-
8章
情報セキュリティ
-
ISO/IEC27000シリーズで定義されている情報セキュリティの3要素とは
機密性・完全性・可用性
-
情報資産とは
資産として価値のある情報のこと
-
脅威とは
情報資産に対して攻撃を加えて業務に影響を与える原因となるもの
-
情報資産の弱点は
脆弱性
脅威はこの脆弱性を突いてくるため情報セキュリティ対策が必要
-
リスクとは
組織の情報資産の脆弱性を突く脅威によって組織が損失を被る可能性のこと
-
リスクマネジメントとは
リスクを組織的に管理していくこと
-
リスクマネジメントは大きく2つに分けられる。それは何か
リスクアセスメントとリスク対応
-
リスクアセスメントとは
情報資産に対するリスクを分析・評価し、対応が必要かどうかを判断していくこと
-
リスクアセスメントの3つのプロセスを答えよ
リスク特定⇒リスク分析⇒リスク評価
-
リスク対応とは
リスク評価をうけ実際にどのようなリスク対応を選択するかを決定すること
-
リスク対応は大きく二つの方法に分けられる。それは何か
リスクコントロールとリスクファイナンシング
-
リスクコントロールとは
リスクの発生確率や大きさを小さくする方法
-
リスクファイナンシングとは
損失を補填するために金銭的な手当てをする方法
-
情報セキュリティポリシとは
組織内の情報セキュリティを確保するための方針や体側、対策等を定めた文書
-
情報セキュリティ基本方針とは
組織のトップが情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言するもの
-
情報セキュリティ管理基準とは
情報セキュリティマネジメント試験の基本的な枠組みと具体的な管理項目が規定されている
情報セキュリティ基本方針を策定する上で参考にされる
-
プライバシポリシとは
組織で扱う個人情報の扱い方についての規定
-
ISMS連合評価制度とは
組織における情報セキュリティに対する取り組みに対してISMS認定基準の評価事項に適合しているか審査して認定する制度
ISMSは情報セキュリティマネジメントシステムのこと
-
JISQ27000とは
ISMSの規格
-
物理的脅威とは
災害による機器の故障、侵入者による破壊行為などによる脅威
-
人的脅威とは
人による脅威のこと
-
ソーシャルエンジニアリングとは
人の心理の隙をついて機密情報を入手すること
-
ショルダーハッキングとは
緊急事態を装ってパスワードを聞き出したりすること
-
クリアスクリーンとは
離席時に画面をロックする
-
クリアデスクとは
書類などが盗まれないように机を整頓しておくこと
-
不正のトライアングル理論とは
不正行為は機会・動機・正当化の三つの条件がそろったときに行われるという理論
-
技術的脅威とは
コンピュータウイルスやサイバー攻撃などのIT技術を使った脅威
-
マルウェアとは
悪意をもって作成された不正なプログラムの総称
-
ボットとは
感染したPCをネットワークを通じて外部から操るマルウェア
外部から命令をだすサーバをC&Cサーバという
-
ランサムウェアとは
PCのファイルを暗号化して戻すためのパスワードと引き換えに金銭を要求するマルウェア
-
バックドアとは
侵入するために仕組んだ裏口のアクセス経路
-
BYCDとは
私物のPCやスマホなどの情報端末を業務に利用すること
-
シャドーITとは
情報システム部門の許可を得ずに私物のPCやスマホ、クラウドサービスなどを業務に使うこと
-
MDMとは
企業が社員などに貸与するスマホなどの設定やアプリケーションを一元管理する仕組み
-
ウイルス対策ソフトとは
マルウェアを検知してコンピュータを脅威から守り安全性を高めるソフトウェア
-
ウイルス定義ファイル(パターンファイル)とは
既知ウイルスのシグネチャーコード(特徴的なコード)を記録したもの
-
主なウイルス検出方法を2つ挙げよ
パターンマッチング方式、ビヘイビア方式
-
パターンマッチング方式とは
検査対象と既知ウイルスのシグネチャーコードと比較して検出する
-
ビヘイビア方式とは
サンドボックスと呼ばれる仮想環境で検査対象を実行してその動きを監視することで検出する
-
サイバー攻撃とは
インターネットなどを通じてコンピュータシステムに侵入し情報の窃取、データの改ざんなどを行う攻撃
-
標的型攻撃とは
特定の企業など標的を決めて行われる攻撃
-
APT攻撃とは
特定の組織を標的に攻撃を繰り返す
-
水飲み場型攻撃
よく利用される企業などのWebサイトにウイルスを仕掛け感染させる
-
パスワードクラックとは
パスワードを割り出し解析すること
-
主なパスワードクラックを3つ挙げよ
辞書攻撃、ブルートフォース攻撃、パスワードリスト攻撃
-
辞書攻撃とは
辞書にある単語やその組み合わせをパスワードとしてログインを試行する
-
ブルートフォース攻撃とは
英字や数字記号を組み合わせをパスワードを総当たりしてログインを試行する
-
パスワードリスト攻撃とは
不正に取得した他サイトの利用者IDとパスワードの一覧を用いてログインを試行する
-
Dos攻撃とは
特定のサーバなどに大量のパケットを送り付け想定以上の負荷を与えサーバの機能を停止させる攻撃
-
DDos攻撃とは
複数のサーバなどから一斉に攻撃すること
-
クロスサイトスクリプティングとは
