. 638. doi : 10.1007/0-387-23483-7_443 . ISBN 978-0-387-23473-1
  160. ^「図1.5. 結婚は依然としてカップル間の最も一般的なパートナーシップの形態である(2000~2007年)」doi : 10.1787/888932392533{{cite web}}:欠落または空|url=(ヘルプ)
  161. ^アクペニノール、ジェームズ・オウォファサ (2013). 『現代の安全保障概念』 ブルーミントン、インディアナ州: AuthorHouse. p. 135. ISBN 978-1-4817-8232-6. 2018年1月18日閲覧
  162. ^ Richards, G. (2012年4月). 「ワンタイムパスワード(OTP)事前認証」. doi : 10.17487/rfc6560 .{{cite web}}:欠落または空|url=(ヘルプ)
  163. ^ Schumacher, Dietmar (2016年4月3日). 「85年を経ての地表地球化学探査:これまでの成果と今後の課題」 .国際会議・展示会, バルセロナ, スペイン, 2016年4月3日~6日. SEGグローバル会議抄録. Society of Exploration Geophysicists and American Association of Petroleum Geologists. p. 100. doi : 10.1190/ice2016-6522983.1 .
  164. ^「認可および承認プログラム」、内部統制ポリシーおよび手順、米国ニュージャージー州ホーボーケン:John Wiley & Sons、Inc.、pp.  69– 72、2015年10月23日、doi10.1002/9781119203964.ch10ISBN 978-1-119-20396-4{{citation}}: CS1 maint: work parameter with ISBN (link)
  165. ^「どのような条件下でどのような対応をするのか?」地方政策と欧州社会基金、ポリシー・プレス、pp.  81– 102、2019年10月2日、doi : 10.2307/j.ctvqc6hn1.12ISBN 978-1-4473-4652-4S2CID  241438707{{citation}}: CS1 maint: work parameter with ISBN (link)
  166. ^ Cheng, Liang; Zhang, Yang; Han, Zhihui (2013年6月). 「異なるオペレーティングシステム間のアクセス制御メカニズムの定量的測定」 . 2013 IEEE 第7回ソフトウェアセキュリティと信頼性に関する国際会議. IEEE. pp.  50– 59. doi : 10.1109/sere.2013.12 . ISBN 978-1-4799-0406-8. S2CID  13261344 .
  167. ^ a b Weik, Martin H. (2000)、「裁量アクセス制御」、コンピュータサイエンスとコミュニケーション辞書、p. 426、doi : 10.1007/1-4020-0613-6_5225ISBN 978-0-7923-8425-0
  168. ^ Grewer, C.; Balani, P.; Weidenfeller, C.; Bartusel, T.; Zhen Tao; Rauen, T. (2005年8月10日). 「グルタミン酸トランスポーターEAAC1ホモ三量体の個々のサブユニットは互いに独立して機能する」 .生化学. 44 ( 35): 11913– 11923. doi : 10.1021/bi050987n . PMC 2459315. PMID 16128593 .  
  169. ^エリス・オームロッド、ジーン(2012年)『教育心理学のエッセンス:効果的な指導を導くための大きなアイデア』ピアソン出版、ISBN 978-0-13-136727-2. OCLC  663953375 .
  170. ^ Belim, SV; Bogachenko, NF; Kabanov, AN (2018年11月). 「ロールベースアクセス制御における権限の重大度レベル」 . 2018 Dynamics of Systems, Mechanisms and Machines (Dynamics) . IEEE. pp.  1– 5. arXiv : 1812.11404 . doi : 10.1109/dynamics.2018.8601460 . ISBN 978-1-5386-5941-0. S2CID  57189531 .
  171. ^ Davis, Peter T. (2002年5月15日)、「TACACSと拡張TACACSの設定」Ciscoルータのセキュリティ保護と制御、Auerbach Publications、doi : 10.1201/9781420031454ISBN 978-0-8493-1290-8{{citation}}: CS1 maint: work parameter with ISBN (link)
  172. ^「効果的なセキュリティポリシーの開発」、リスク分析とセキュリティ対策の選択、CRC Press、pp.  261– 274、2009年12月18日、doi10.1201/9781420078718-18ISBN 978-0-429-24979-2{{citation}}: CS1 maint: work parameter with ISBN (link)
  173. ^ 「主要なネットワークとシステムを監視するための監査証跡の使用は、コンピュータセキュリティの重大な弱点の一部であり続けるべきである」 www.treasury.gov 2017年10月6日閲覧
  174. ^「カナダの医薬品アクセス規制の修正に関する法案C398について知っておくべきこと」人権文書オンライン. doi : 10.1163/2210-7975_hrd-9902-0152 .
  175. ^ Salazar, Mary K. (2006年1月). 「不確実なリスクへの対処:予防原則を適用するタイミング」. AAOHNジャーナル. 54 (1): 11– 13. doi : 10.1177/216507990605400102 . ISSN 0891-0162 . S2CID 87769508 .  
  176. ^「政府が職員をどのように検閲しているかについて、もっと知る必要がある」『Human Rights Documents Onlinedoi : 10.1163/2210-7975_hrd-9970-2016117 .
