IPAチェックリスト

単語カード

設定全面表示

• サイドチャネル攻撃概要

  対象の動作状況を観察し、漏洩電磁波・電力消費のサイドチャネル情報から暗号鍵推定等を行う非破壊方解析攻撃の総称
• サイドチャネルとは

  非正規の入出力経路。
• サイドチャネル攻撃具体例

  故障利用攻撃、タイミング攻撃、電力解析攻撃、電磁波解析攻撃
• タイミング攻撃とは

  暗号処理のタイミングが暗号鍵の論理値に依存して変化することに着目し、暗号化や複合に要する時間の差異を統計的に解析して暗号鍵を推定する手法。
• タイミング攻撃の対策

  全ての演算の所要時間を統一する。時間計測を正確に行えないようにする。ブラインド署名のアルゴリズムの応用。
• 故障利用攻撃(フォルトアタック)への対策

  故障を検出する機構を設けて、検出したら機密情報を破棄する。
• 電力解析攻撃への対策

  コンデンサを挿入し、電力消費量が時間的に均一となるようにする
• サイドチャネル攻撃の一種、破壊を伴う攻撃への対策

  保護層を備えて、内部データが不正に書き換えられないようにする
• ディジタル証明書は何で規格化されている？

  ITU-T勧告のX.509
• ITU-T.400が規格化しているのは？

  電子メール交換。インターネットでは殆ど使われていない。使われているのはRFC5322など。
• RFC5322とITU-T.400が使われているのは？また、どっちの方が一般的？

  電子メール交換。RFC5322
• ディジタル署名が利用される目的3つ

  サーバ認証、クライアント認証(オプション)、クライアント側からサーバ側への秘密鍵の送付。
• ディジタル署名は誰の何に認証局のディジタル署名を付与したもの？

  申請者(証明対象)の公開鍵(と関連情報をまとめたデータ)に認証局のディジタル署名を付与したもの
• ディジタル署名を作成するときに使うのは何鍵？

  秘密鍵
• ルート認証局が下位認証局のディジタル証明書を発行する際に用いるのは？

  ルート認証局の秘密鍵
• マルウェアの検出方法、ビヘイビア法とは

  マルウェアの感染や発病によって生じるデータの読み込み/書き込み動作や通信、複製/破壊動作などを監視して、マルウェアとして検出する手法。
• マルウェアの検出方法、パターンマッチング法とは

  マルウェア定義ファイルなどを用いて何らかの特徴的なコード(パターン)と検査対象を比較することで検出する手法。
• マルウェアの検出方法、チェックサム法/インテグリティチェック法とは

  検査対象に対して、マルウェアでないことを保証する”チェックサム””ディジタル署名”などの情報を付加し、保証がないか無効であることから検出する手法。
• マルウェアの検出方法、ヒューリスティック法とは

  マルウェアが取るであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する手法。
• マルウェアの検出方法、コンペア法とは

  安全な場所に保管してある検査対象の原本と、観戦が疑わしい検査対象を比較し、異なっていれば感染を検出する手法。コンペア(Compare):比較
• 正誤問題。マルウェアの検出方法、ビヘイビア法では感染・発病による環境の変化を検知する場合を含む

  正しい。動作そのものの異常を検知するだけでなく、環境の様々な変化を検知する場合を含む。例外ポート通信/不完パケット/通信量やエラー量の異常な増加など
• ICMP Flood攻撃とは

  攻撃対象に対してなるべくサイズが大きくなるようにした
• HTTP GET Flood攻撃とは

  繰り返しHTTP GETコマンドを送ることで、攻撃対象にコンテンツ送信の負荷をかける攻撃。
• SYN Flood攻撃とは

  コネクション開始要求パケット(SYNパケット)を大量に送ることで、接続要求ごとに応答を返すための過大な負荷を攻撃対象に掛ける攻撃。
• Connection Flood攻撃とは

