セキュリティ(1)

単語カード

設定全面表示

• DNSキャッシュサーバに偽のDNS情報をキャッシュとして登録させることで、利用者を偽のWebサイトに誘導する攻撃です。

  DNSキャッシュポイズニング攻撃
• リゾルバから名前解決要求を受けたDNSサーバが他のDNSサーバに代理して問合せを行い、最終的な結果をリゾルバに返す必要のある問合せのこと

  再帰的な問合せ
• リゾルバから再帰的問合せを受けたDNSサーバが、それを解決できるまで繰り返し他のDNSサーバに行う問合せのこと

  反復問合せ
• 技術的な方法ではなく、人の心理的な弱みやミスに付け込んでパスワードなどの秘密情報を不正に取得する行為の総称です。

  ソーシャルエンジニアリング(Social Engineering)
• ソーシャルエンジニアリングの例で管理者や関係者になりすまして秘密情報を不正取得する

  なりすまし
• ソーシャルエンジニアリングの例でモニター画面やキーボード操作を利用者の背後から盗み見て、ログイン情報等を不正取得する

  ショルダーハッキング
• ソーシャルエンジニアリングの例でゴミ箱に捨てられているメモや書類を漁って秘密情報を不正取得する

  トラッシング（スカベンジング）
• ソーシャルエンジニアリングの例でFAXやプリンタに残された印刷物、オフィス内のメモ・付箋、机の上に放置された書類等から秘密情報を不正取得する

  のぞき見
• 一見正常に動作しているように見えますが、実際には裏でユーザのキーストロークを盗んだり、バックドアとして機能したりするように巧妙につくりかえられたプログラムのことです。

  トロイの木馬
• 設定されているパスワードを、様々な方法で不正に破ろうとする行為です。

  パスワードクラック
• インターネット上にある多数のコンピュータに対して、あらかじめ攻撃プログラムを仕掛けておき、攻撃者からの命令で対象のサーバを攻撃させる手法です。意識しないうちに攻撃者から操作され、攻撃に加担させられてしまうことを「踏み台にされる」といいます。

  踏み台攻撃
• ソフトウェアの脆弱性を悪用した不正な動作を再現するために作成されたスクリプトやプログラムを指す言葉です。

  エクスプロイトコード(Exploit Code)
• 個人情報の保護に関するガイドラインで設定されている安全管理措置を４つすべて挙げろ

  「組織的」「人的」「物理的」および「技術的」
• 個人情報の保護に関するガイドラインに照らし合わせると「個人情報の安全管理にかかわる従業員の役割及び責任についての教育・訓練を実施する。」はどれ？

  人的安全管理措置
• 個人情報の保護に関するガイドラインに照らし合わせると「個人データの漏えいなどの事故が発生した場合の，代表者などへの報告連絡体制を整備する。」はどれ？

  組織的安全管理措置
• 個人情報の保護に関するガイドラインに照らし合わせると「個人データを取り扱う情報システムへのアクセスの成功と失敗の記録を取得する。」はどれ？

  技術的安全管理措置
• 個人情報の保護に関するガイドラインに照らし合わせると、「個人データを取り扱う情報システムを，ICカードによる入退出管理を実施している室内に配置する。」はどれ？

  物理的安全管理措置
• インターネット通信に使われるプロトコル

  HTTP(HyperText Transfer Protocol)
• 公開鍵暗号方式を使って通信内容が改ざんされていないことを保証する技術で、受信者側で「発信者が正当であるか」と「改ざんの有無」の2点を確認できます。

  ディジタル署名
• 現在訪問しているWebサイトのドメインから発行されるクッキー

  ファーストパーティcookie
• 閲覧しているページ内の広告等の要素の配信とともに別ドメインから発行されるもの

  サードパーティcookie(第三者配信クッキー)
• 通信内容の改ざんの有無を検証し、完全性を保証するために通信データから生成される固定長のビット列です。

  MAC(Message Authentication Code)
• MACの生成で用いられる暗号方式を２つ

  共通鍵暗号、ハッシュ関数
• OSI基本参照モデルのネットワーク層で動作し，"認証ヘッダ(AH)"と"暗号ペイロード(ESP)"の二つのプロトコルを含むもの

  IPsec
• 認証、暗号化、鍵交換などの複数のプロトコルを含みます。そのうち、認証を担うプロトコルがAH(Authentication Header)、認証と暗号化を担うプロトコルがESP(Encapsulated Security Payload)です。