  177. ^ Pournelle, Jerry (2004年4月22日)、「知っておくべき1001のコンピュータ用語」1001 Computer Words You Need to Know: The Ultimate Guide To The Language Of Computers、Oxford Scholarship Online、Oxford University Press、doi : 10.1093/oso/9780195167757.003.0007ISBN 978-0-19-516775-7、 2021年7月30日閲覧
  178. ^イーストトム、ウィリアム(2021)、「楕円曲線暗号」、現代暗号、Cham:Springer International Publishing、pp.  245– 256、doi10.1007/978-3-030-63115-4_11ISBN 978-3-030-63114-7S2CID  234106555{{citation}}: CS1 maint: work parameter with ISBN (link)
  179. ^フォルマン、レベッカ(2014年3月1日). 「経験者から:メンタリングにおける情報探索」. IConference 2014 Proceedings(論文). iSchools. doi : 10.9776/14322 . hdl : 1903/14292 . ISBN 978-0-9884900-1-7
  180. ^ Weiss, Jason (2004)、「メッセージダイジェスト、メッセージ認証コード、デジタル署名」、Java Cryptography Extensions、Elsevier、pp.  101– 118、doi : 10.1016/b978-012742751-5/50012-8ISBN 978-0-12-742751-5{{citation}}: CS1 maint: work parameter with ISBN (link)
  181. ^ Bider, D. (2018年3月). 「セキュアシェル(SSH)プロトコルにおけるSHA-256およびSHA-512を使用したRSA鍵の使用」(PDF) . RFCシリーズ. doi : 10.17487/RFC8332 . 2023年11月30日閲覧
  182. ^ Noh, Jaewon; Kim, Jeehyeong; Kwon, Giwon; Cho, Sunghyun (2016年10月). 「公開鍵暗号を用いたWPA/WPA2-PSKの安全な鍵交換方式」 . 2016 IEEE International Conference on Consumer Electronics-Asia (ICCE-Asia) . IEEE. pp.  1– 4. doi : 10.1109/icce-asia.2016.7804782 . ISBN 978-1-5090-2743-9. S2CID  10595698 .
  183. ^ Van Buren, Roy F. (1990年5月). 「データ暗号化標準を使用してファイルとデータベースを暗号化する方法」. ACM SIGSAC Review . 8 (2): 33– 39. doi : 10.1145/101126.101130 . ISSN 0277-920X . 
  184. ^ボノー、ジョセフ(2016)、「借りられるのに買うべきなのはなぜか?」金融暗号とデータセキュリティ、コンピュータサイエンスの講義ノート、第9604巻、ベルリン、ハイデルベルク:シュプリンガーベルリンハイデルベルク、pp.  19– 26、doi10.1007 / 978-3-662-53357-4_2ISBN 978-3-662-53356-7S2CID  18122687{{citation}}: CS1 maint: work parameter with ISBN (link)
  185. ^コールマン、ヘザー、アンドロン、ジェフ(2015年8月1日)「GIS専門家と政策専門家が多目的計画プロセスにおけるMarxanの使用について知っておくべきこと」、Ocean Solutions、Earth Solutions、Esri Press、doi10.17128 / 9781589483651_2ISBN 978-1-58948-365-1{{citation}}: CS1 maint: work parameter with ISBN (link)
  186. ^ a bランドロック、ピーター(2005年)、「鍵暗号化鍵」、暗号とセキュリティ百科事典、pp.  326– 327、doi10.1007 / 0-387-23483-7_220ISBN 978-0-387-23473-1
  187. ^ Giri, Debasis; Barua, Prithayan; Srivastava, PD; Jana, Biswapati (2010)、「長い機密メッセージの暗号化と復号のための暗号システム」、Information Security and Assurance、Communications in Computer and Information Science、vol. 76、ベルリン、ハイデルベルク:Springer Berlin Heidelberg、pp.  86– 96、Bibcode2010isa..conf...86Gdoi10.1007/978-3-642-13365-7_9ISBN 978-3-642-13364-0
  188. ^ Vallabhaneni, SR (2008). 『企業経営、ガバナンス、倫理のベストプラクティス』John Wiley & Sons. p. 288. ISBN 978-0-470-25580-3
  189. ^ Shon Harris (2003). All-in-one CISSP Certification Exam Guide (第2版). Emeryville, California : McGraw-Hill /Osborne. ISBN 978-0-07-222966-0
  190. ^ボンカルド、ロバート(2018年9月20日)「ジャン=クロード・ミルナーの『マラルメ:何も起こらなかった』」エディンバラ大学出版局. 1 . doi : 10.3366/edinburgh/9781474429528.003.0005 . S2CID 172045429 . 
  191. ^「オペレーショナル・デューデリジェンスの重要性」、ヘッジファンド・オペレーショナル・デューデリジェンス、ホーボーケン、ニュージャージー州、米国:ジョン・ワイリー・アンド・サンズ社、pp.  49– 67、2015年10月16日、doi10.1002/9781119197485.ch2ISBN 978-1-119-19748-5{{citation}}: CS1 maint: work parameter with ISBN (link)
  192. ^ホール、ゲイロード・C.(1917年3月)「一般開業医が鼻について知っておくべき重要な診断ポイント」サザン・メディカル・ジャーナル. 10 ( 3): 211. doi : 10.1097/00007611-191703000-00007(2025年7月1日現在休止). ISSN 0038-4348 . {{cite journal}}: CS1 maint: DOI inactive as of July 2025 (link)
  193. ^ Renes、J. (1999)。Landschappen van Maas en Peel: 北リンブルクのミッデン ミッデン リンブルグに沿って歴史と地理を記録することができます。アイスマ。ISBN 90-74252-84-2. OCLC  782897414 .
  194. ^トーマス・ブルック(2017年6月22日)「過去の歩みを振り返る」オックスフォード・スカラーシップ・オンライン. doi : 10.1093/acprof:oso/9780190456368.003.0002 . ISBN 978-0-19-045639-9
  195. ^ Lundgren, Regina E. (2018).リスクコミュニケーション:環境・安全・健康リスクの伝達のためのハンドブック. Wiley. ISBN 978-1-119-45613-1. OCLC  1043389392 .