攻撃者が送り込んだ悪意のコードをそのページを閲覧した不特定多数のユーザーに、スクリプトを実行させる
-
SQLインジェクションとは
Webアプリケーションの脆弱性を利用して、不正なSQL文を注入してデータベースを不正操作する攻撃手法
上位ディレクトリを指定する(../)を含むときは受け付けないようにする対策がある
-
WAFとは
Webアプリケーション専用のファイアウォール
-
なりすましとは
攻撃者が正規の利用者を装い情報資産の窃取や不正行為などを行う攻撃
-
ディレクトリトラバーサルとは
攻撃者がパス名を使ってファイルを指定し管理者の意図していないファイルを不正に閲覧する攻撃
-
フットプリンティングとは
サイバー攻撃を行う前に行う情報収集
-
フットプリンティングの一つであるポートスキャンとは
解放されている攻撃できそうなサービスがあるかを調査すること
-
デジタルファレンジクスとは
コンピュータ犯罪の証拠となる電子データを集め解析すること
-
暗号化とは
人が容易に解読てきる平文を「暗号化アルゴリズム」「暗号化鍵」を使って容易に解読できない暗号文に変換すること
-
復号とは
「復号アルゴリズム」「復号鍵」を使って暗号文を平文に戻す
-
共通暗号方式とは
暗号化鍵と復号鍵が共通の暗号方式。送信者は「共通の秘密鍵」で暗号化し受信者も同じ「共通の秘密鍵」で復号する
暗号化、復号化の処理が比較的早い
-
公開鍵暗号方式とは
暗号化鍵と復号鍵が異なる暗号方式。送信者は「受信者の公開鍵」で暗号化し受信者は「受信者の秘密鍵」で復号化する
暗号化、復号化の処理が比較的遅い
-
AESとは
代表的な共通鍵暗号方式
-
RSAとは
非常に大きな数を素因数分解することが困難なことを利用した代表的な公開鍵暗号方式
-
楕円曲線暗号とは
RSAより短い鍵長で同等の安全性を提供できる公開鍵暗号方式
-
デジタル署名とは
「送信者が本人か」「電子文書の内容が改ざんされていないか」を受信者が確認できる仕組み
「送信者の秘密鍵」で暗号化し「送信者の公開鍵」で復号する
-
認証局とは
デジタル証明書を発行して公開鍵の正当性を保証する
p366参照
-
CRLとは
デジタル証明書の有効期限内に失効させた証明書の一覧表
-
PKIとは
認証局や公開鍵暗号方式、デジタル署名などの仕組みを使って、インターネット上で安全な通信ができるセキュリティ基盤
-
メッセージ認証とは
共通鍵を用いてメッセージの内容が改ざんされていないことを確認する仕組み
-
メッセージ認証において何を元に改ざんされていないかどうかを確認するか
メッセージ認証コード(MAC)
-
SSLとは
インターネット上での通信を暗号化して盗聴や改ざんを防ぐ仕組み
-
HTTPSとは
SSLの暗号通信をHTTPに実装したものでWebサーバとWebブラウザ間の通信を暗号化する
-
SSLおよびHTTPSで確認できるものは
電子証明書が改ざんされていないこと。電子証明書が認証局の発行審査を受けたかどうか
-
TLSとは
SSLをベースに標準化したもの
-
ハイブリッド方式とは
共通鍵暗号方式と公開鍵暗号方式の両者の特徴を組み合わせた方式
-
セキュアブートとは
PCの起動時にOSなどの署名を確認することでOS起動前のマルウェアの実行を防ぐ技術
-
TPMとは
PCなどに組み込むセキュリティチップ
-
利用初認証とは
コンピュータシステムを使用する際に利用者が使用することを許可されている本人であるかを確認すること
ユーザ認証とも呼ばれる
-
多要素認証とは
二つ以上の異なる認証を組み合わせる利用者認証
-
二要素認証とは
二つの認証を組み合わせること
-
バイオメトリクス認証とは
身体的な特徴を使った認証と行動的な特徴を使った認証の総称
身体的:指紋認証 行動的:署名の速度、筆圧
-
CAPTHAとは
ゆがめたり一部を隠したりした画像から文字を判読させて入力させること
-
チャレンジレスポンス認証とは
認証サーバーから送られてくるデータ(チャレンジ)を元に、クライアントが持っているパスワードを組み合わせて演算し、ハッシュ値を認証サーバーに「レスポンス」として返すことにより認証を行う方法
p374参照
-
シングルサインオンとは
1組のID・パスワードによる認証を1度行うだけで、連携している複数のシステムやクラウドサービス、アプリケーションに自動でログインできるようになる仕組み
-
ファイアウォールとは
外部ネットワークと内部ネットワークの接続点において通信通過の可否を判断することで外部からの不正アクセスを防止する仕組み
-
パケットフィルタリング方式とは
パケットのヘッダ情報で判断し通信通過の可否を決定する方式
ファイアウォールの仕組みの一つ
-
DMZとは
外部ネットワークと内部ネットワークの中間にあるセグメントのこと。主に内部サーバとは分離したいWebサーバやメールサーバなどを設置する
DMSに外部から不正アクセスがあっても内部ネットワークに被害が及ばないようにする
-
プロキシサーバとは
PCの代理で外部ネットワークにアクセスするサーバ
-
リバースプロキシサーバとは
外部からのアクセスをWebサーバの代理で受けるサーバ
-
ペネトレーションテストとは
システムを実際に攻撃してみてセキュリティの強さを確認する検査
-
ファジングとは
システムに問題を引き起こしそうなデータを多様なパターンで大量に入力してその動きを観察し脆弱性を見つける検査
-