  IPsec(プロトコル群の総称)
• 公開鍵暗号技術を使用して「認証」「改ざん検出」「暗号化」などの機能を電子メールソフトに提供する規格です。

  S/MIME (Secure MIME)
• 公開鍵暗号や認証の技術を利用してリモートコンピュータと安全に通信するためのアプリケーション層のプロトコルです。

  SSH (Secure Shell)
• 内閣官房に設置され、情報セキュリティ政策に係る基本戦略の立案、官民における統一的、横断的な情報セキュリティ政策の推進に係る企画などを行う機関です。

  NISC(内閣サイバーセキュリティセンター)
• 経済産業省所管の独立行政法人です。産業サイバーセキュリティセンターが設置されています。

  IPA(情報処理推進機構)
• 特定の政府機関や企業から独立した組織であり，国内のコンピュータセキュリティインシデントに関する報告の受付，対応の支援，発生状況の把握，手口の分析，再発防止策の検討や助言を行っている。

  JPCERT/CC
• 産業標準化法に基づいて経済産業省に設置されている審議会であり，産業標準化全般に関する調査・審議を行っている。

  日本産業標準調査会(JISC)
• ネットワークに接続されているシステムに対して、実際に様々な方法で侵入や攻撃を試みることで脆弱性の有無を検査するテスト

  ペネトレーションテスト(Penetration Test)
• 暗号化で使用している暗号方式と鍵長が，設計仕様と一致することを確認する。

  暗号モジュール試験の目的
• 対象プログラムの入力に対する出力結果が，出力仕様と一致することを確認する。

  ブラックボックステストの目的
• ネットワークを流れるパケットから，侵入のパターンに合致するものを検出して，管理者への通知や，検出した内容の記録を行う。

  IDSやIPSの説明
• モニタやキーボード，ネットワークケーブルなどから放射されている微弱な電磁波を傍受し解析することで元の情報の再現を試みる技術

  テンペスト技術
• 不正アクセスや情報漏えいなどのセキュリティインシデントの発生時に、原因究明や法的証拠を保全するために対象となる電子的記録を収集・解析することです。

  ディジタルフォレンジックス(コンピュータフォレンジックス)
• あらかじめ設定した運用基準に従って，メールサーバを通過する送受信メールをフィルタリングすること

  電子メールフィルタリング
• 磁気ディスクなどの書換え可能な記憶媒体を単に初期化するだけではデータを復元できる可能性があるので，任意のデータ列で上書きすること

  上書きによる物理フォーマットの説明
• 不正アクセスなどコンピュータに関する犯罪の法的な証拠性を確保できるように，原因究明に必要な情報の保全，収集，分析をすること

  ディジタルフォレンジックスの説明
• ウイルスの感染が疑わしい対象(検査対象)と安全な場所に保管してあるその対象の原本を比較し、異なっていれば感染を検出する手法。

  コンペア法
• 「パターンデータ」「ウイルスパターン」「パターンファイル」「ウイルス定義ファイル」等を用いて、何らかの特徴的なコードをパターンとしてウイルス検査対象と比較することで検出する手法。

  パターンマッチング法
• 検査対象に対して別途ウイルスではないことを保証する「チェックサム」「ディジタル署名」等の情報を付加し、保証がないか無効であることで検出する手法。

  チェックサム法/インテグリティチェック法
• 各ファイルに，チェックサム値などウイルスではないことを保証する情報を付加しておき，もし保証する情報が検査対象ファイルに付加されていないか無効ならば，ウイルスとして検知する。

  チェックサム法
• メール投稿にあたってユーザ認証の仕組みがないSMTPにユーザ認証機能を追加した方式

  SMTP-AUTH(SMTP-Authentication)
• SMTPサーバは，クライアントがアクセスしてきた場合に利用者認証を行い，認証が成功したとき電子メールを受け付ける。