  196. ^ジェンセン、エリック・タルボット(2020年12月3日)、「サイバー活動におけるデューデリジェンス」、国際法秩序におけるデューデリジェンス、オックスフォード大学出版局、pp.  252– 270、doi10.1093/oso/9780198869900.003.0015ISBN 978-0-19-886990-0{{citation}}: CS1 maint: work parameter with ISBN (link)
  197. ^ 「注意義務リスク分析基準」 DoCRA 2018年8月14日時点のオリジナルよりアーカイブ。 2018年8月15日閲覧
  198. ^サットン、アダム; チャーニー、エイドリアン; ホワイト、ロブ (2008)、「犯罪予防の評価」、犯罪予防、ケンブリッジ:ケンブリッジ大学出版局、pp.  70– 90、doi : 10.1017/cbo9780511804601.006ISBN 978-0-511-80460-1{{citation}}: CS1 maint: work parameter with ISBN (link)
  199. ^チェック、エリカ(2004年9月15日)「FDA、抗うつ薬の小児へのリスクを検討」Nature . doi : 10.1038/news040913-15 . ISSN 0028-0836 . 
  200. ^オークランド、クレシダ(2017年8月16日). 「私の指示から私を守る:認知症における事前指示のための適切な保護策の確保」. Medical Law Review . 26 (1): 73–97 . doi : 10.1093/medlaw/fwx037 . ISSN 0967-0742 . PMID 28981694 .  
  201. ^ Takach, George S. (2016)、「侵害訴訟への備え」、データ侵害準備と対応、エルゼビア、pp.  217– 230、doi : 10.1016/b978-0-12-803451-4.00009-5ISBN 978-0-12-803451-4{{citation}}: CS1 maint: work parameter with ISBN (link)
  202. ^ 「ISO 17799|ISO/IEC 17799:2005(E)」情報技術 - セキュリティ技術 - 情報セキュリティマネジメントのための実践規範. ISO著作権事務局. 2005年6月15日.  90~ 94頁.
  203. ^ Fowler, Kevvie (2016)、「コンピュータセキュリティインシデント対応計画の作成」、データ侵害準備と対応、Elsevier、pp.  49– 77、doi : 10.1016/b978-0-12-803451-4.00003-4ISBN 978-0-12-803451-4{{citation}}: CS1 maint: work parameter with ISBN (link)
  204. ^ジョンソン、レイトンR.(2014)、「パート1.インシデント対応チーム」、コンピュータインシデント対応およびフォレンジックチーム管理、エルゼビア、pp.  17– 19、doi10.1016 / b978-1-59749-996-5.00038-8ISBN 978-1-59749-996-5{{citation}}: CS1 maint: work parameter with ISBN (link)
  205. ^ Kampfner, Roberto R. (1985). 「情報システム要件の形式仕様」.情報処理と管理. 21 (5): 401– 414. doi : 10.1016/0306-4573(85)90086-x . ISSN 0306-4573 . 
  206. ^ Jenner, HA (1995).粉砕石炭灰からの元素溶出の生態毒性リスク評価. sn] OCLC 905474381 . 
  207. ^ 「デスクトップコンピュータ:ソフトウェア」 .実用病理学情報科学. ニューヨーク: Springer-Verlag. 2006. pp.  51– 82. doi : 10.1007/0-387-28058-8_3 . ISBN 0-387-28057-X. 2021年6月5日閲覧
  208. ^ Wilby, RL; Orr, HG; Hedger, M.; Forrow, D.; Blackmore, M. (2006年12月). 「気候変動が英国における水枠組み指令の目標達成に及ぼすリスク」. Environment International . 32 (8): 1043– 1055. Bibcode : 2006EnInt..32.1043W . doi : 10.1016/j.envint.2006.06.017 . ISSN 0160-4120 . PMID 16857260 .  
  209. ^ Campbell, T. (2016). 「第14章 セキュアシステム開発」 .実践的情報セキュリティ管理:計画と実装のための完全ガイド. Apress. p. 218. ISBN 978-1-4842-1685-9
  210. ^コッペルマン、ケント・L. (2011). 『人間の違いを理解する:多様なアメリカのための多文化教育』 ピアソン/アリン&ベーコン. OCLC 1245910610 . 
  211. ^ 「ポストプロセス」 .シンプルなシーン、センセーショナルなショット. ラウトレッジ. 2013年4月12日. pp.  128– 147. doi : 10.4324/9780240821351-9 (2025年12月26日現在休止). ISBN 978-0-240-82135-1. 2021年6月5日閲覧{{cite book}}: CS1 maint: DOI inactive as of December 2025 (link)
  212. ^クマール、ビナイ;マト、トゥルシ;クマリ、ヴィニータ;ラヴィ、ビノド・クマール;ディープマラ(2016年)「いんちき療法:一見単純な症例でも致命的となるケース報告」『Medico-Legal Update16 (2): 75. doi : 10.5958/0974-1283.2016.00063.3 . ISSN 0971-720X . 
  213. ^プリースト、サリー(2019年2月22日)「洪水リスク管理における役割と責任の共有」『洪水リスク管理ジャーナル12 (1) e12528. Bibcode : 2019JFRM...12E2528P . doi : 10.1111/jfr3.12528 . ISSN 1753-318X . S2CID 133789858 .  
  214. ^アメリカ合衆国エネルギー省監察総監室、科学技術情報局(2009年)。監査報告書「ロスアラモス国立研究所における防火対策の欠陥」。アメリカ合衆国エネルギー省。OCLC 727225166 
  215. ^ Toms, Elaine G. (1992年1月). 「図書館と情報サービスにおける変化の管理:システムアプローチ」. Information Processing & Management . 28 (2): 281– 282. doi : 10.1016/0306-4573(92)90052-2 . ISSN 0306-4573 . 
  216. ^ Abolhassan, Ferri (2003). 「IDS Scheerにおける変更管理プロセスの導入」 .ビジネスプロセス変更管理. ベルリン、ハイデルベルク: Springer Berlin Heidelberg. pp.  15– 22. doi : 10.1007/978-3-540-24703-6_2 . ISBN 978-3-642-05532-4. 2021年6月5日閲覧
  217. ^ドーソン、クリス(2020年7月1日). Leading Culture Change . doi : 10.1515/9780804774673 . ISBN 978-0-8047-7467-3. S2CID  242348822 .
