応用情報技術者試験　セキュリティ

単語カード

設定全面表示

• 正当な権限を持った者だけが情報に触れることができる状態。また，そのような状態を確保・維持すること

  機密性（Confidentiality）
• ITの分野では，システムやデータの整合性，無矛盾性，一貫性などの意味で用いられることが多い

  完全性（Inetgrity）
• システムなどが使用できる状態を維持し続ける能力。利用者などから見て，必要なときに使用可能な状態が継続されている度合いを表したもの

  可用性（Availability）
• 主体または資源が，主張どおりであることを確実にする特性

  真正性（Authenticity）
• あるエンティティの動作が，一意に追跡できる特性

  責任追跡性（Accountability）
• インターネット上で同じボットが組み込まれたコンピュータにより築かれたネットワーク

  ボットネット
• 起動すると利用者に気付かれないよう秘密裏にデータ漏洩や遠隔操作などの有害な動作を行うソフトウェア

  トロイの木馬（Trojan Horse）
• 利用者の PC を利用できなくし，再び利用できるようにするのと引換えに金銭を要求する

  ランサムウェア
• ルートキットを利用して，マルウェアに感染していないように見せかけることによって，マルウェアを隠蔽する。

  ステルス型マルウェア
• セキュリティ環境の未整備や情報の管理体制が実装されていない状況のこと

  人的脆弱性
• 企業などの組織内で用いられる情報システムやその構成要素（機器やソフトウェアなど）のうち，従業員や各業務部門の判断で導入・使用され，経営部門やシステム管理部門による把握や管理が及んでいないもの

  シャドー IT
• インターネットを通じて外部のコンピュータシステムへの侵入や妨害などを行う攻撃者（クラッカー）のうち，自らは技術力や専門知識がなく，他人の開発した攻撃ツールを入手して使用するだけの者のこと

  スクリプトキディ（script kiddy）
• ボットネットを組織しゾンビ端末に司令を与える攻撃者

  ボットハーダー（bot herder）
• 従業員や業務委託先の社員など，組織の内部情報にアクセスできる権限を不正に利用して情報を持ち出したり改ざんしたりする攻撃者のこと

  内部犯
• 人や社会を恐怖に陥れて，その様子を観察して喜ぶことを目的にサイバー犯罪を行う攻撃者のこと

  愉快犯
• フィッシング詐欺や本物そっくりの Web サイトなどで個人情報などを搾取するような詐欺を行う攻撃者のこと

  詐欺犯
• 犯罪を行う意志がないのに，注意義務を怠るなどの過失によって罪を犯してしまう攻撃者のこと

  過失犯
• あるサービスのアカウント名のリストを元に，多くの人が使う単純なパスワードで順番にログインを試み，たまたまそのパスワードを使っているアカウントを乗っ取る手法を逆総当たり攻撃

  リバースブルートフォース攻撃（reverse brute force attack）
• インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ，Web ブラウザから入力された利用者 ID とパスワードを正規サイトに転送し，利用者になりすましてログインする

  中間者（Man-in-the-middle）攻撃
• ユーザ PC 内でプロキシとして動作するトロイの木馬（マルウェア）によって Web ブラウザ ～ Web サーバ間の送受信をブラウザベースで盗聴・改ざんする攻撃

  Man-in-the-Browser 攻撃（MITB）
• 攻撃対象の Web サーバ 1 台に対して，多数の PC から一斉にリクエストを送ってサーバのリソースを枯渇させる攻撃と，大量の DNS 通信によってネットワークの帯域を消費する攻撃を同時に行うこと

  マルチベクトル型 DDoS 攻撃
• 複数の既存攻撃を組合せ，ソーシャルエンジニアリングにより特定企業や個人をねらって行われる執拗なサイバー攻撃の総称

  APT (Advanced Persistent Threats)，持続的標的型攻撃
• 標的の権威 DNS サーバに，ランダムかつ大量に生成した存在しないサブドメイン名を問い合わせる