  大量のTCPコネクションを確立することで、攻撃対象に接続を維持させ続け、リソースを枯渇させる攻撃。
• 共通フレームにおいて、システム

  取得ニーズへの追跡可能性、取得ニーズへの一貫性、テスト計画性、システム方式設計の実現可能性、運用及び保守の実現可能性。
• 正誤問題。共通フレームでは各組織で持っている基準や対象システムの特性に合わせた修正を認める。

  正しい
• 正誤問題。作業順序は必ず共通フレームの体系(記述順序)と一致するようにするべき

  誤り。共通フレームの体系は必ずしも作業順序と一致していない。
• 正誤問題。共通フレームは特定の開発モデル、技法、ツールを前提としない。

  正しい
• 正誤問題。共通フレームは工程の名称を規定する。

  誤り。共通フレームは工程の名称を規制しない。工程の構成要素である作業項目名称を標準化する。
• 正誤問題。共通フレームは各作業でどのような文書をどのような様式で作成するかを規定している。

  誤り。具体的な文書の様式は規定しない。
• 正誤問題。共通フレームはソフトウェアの信頼性・保守性のレベルを規定する。

  誤り。それらは関係者間で決定するべき内容である。
• SaaSにおいて事業者はどこまでを提供するか。アプリケーション＞ミドルウェア＞OS＞ハードウェア

  アプリケーション以下すべて。利用者は機能を使ってアプリケーションにおける設定(カスタマイズ)も可能
• PaaSにおいて事業者はどこまでを提供するか。アプリケーション＞ミドルウェア＞OS＞ハードウェア

  ミドルウェア以下。利用者はアプリケーションを用意し、ミドルウェアにおける設定(カスタマイズ)も可能
• IaaSにおいて事業者はどこまでを提供するか。アプリケーション＞ミドルウェア＞OS＞ハードウェア

  OS以下。利用者はミドルウェア以上を用意し、OSにおける設定(カスタマイズ)も可能。/もしくは.../事業者はハードウェア、ネットワークを提供。利用者はOS以上を用意。
• CASB(Cloud Access Security Broker)はどういう仕組みか。何を提供するのか。

  利用者とクラウドサービスプロバイダとの間に単一のコントロールポイントを設けてクラウドサービス利用の「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」を提供する仕組み。
• cookieを発行する際に指定できる属性5つ

  Domain, Path(ディレクトリの指定), Expires(有効期限の指定), HttpOnly(JavaScriptからアクセスできなくする), Secure(HTTPs通信のみ)
• 発信者がメッセージのハッシュ値からディジタル署名を生成する際に使う鍵は誰の何？

  発信者の秘密鍵。発信者は発信者の秘密鍵で暗号化->受信者は送信者の公開鍵で複合->メッセージダイジェストが一致したら改ざんされていないことが分かる。
• IPスプーフィングとは

  攻撃者が身元を隠すためや応答パケットを攻撃対象に送りつけるために、IPヘッダに含まれる送信元IPアドレスを偽装する攻撃手法。ポートスキャンやDoS攻撃などの攻撃手法と併用される場合もある。
• SQLインジェクションを防ぐ機構は？何をする？

  バインド機構。SQL組み立て時にエスケープ処理が施され、非公開情報の漏洩や情報の改ざんを防止する
• ボットによるリクエストをブロックする機構は？何をする？

  Captcha。Webサイトへのアクセスが人間によるものかを確かめ、ブラウザ以外の自動化されたWebクライアントによる大量のリクエストへの応答を避ける。
• Webサイトへのブルートフォース攻撃を防ぐ機構は？何をする？

  ロックアウト機構。ブルートフォース攻撃によるログイン試行を検出してアカウントロックし、Webサイトへの不正ログインを防止する。
• Webブラウザとサイトとの間における中間者攻撃を防ぐ機構は？何をする？

  常時SSL/TLS化。中間者攻撃による通信データの漏洩及び改ざんを防止し、サーバ証明書によって偽りのWebサイトを見分けやすくする。

広告

コメント