  218. ^マコーミック、ダグラス・P.(2016年3月22日)『ファミリー・インク:ビジネスの原則を活用して家族の富を最大化する』ジョン・ワイリー・アンド・サンズ、ISBN 978-1-119-21976-7. OCLC  945632737 .
  219. ^シューラー、ライナー(1995年8月)「あらゆる多項式時間計算可能分布の下で扱いやすい集合のいくつかの性質」情報処理レター. 55 (4): 179– 184. doi : 10.1016/0020-0190(95)00108-o . ISSN 0020-0190 . 
  220. ^「図12.2. 一般的に複数の顧客を持たない個人事業主の割合」doi : 10.1787/888933881610{{cite web}}:欠落または空|url=(ヘルプ)
  221. ^「DOS LAN用マルチユーザーファイルサーバー」.コンピュータ通信. 10 (3): 153. 1987年6月. doi : 10.1016/0140-3664(87)90353-7 . ISSN 0140-3664 . 
  222. ^「組織変革の定義」、組織変革、オックスフォード、英国:ワイリー・ブラックウェル、pp.  21– 51、2011年4月19日、doi10.1002/9781444340372.ch1ISBN 978-1-4443-4037-2{{citation}}: CS1 maint: work parameter with ISBN (link)
  223. ^キルヒマー、マティアス; シェーア、アウグスト=ウィルヘルム (2003)、「チェンジマネジメント — ビジネスプロセスエクセレンスの鍵」、ビジネスプロセスチェンジマネジメント、ベルリン、ハイデルベルク:シュプリンガーベルリンハイデルベルク、pp.  1– 14、doi10.1007/978-3-540-24703-6_1ISBN 978-3-642-05532-4{{citation}}: CS1 maint: work parameter with ISBN (link)
  224. ^ More, Josh; Stieber, Anthony J.; Liu, Chris (2016)、「Tier 2—Advanced Help Desk—Help Desk Supervisor」、Breaking Into Information Security、Elsevier、pp.  111– 113、doi : 10.1016/b978-0-12-800783-9.00029-xISBN 978-0-12-800783-9{{citation}}: CS1 maint: work parameter with ISBN (link)
  225. ^「ベイジアンネットワークのコンピュータシミュレーションタスクの自動採点への応用」『コンピュータベーステストにおける複雑なタスクの自動採点』Routledge、pp.  212– 264、2006年4月4日、doi : 10.4324/9780415963572-10ISBN 978-0-415-96357-2{{citation}}: CS1 maint: work parameter with ISBN (link)
  226. ^ Kavanagh, Michael J. (1994年6月). 「Change, Change, Change」.グループ&組織マネジメント. 19 (2): 139– 140. doi : 10.1177/1059601194192001 . ISSN 1059-6011 . S2CID 144169263 .  
  227. ^ Taylor, J. (2008). 「第10章 プロジェクト変更プロセスの理解」.プロジェクトスケジューリングとコスト管理:ベースラインの計画、監視、管理. J. Ross Publishing. pp.  187– 214. ISBN 978-1-932159-11-0
  228. ^「17. イノベーションと変革:誰でもできるのか?」『官僚機構の舞台裏』ハワイ大学出版局、pp.  87– 96、2017年12月31日、doi : 10.1515/9780824860936-019ISBN 978-0-8248-6093-6{{citation}}: CS1 maint: work parameter with ISBN (link)
  229. ^ブラウン、アダム(2015年2月3日)『鉛筆の約束:普通の人が並外れた変化を起こす方法』サイモン&シュスター社、ISBN 978-1-4767-3063-9. OCLC  902912775 .
  230. ^「時間経過による個人内変化の記述」、縦断的分析、ラウトレッジ、pp.  235– 306、2015年1月30日、doi : 10.4324/9781315744094-14ISBN 978-1-315-74409-4{{citation}}: CS1 maint: work parameter with ISBN (link)
  231. ^イングラム、キャロリン、バン、パトリシア・W. (1984).立法による官僚制度改革:1978年公務員改革法. ニューヨーク州立大学出版局. ISBN 0-87395-886-1. OCLC  10300171 .
  232. ^ Wei, J. (2000年5月4日). 「SNS 1.3 GeV互換リングに対する予備的変更要求」 . OSTI.GOV . doi : 10.2172/1157253 . OSTI 1157253. 2022年1月18日閲覧 
  233. ^陳良(2011年5月). 「仮想水理論に基づく農業用水資源の配分優先管理」 . 2011年国際経営管理・電子情報会議. 第1巻. IEEE. pp.  644– 647. doi : 10.1109/icbmei.2011.5917018 . ISBN 978-1-61284-108-3. S2CID  29137725 .
  234. ^ Jones, David J.; Recardo, Ronald J. (2013年7月18日)、「ビジネス変更管理における変更リスクとベストプラクティス 管理されていない変更リスクは変更管理に問題をもたらす」Leading and Implementing Business Change Management、Routledge、pp.  32– 74、doi : 10.4324/9780203073957ISBN 978-0-203-07395-7{{citation}}: CS1 maint: work parameter with ISBN (link)
  235. ^ブラッグ、スティーブン・M. (2016).会計ベストプラクティス. ワイリー. ISBN 978-1-118-41780-5. OCLC  946625204 .
  236. ^「変革を成功させるには、変革管理以上のものが必要」Human Resource Management International Digest . 16 (7). 2008年10月17日. doi : 10.1108/hrmid.2008.04416gad.005 . ISSN 0967-0734 . 
  237. ^「気候変動下における水資源計画」空間計画と気候変動、ラウトレッジ、pp.  287– 313、2010年9月13日、doi : 10.4324/9780203846537-20ISBN 978-0-203-84653-7{{citation}}: CS1 maint: work parameter with ISBN (link)
  238. ^ローワン、ジョン(1967年1月)「コンピューターへの返答」『マネジメント・ディシジョン1 (1): 51–54 . doi : 10.1108/eb000776 . ISSN 0025-1747 . 