  SMTP-AUTHによる認証動作
• サーバは認証局のディジタル証明書をもち，クライアントから送信された認証局の署名付きクライアント証明書の妥当性を確認する。

  SMTP over SSL(TLS)によるサーバ/クライアントの相互認証
• 電子メールを受信した際にパスワード認証が成功したクライアントのIPアドレスは，一定時間だけSMTPサーバへの電子メールの送信が許可される。

  POP before SMTPによる認証動作
• パスワードを秘匿するために，パスワードからハッシュ値を計算して，その値で利用者が電子メールを受信する際の利用者認証を行う。

  APOP(Authenticated POP)
• JIS Q 27002における情報資産に対する情報資産に害をもたらすおそれのある事象の原因

  脅威の説明
• JIS Q 27002における情報資産に対する、情報資産に内在して，リスクを顕在化させる弱点

  脆弱性の説明
• JIS Q 27002における情報資産に対する、リスク対策に費用をかけないでリスクを許容する選択

  リスク保有の説明
• JIS Q 27002における情報資産に対する、リスク対策を適用しても解消しきれず残存するリスク

  残存リスクの説明
• 不正アクセスや情報漏えいなどのセキュリティインシデントの発生時に、原因究明や法的証拠を明らかにするために対象となる電子的記録を収集・解析することです。

  ディジタルフォレンジクス
• 特定の組織や人に狙いを定める標的型攻撃の一つで、標的ユーザが良く利用するWebサイトにドライブバイダウンロードのコードなどを仕込み、アクセスした標的ユーザにマルウェアやウイルスを感染させる攻撃です。

  水飲み場型攻撃
• 「水飲み場型攻撃」の名称は攻撃者をライオンなどの肉食獣に、標的ユーザが良く利用するWebサイトを草食獣が集まる水飲み場に見立て、肉食獣が水飲み場に来る獲物を待ち伏せする様子になぞらえています。

  正しい
• 無線ネットワーク規格で使われているセキュリティプロトコルです。使用する鍵を一定時間ごとに更新することで暗号解読に対する耐性を高めた方式です。

  TKIP (Temporal Key Integrity Protocol)
• サーバにバックドアを作り，サーバ内で侵入の痕跡を隠蔽するなどの機能がパッケージ化された不正なプログラムやツールは？

  ルートキット(rootkit)
• Webページに埋め込んだ見えないほどの小さな画像のことで、ユーザの利用環境や滞在時間・ページ遷移などの情報を得たりするために設置されます。

  web beacon(Webビーコン)
• ブログシステムに組み込まれている機能の1つで、他のブログページへのハイパリンクを設置した際に、そのハイパリンクを設置した事実やその設置ページの情報をリンク先ブログに通知する仕組みです。

  トラックバックping
• チャレンジレスポンス型テストの一種で、認証の際に異なる歪んだ文字や数字を表示し、書かれている文字を入力させる仕組みです。

  CAPTCHA(キャプチャ)
• サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」をまとめたものです。

  サイバーセキュリティ経営ガイドライン
• 事業体のITに関する経営者の活動を大きくITガバナンス(統制)とITマネジメント(管理)に分割し，具体的な目標と工程として37のプロセスを定義したもの

  COBITの説明
• IPアドレスから対応する機器のMACアドレスを取得するプロトコルです。

  ARP(Address Resolution Protocol)、IP→MAC
• 無線LANルータなどでは、あらかじめMACアドレスを登録しておいた機器からのみの接続を許可する機能

  MACアドレスフィルタリング
• あるOSやソフトウェアに脆弱性が存在することが判明し、ソフトウェアの修正プログラムがベンダーから提供されるより前に、その脆弱性を悪用して行われる攻撃のことを指します。

  ゼロデイ攻撃（zero-day attack）
• 特定のWebサイトに対し，日時を決めて，複数台のPCから同時に攻撃する。

  DDoS攻撃
• 暗号化関数の統計的な偏りを線形関数によって近似して解読する。

  暗号化関数の線形近似式を発見することを基本とした「線形解読法」の説明
• 暗号化装置の動作を電磁波から解析することによって解読する。

  サイドチャネル攻撃
• 通過するパケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、Webアプリケーションに対する攻撃を検知し、攻撃と判断した通信をブロックするファイアウォールです。

  WAF(Web Application Firewall)
• HTTPS通信が行われている経路上のパケットは暗号化されている

  正しい

広告

コメント