  DNS 水責め攻撃（ランダムサブドメイン攻撃）
• 指紋認証の2つの方式

  マニューシャ方式
  パターンマッチング
• クライアント証明書が正しいことを保証する第三者機関

  CA（Certification Authority ： 認証局）
• リスク対応後に残るリスク

  残留リスク
• リスクの運用管理に権限を持つ人のこと

  リスク所有者
• 重要インフラに関わる業界などを中心とした参加組織と秘密保持契約を締結し，その契約の下に提供された標的型サイバー攻撃の情報を分析及び加工することによって，参加組織間で情報共有する

  J-CSIP（サイバー情報共有イニシアティブ）
• 標的型サイバー攻撃特別相談窓口」にて受け付けた相談や情報に対して調査分析を実施し，JPCERT/CC やセキュリティベンダ等と連携して助言や支援および情報共有を行うことで被害の低減と攻撃の拡大防止を図る IPA の取り組み

  サイバーレスキュー隊（J-CRAT）
• セキュリティオペレーション技術向上，オペレータ人材育成，及びサイバーセキュリティに関係する組織・団体間の連携を推進することによって，セキュリティオペレーションサービスの普及とサービスレベルの向上を促す

  ISOG-J（日本セキュリティオペレーション事業者協議会）
• 企業などがサイバー攻撃に対処するための演習形式の一つで，実際に専門家集団が攻撃者として様々な攻撃手法を模擬的に実践する手法

  レッドチーム演習（red team operations）
• ディスプレイなどから放射される電磁波を傍受し，表示内容を解析する攻撃

  テンペスト攻撃
• ネットワークやホストをリアルタイムで監視し，異常を検知した場合に管理者に通知するなどの処置を行うシステム

  IDS（Intrusion Detection System, 侵入検知システム）
• ネットワークの異常を検知し管理者に通知する NIDS（Network IDS）を発展させた形態で，従来の NIDS が備えている機能に加えて，不正アクセスの遮断などの防止機能が使用可能なシステム

  IPS（Intrusin Prevention System, 侵入防止システム）
• ファイアウォール，侵入検知，マルウェア対策など，複数のセキュリティ機能を統合したネットワーク監視装置

  UTM（Unified Threat Management : 統合脅威管理）
• RASISの5つの特性

  信頼性(Reliability)
  可用性(Availability)
  保守性(Serviceability)
  保全性・完全性(Integrity)
  機密性(Security)
• RASIS のうち，信頼性，可用性，保守性を向上するための技術

  RAS 技術
• 盗難を防止するため，自席の机に置かれているノート PC などを帰宅時にロッカーなどに保管して施錠する対策

  クリアデスク
• 自席を離れるときに他の人が PC にアクセスできないようにスクリーンにロックをかける対策

  クリアスクリーン
• SSL 証明書 ドメイン名が正しいかどうかを認証する

  ドメイン認証（DV : Domain Validation）
• SSL 証明書 ドメイン名に加え，会社名も証明する

  企業認証（OV : Organization Validation）
• SSL 証明書 ドメイン名，実在証明を行い，Web ブラウザのアドレスバーに，組織情報が表示されるようになる

  実在証明拡張型（EV : Extended Validation）
• ドメイン名・サブドメイン名・ホスト名の全てを指定する記述形式

  FQDN (Full Qualified Domain Name)
• サーバ証明書に含まれる登録情報で，証明書が有効な FQDN，または，その IP アドレスが格納される項目である

  コモンネーム（CN : Common Name）
• 受信したメールの送信者メールアドレスのドメイン名と送信元 IP アドレスが，送信側ドメインの管理者が設定したものと一致するかどうかで送信ドメイン認証を行う技術。

  SPF（Sender Policy Framework）
• 攻撃者が故意にプログラムが確保したメモリ領域（バッファ）よりも大きなデータを読み込ませることで，メモリ領域からあふれた部分に不正なデータを書き込ませ，システムへの侵入や管理者権限の取得を試みる攻撃

  バッファオーバフロー攻撃

広告

コメント