  239. ^ビスワス、マーガレット・R.; ビスワス、アシット・K. (1981年2月). 「気候変動と食料生産」. 『農業と環境』 . 5 (4): 332. doi : 10.1016/0304-1131(81)90050-3 . ISSN 0304-1131 . 
  240. ^ Weik, Martin H. (2000)、「バックアウト」、コンピュータサイエンスとコミュニケーション辞書、p. 96、doi : 10.1007/1-4020-0613-6_1259ISBN 978-0-7923-8425-0
  241. ^「編集諮問委員会」『ビジネスとサステナビリティ:概念、戦略、そして変化』、企業責任、ガバナンス、サステナビリティに関する批判的研究、第3巻、エメラルド・グループ・パブリッシング・リミテッド、pp.  xv– xvii、2011年12月6日、doi : 10.1108/s2043-9059(2011)0000003005ISBN 978-1-78052-438-2{{citation}}: CS1 maint: work parameter with ISBN (link)
  242. ^「かつて蜃気楼があった場所に、生命はあるはずだ」『新選詩集』サウスカロライナ大学出版局、103ページ、2014年、doi : 10.2307/j.ctv6sj8d1.65ISBN 978-1-61117-323-9{{citation}}: CS1 maint: work parameter with ISBN (link)
  243. ^ベル、マーヴィン (1983). 「3人いるはずだったのに、2人だけ」アンティオキア・レビュー. 41 (2): 209. doi : 10.2307/4611230 . JSTOR 4611230 . 
  244. ^「私たちも変化を起こすことができる」。人権文書オンライン。doi : 10.1163 /2210-7975_hrd-0148-2015175
  245. ^マジカナ、アンソニー・タピワ (2020 年 11 月 5 日)。 」「変化は人生の法則である。過去や現在だけに目を向ける者は、必ず未来を見逃すだろう - ジョン・F・ケネディ」変化の影響を受けたジンバブエの組織を参考にこの声明を評価する。SSRN  3725707
  246. ^ラマナダム、VV(編)『英国における民営化ISBN 978-0-429-19973-8. OCLC  1085890184 .
  247. ^ 「より複雑で現実的なレオロジー実装する必要があり、数値収束テストを実施する必要がある」。Geoloscientific Model Development Discussions。2020年9月22日。doi : 10.5194 /gmd-2020-107- rc2。S2CID 241597573 
  248. ^ストーン、エドワード.エドワード・C・ストーンコレクション. OCLC 733102101 . 
  249. ^ Lientz, B (2002). 「改善実施計画の策定」 .持続的なプロセス改善の実現. エルゼビア. pp.  151– 171. doi : 10.1016/b978-0-12-449984-3.50011-8 . ISBN 978-0-12-449984-3. 2021年6月5日閲覧
  250. ^ピーター・スミーツ (2009). Expedie agroparken: ontwerpend onderzoek naar Metropolitae landbouw en duurzame ontwikkeling。 SN] ISBN 978-90-8585-515-6. OCLC  441821141 .
  251. ^「図1.3. Going for Growthの推奨事項の約50%が実施されているか、実施過程にある」。doi : 10.1787 /888933323735{{cite web}}:欠落または空|url=(ヘルプ)
  252. ^ケケス、ジョン(2019年2月21日)、「正義はどんな犠牲を払ってでもなされるべきか?」『ハード・クエスチョンズ』オックスフォード大学出版局、pp.  98– 126、doi : 10.1093/oso/9780190919986.003.0005ISBN 978-0-19-091998-6{{citation}}: CS1 maint: work parameter with ISBN (link)
  253. ^フォレスター、ケリー(2014年)「労働力構成の変化のマクロ経済的影響」カリフォルニア大学サンタバーバラ校。ISBN 978-1-321-34938-2. OCLC  974418780 .
  254. ^ Choudhury, Gagan L.; Rappaport, Stephen S. (1981年10月). 「衝突型リクエストチャネルを用いた要求割り当て型多重アクセスシステム」. ACM SIGCOMM Computer Communication Review . 11 (4): 136– 148. doi : 10.1145/1013879.802667 . ISSN 0146-4833 . 
  255. ^クリンソン、マーク(2013年)。「抽象的で時代遅れの、ある種の古くて愛らしいもの」:ジェイムズ・スターリングとノスタルジア。『時間による変化3 (1): 116–135 . doi : 10.1353/cot.2013.0000 . ISSN  2153-0548 . S2CID  144451363 .
  256. ^ Ahwidy, Mansour; Pemberton, Lyn (2016). 「eヘルスシステムを成功裏に導入するために、LNHS内でどのような改革が必要か?」国際高齢化とeヘルスのための情報通信技術会議議事録Scitepress. pp.  71– 79. doi : 10.5220/0005620400710079 . ISBN 978-989-758-180-9
  257. ^モーティマー、ジョン 2010年4月)。『楽園は延期された』ペンギン・アダルト社。ISBN 978-0-14-104952-6. OCLC  495596392 .
  258. ^ a b Cobey, Sarah; Larremore, Daniel B.; Grad, Yonatan H.; Lipsitch, Marc (2021). 「SARS-CoV-2の進化に関する懸念はワクチン接種拡大の取り組みを阻むものではない」 . Nature Reviews Immunology . 21 (5): 330– 335. doi : 10.1038/s41577-021-00544-9 . PMC 8014893. PMID 33795856 .  
  259. ^ Frampton, Michael (2014年12月26日)、「Map Reduceによるデータ処理」、Big Data Made Easy、カリフォルニア州バークレー:Apress、pp.  85– 120、doi10.1007/978-1-4842-0094-0_4ISBN 978-1-4842-0095-7{{citation}}: CS1 maint: work parameter with ISBN (link)
  260. ^ 「全体的には良い研究だが、いくつかの手順には修正が必要」(PDF) . Hydrology and Earth System Sciences Discussions . 2016年2月23日. doi : 10.5194/hess-2015-520-rc2 . 2022年1月18日閲覧
  261. ^ハリソン(ケント)、クラフト(ウォルター・M)、ヒラー(ジャック)、マクラスキー(マイケル・R)、BDMフェデラル社(カリフォルニア州シーサイド)(1996年7月)。「ピアレビュー調整草案。情報収集計画策定のためのタスク分析(重要戦闘機能1):大隊タスクフォースによる達成DTIC ADA313949
  262. ^ itpi.org 2013年12月10日アーカイブ、 Wayback Machine
  263. ^ 「The Visible Ops Handbook: 4つの実用的かつ監査可能なステップでITILを実装する」の書籍概要。wikisummaries.org 。 2016年6月22日閲覧
  264. ^ Bigelow, Michelle (2020年9月23日)、「変更管理と変更管理」、医療における情報セキュリティの実装、HIMSS Publishing、pp.  203– 214、doi : 10.4324/9781003126294-17ISBN 978-1-003-12629-4S2CID  224866307{{citation}}: CS1 maint: work parameter with ISBN (link)
  265. ^事業継続マネジメント。混乱を伴うインシデント発生後の組織復旧に関するガイダンス、BSI英国規格、doi : 10.3403/30194308
  266. ^ホアン・チュー・タイ (1996).灌漑地域における地域レベルの統合土地利用計画(キャイルアップ)を支援するコンピュータ支援システムの開発:ベトナム・メコンデルタのクアン・ロー・フン・ヒエップ地域の事例研究. ITC. ISBN 90-6164-120-9. OCLC  906763535 .
  267. ^ 1ヒバード、ゲイリー(2015年9月11日)、「ビジネス戦略に沿ったBCM戦略の策定」、ビジネス継続性管理の決定版ハンドブック、ホーボーケン、ニュージャージー州、米国:ジョン・ワイリー・アンド・サンズ社、pp.  23– 30、doi10.1002/9781119205883.ch2ISBN 978-1-119-20588-3{{citation}}: CS1 maint: work parameter with ISBN (link)
  268. ^ホッチキス、スチュアート(2010年)『事業継続マネジメント:実践編』BCSラーニング&デベロップメント・リミテッド、ISBN 978-1-906124-72-4
  269. ^「潜在的な故障原因の特定」、システム故障分析、ASM International、pp.  25– 33、2009年、doi : 10.31399/asm.tb.sfa.t52780025ISBN 978-1-62708-268-6{{citation}}: CS1 maint: work parameter with ISBN (link)
  270. ^クレメンス、ジェフリー.医療イノベーションの収益に対するリスク:ミリアド・ジェネティクスの事例. OCLC 919958196 . 
  271. ^ Goatcher, Genevieve (2013)、「最大許容停止時間」、Encyclopedia of Crisis Management、サウザンドオークス、カリフォルニア州:SAGE Publications、Inc.、doi10.4135/9781452275956.n204ISBN 978-1-4522-2612-5
  272. ^「セグメント設計のトレードオフ」、ソフトウェア無線アーキテクチャ、ニューヨーク、米国:John Wiley&Sons、Inc.、pp.  236– 243、2002年1月17日、doi10.1002/047121664x.ch6ISBN 978-0-471-21664-3{{citation}}: CS1 maint: work parameter with ISBN (link)
  273. ^ Blundell, S. (1998). 「IN-EMERGENCY - 道路網における統合インシデント管理、緊急医療、環境モニタリング」 . IEEセミナー「公共交通機関と緊急サービスにおけるITSの活用」 . 第1998巻. IEE. p. 9. doi : 10.1049/ic:19981090 .
  274. ^キング、ジョナサン・R.(1993年1月). 「緊急時対応計画と事業復旧」.情報システム管理. 10 (4): 56– 59. doi : 10.1080/10580539308906959 . ISSN 1058-0530 . 
  275. ^ Phillips, Brenda D.; Landahl, Mark (2021)、「事業継続計画の強化とテスト」、Business Continuity Planning、Elsevier、pp.  131– 153、doi : 10.1016/b978-0-12-813844-1.00001-4ISBN 978-0-12-813844-1S2CID  230582246{{citation}}: CS1 maint: work parameter with ISBN (link)
  276. ^シュナー、ステファニー(2009)、「リーダーシップ・ディスコースの『もう一つの』側面:ユーモアと関係性リーダーシップ活動のパフォーマンス」、リーダーシップ・ディスコース・アット・ワーク、ロンドン:パルグレイブ・マクミランUK、pp.  42– 60、doi10.1057/9780230594692_3ISBN 978-1-349-30001-3{{citation}}: CS1 maint: work parameter with ISBN (link)
  277. ^工業用指定タイムリレー、BSI英国規格、doi10.3403/02011580u
  278. ^ 「サンプル汎用計画および手順:オペレーション/データセンター向け災害復旧計画(DRP)」 .職場における暴力. エルゼビア. 2010. pp.  253– 270. doi : 10.1016/b978-1-85617-698-9.00025-4 . ISBN 978-1-85617-698-9. 2021年6月5日閲覧
  279. ^ 「情報技術災害復旧計画」 .図書館のための災害対策計画. Chandos情報プロフェッショナルシリーズ. エルゼビア. 2015. pp.  187– 197. doi : 10.1016/b978-1-84334-730-9.00019-3 . ISBN 978-1-84334-730-9. 2021年6月5日閲覧
  280. ^ 「災害復旧計画」 Sans Institute . 2012年2月7日閲覧
  281. ^ a b OECD (2016). 「図1.10. 非製造業における規制は製造業に大きな影響を与える」 .経済政策改革2016:成長を目指して 中間報告書. 経済政策改革. パリ: OECD Publishing. doi : 10.1787/growth-2016-en . ISBN 978-92-64-25007-9. 2021年6月5日閲覧
  282. ^ Ahupuaʻa [電子リソース]: World Environmental and Water Resources Congress 2008, May 12-16, 2008, Honolulu, Hawaiʻi . American Society of Civil Engineers. 2008. ISBN 978-0-7844-0976-3. OCLC  233033926 .
  283. ^英国議会下院(2007年)。データ保護[HL] 常任委員会dで修正された法案は、個人に関する情報の取得、保有、使用、開示を含む、個人に関する情報の処理を規制するための新たな規定を制定する法律を制定した。Proquest LLC. OCLC 877574826 
  284. ^「データ保護、個人情報へのアクセス、プライバシー保護」、政府と情報の権利:アクセス、開示、およびその規制に関する法律、ブルームズベリープロフェッショナル、2019年、doi10.5040 / 9781784518998.chapter-002ISBN 978-1-78451-896-7S2CID  239376648{{citation}}: CS1 maint: work parameter with ISBN (link)
  285. ^ Lehtonen, Lasse A. (2017年7月5日). 「遺伝情報と欧州連合のデータ保護指令」 .データ保護指令と欧州における医療研究. Routledge. pp.  103– 112. doi : 10.4324/9781315240350-8 . ISBN 978-1-315-24035-0. 2021年6月5日閲覧
  286. ^ 「1998年データ保護法」legislation.gov.uk .国立公文書館. 2018年1月25日閲覧
  287. ^1990年コンピュータ不正使用法」刑法2011-2012 。ラウトレッジ。2013年6月17。114-118頁。doi  : 10.4324 / 9780203722763-42。ISBN 978-0-203-72276-3. 2021年6月5日閲覧
  288. ^ Dharmapala, Dhammika; Hines, James (2006年12月). 「タックスヘイブンになる国はどこか?」ワーキングペーパーシリーズ. マサチューセッツ州ケンブリッジ. doi : 10.3386/w12802 .{{cite web}}:欠落または空|url=(ヘルプ)
  289. ^「図1.14. いくつかの国では労働力参加率は上昇しているが、労働力の伸びは鈍化している」doi : 10.1787/888933367391{{cite web}}:欠落または空|url=(ヘルプ)
  290. ^ 「1990年コンピューター不正使用法」legislation.gov.uk .国立公文書館. 2018年1月25日閲覧
  291. ^ 「2006年3月15日の欧州議会及び理事会の指令2006/24/EC」。EUR -Lex。欧州連合。2006年3月15日。 2018年1月25日閲覧
  292. ^ 「名誉毀損、学生記録、そして連邦家族教育権とプライバシー法」高等教育法ラウトレッジ、2010年12月14日、pp.  361– 394. doi : 10.4324/9780203846940-22 . ISBN 978-0-203-84694-0. 2021年6月5日閲覧
  293. ^ a b「アラバマ州の学校、生徒の成績向上のためNCLB助成金を受領」PsycEXTRAデータセット2004年doi : 10.1037/e486682006-001
  294. ^ターナー=ゴッチャン、カレン(1987年)『中国への道:中華人民共和国における学術生活と研究のためのガイド:中華人民共和国との学術交流委員会、米国科学アカデミー、アメリカ学会協議会、社会科学研究会議向け』全米科学アカデミー出版。ISBN 0-309-56739-4. OCLC  326709779 .
  295. ^ 20 USC § 1232gに成文化され、連邦規則集第34編第99部に実施規則が定められている。 
  296. ^ 「監査ブックレット」 .情報技術試験ハンドブック. FFIEC . 2018年1月25日閲覧。
  297. ^ Ray, Amy W. (2004). 「医療保険の携行性と責任に関する法律(HIPAA)」.医療管理百科事典. サウザンドオークス, カリフォルニア州: SAGE Publications, Inc. doi : 10.4135/9781412950602.n369 . ISBN 978-0-7619-2674-0
  298. ^ 「公法104-191-1996年医療保険の携行性と説明責任に関する法律」米国政府出版局。 2018年1月25日閲覧
  299. ^ 「公法106-102-1999年グラム・リーチ・ブライリー法」(PDF) . 米国政府出版局. 2018年1月25日閲覧
  300. ^ Alase, Abayomi Oluwatosin (2016).サーベンス・オクスリー法(SOX法)が小規模上場企業とその地域社会に及ぼす影響(論文). ノースイースタン大学図書館. doi : 10.17760/d20204801 .
  301. ^ Solis, Lupita (2019).最高財務責任者の教育と職業上の動向(論文). ポートランド州立大学図書館. doi : 10.15760/honors.763 .
  302. ^ 「公法107-204-2002年サーベンス・オクスリー法」米国政府出版局。 2018年1月25日閲覧
  303. ^「PCI DSS 用語集、略語、頭字語」、Payment Card Industry Data Security Standard Handbook、米国ニュージャージー州ホーボーケン:John Wiley & Sons, Inc.、pp.  185– 199、2015年9月18日、doi10.1002/9781119197218.glossISBN 978-1-119-19721-8{{citation}}: CS1 maint: work parameter with ISBN (link)
  304. ^「PCI Breakdown (Control Objectives and Associated Standards)」、Payment Card Industry Data Security Standard Handbook、米国ニュージャージー州ホーボーケン:John Wiley & Sons, Inc.、p. 61、2015年9月18日、doi10.1002/9781119197218.part2ISBN 978-1-119-19721-8{{citation}}: CS1 maint: work parameter with ISBN (link)
  305. ^ラヴァリオン、マーティン、チェン、シャオフア(2017年8月)。福祉と整合した世界貧困指標」ワーキングペーパーシリーズ。doi 10.3386/w23739 。 2022年1月18日閲覧
  306. ^ 「Payment Card Industry (PCI) Data Security Standard: Requirements and Security Assessment Procedures - Version 3.2」(PDF) . Security Standards Council. 2016年4月. 2018年1月25日閲覧
  307. ^ 「セキュリティ侵害通知法」全米州議会会議。2017年4月12日。 2018年1月25日閲覧
  308. ^ Stein, Stuart G.、Schaberg, Richard A.、Biddle, Laura R. 編(2015年6月23日)。『金融機関のアンサーブック 2015:法律、ガバナンス、コンプライアンス Practising Law Institute。ISBN 978-1-4024-2405-2. OCLC  911952833 .
  309. ^「個人情報とデータ保護」、個人情報の保護、ハート出版、2019年、doi10.5040/9781509924882.ch-002ISBN 978-1-5099-2485-1S2CID  239275871{{citation}}: CS1 maint: work parameter with ISBN (link)
  310. ^第5章 特定の状況下で収集、使用、または開示される個人情報を保護し、情報または取引の伝達または記録に電子的手段の使用を認め、カナダ証拠法、法定文書法、および法改正法を改正することにより、電子商取引を支援および促進するための法律。カナダ女王陛下印刷局。2000年。OCLC 61417862 
  311. ^「コメント」.法令評論. 5 (1): 184–188 . 1984. doi : 10.1093/slr/5.1.184 . ISSN 0144-3593 . 
  312. ^ 「個人情報保護および電子文書法」(PDF)カナダ法務大臣。 2018年1月25日閲覧
  313. ^ Werner, Martin (2011年5月11日). 「位置情報サービスのためのプライバシー保護された通信」.セキュリティと通信ネットワーク. 9 (2): 130–138 . doi : 10.1002/sec.330 . ISSN 1939-0114 . 
  314. ^ 「電子通信における機密保持に関する規則」(PDF)ギリシャ共和国政府官報。ギリシャ通信セキュリティ・プライバシー局。2011年11月17日。 2013年6月25日時点のオリジナル(PDF)からアーカイブ。 2018年1月25日閲覧
  315. ^ de Guise, Preston (2020年4月29日)、「セキュリティ、プライバシー、倫理、法的考慮事項」、データ保護、Auerbach Publications、pp.  91– 108、doi : 10.1201/9780367463496-9ISBN 978-0-367-46349-6S2CID  219013948{{citation}}: CS1 maint: work parameter with ISBN (link)
  316. ^ "Αριθμ. απόφ. 205/2013" (PDF) .ギリシャ共和国政府官報. ギリシャ通信安全保障・プライバシー局 . 2013年7月15日. 2019年2月4日時点のオリジナル(PDF)からアーカイブ。 2018年1月25日閲覧
  317. ^ Andersson and Reimers, 2019, 「米国政府におけるサイバーセキュリティ雇用政策と職場需要」、EDULEARN19 Proceedings、発行年:2019年、ページ:7858-786
  318. ^ 「セキュリティ文化の定義」セキュリティ文化フレームワーク。2014年4月9日。2019年1月27日時点のオリジナルよりアーカイブ。 2019年1月27日閲覧
  319. ^ローアー、カイ、ペトリック、グレゴール (2017). 『2017年セキュリティ文化レポート - 人的要因に関する詳細な考察』CLTRe North America, Inc. pp.  42– 43. ISBN 978-1-5449-3394-8
  320. ^サルマン・アクタール編(2018年3月21日)『Good Feelings 』ラウトレッジ。doi : 10.4324/ 9780429475313。ISBN 978-0-429-47531-3
  321. ^ Anderson, D., Reimers, K. and Barretto, C. (2014年3月). 高等教育におけるネットワークセキュリティ:エンドユーザーの課題への対応結果. 出版日 2014年3月11日 出版物概要 INTED2014 (国際技術・教育・開発会議)
  322. ^ a b Schlienger, Thomas; Teufel, Stephanie (2003年12月). 「情報セキュリティ文化 - 分析から変革へ」.南アフリカコンピュータ協会 (SAICSIT) . 2003 (31): 46– 52. hdl : 10520/EJC27949 .

参考文献

  • アレン、ジュリア・H. (2001). 『CERTシステムおよびネットワークセキュリティ実践ガイド』 ボストン、マサチューセッツ州: アディソン・ウェスレー. ISBN 978-0-201-73723-3
  • ロナルド・L・クルツ;ラッセル・ディーン・ヴァインズ (2003)。CISSP 準備ガイド(ゴールド版)。インディアナ州インディアナポリス:ワイリー。ISBN 978-0-471-26802-4
  • レイトン、ティモシー・P. (2007). 『情報セキュリティ:設計、実装、測定、コンプライアンス』 フロリダ州ボカラトン:アウアーバッハ出版. ISBN 978-0-8493-7087-8
  • マクナブ、クリス(2004年)『ネットワークセキュリティ評価』セバストポル、カリフォルニア州:オライリー、ISBN 978-0-596-00611-2
  • ペルティエ、トーマス・R. (2001). 『情報セキュリティリスク分析』 ボカラトン、フロリダ州: アウアーバッハ出版. ISBN 978-0-8493-0880-2
  • ペルティエ、トーマス・R. (2002). 『情報セキュリティポリシー、手順、および標準:効果的な情報セキュリティ管理のためのガイドライン』 フロリダ州ボカラトン:アウアーバッハ出版. ISBN 978-0-8493-1137-6
  • ホワイト、グレゴリー(2003年)『オールインワン Security+ 認定試験ガイド』エメリービル、カリフォルニア州:McGraw-Hill/Osborne、ISBN 978-0-07-222633-1
  • ディロン、グルプリート(2007年)『情報システムセキュリティの原則:テキストと事例』ニューヨーク:ジョン・ワイリー・アンド・サンズ、ISBN 978-0-471-45056-6
  • ホイットマン、マイケル、マトールド、ハーバート(2017年)『情報セキュリティの原則Cengage出版ISBN 978-1-337-10206-3

さらに読む

ウィキメディア コモンズには、情報セキュリティに関連するメディアがあります。
「 https://en.wikipedia.org/w/index.php?title=Information_security&oldid=1329482384#Key_concepts」より取得