-
情報セキュリティのリスク要素2つ脆弱性と脅威
-
脆弱性情報セキュリティ上の重大な欠陥
-
脅威情報資産を脅かす存在
-
脅威の種類3つ物理的脅威・人的脅威・技術的脅威
-
物理的脅威地震や災害,侵入者による破壊など物理的に情報が壊されること
-
人的脅威操作ミスや不正利用,怠慢など人的由来の脅威のこと
-
ソーシャルエンジニアリング人の心理のすきをついて機密情報を入手する行為
-
不正のトライアングル機会・動機・正当化
-
技術的行為コンピューターウイルスやサイバー攻撃のこと
-
ISMSInfomtion Security Management System: 企業が情報セキュリティを管理するための仕組み
-
ISMS認証情報セキュリティ意識が高い企業に与えられる証明書のようなもの.このような評価制度のことをISMS適合評価制度という
-
JISQ27000シリーズISMS認証のための評価事項が定義されている
-
情報セキュリティの3要素機密性・完全性・可用性
-
機密性許可された人だけが情報にアクセスできるようにすること
-
完全性情報が正確・完全であること
-
可用性利用者が必要な時にいつでも情報にアクセスできること
-
情報セキュリティの3要素に加えられる4つ真正性・信頼性・責任追跡性・否認防止性
-
真正性偽造やなりすましがなく情報が本物であること
-
信頼性意図したとおりの結果が返ってくること
-
責任追跡性誰が関与したか追跡できるようにすること
-
否認防止性あとで「自分ではない」と否定されないようにすること
-
マルウェアコンピューターに悪影響を与えるソフトウェアの総称
-
コンピューターウイルス他のプログラムに寄生しながらコンピューターに悪影響を与えるウイルス
-
マクロウイルスExcel,Wordなどのマクロ機能を悪用して感染するウイルス
-
ワーム自己増殖機能を持ち自ら感染を広げていくウイルス
-
トロイの木馬有益なソフトウェアと見せかけてユーザーに実行を促し,その裏で不正操作をするウイルス
-
スパイウェア他ソフトにまぎれてコンピューターにインストールされ,利用者の情報を抜き取るウイルス
-
ランサムウェア利用者PCのファイルを勝手に暗号し,解除と引き換えに金銭を要求すること
-
キーロガーキーボードを不正に記録して利用者の個人情報を抜き取ること
-
ルートきっとバックドア生成ツールやログ改ざんツールなど,コンピューターへの不正アクセスに有用なツールがパッケージとしてまとめられたもの
-
バックドア攻撃者がこっそりとつくるwebサイトへの侵入経路(バックドアからのアクセスからは検知できない)
-
ボットウイルス感染した情報機器を外部から不正に操作するプログラム
-
ゾンビウイルスに感染して不正に操作されるコンピューター
-
C&Cサーバーゾンビを遠隔操作をするために命令を出すサーバー
-
ボットネットC&Cサーバーとゾンビをまとめたもの
-
ウイルスの見地方法2つビヘイビア法・パターンマッチング法
-
ビヘイビア法仮想環境で検査対象のプログラムを実際に動かし,その挙動からマルウェアを検知する.未知のウイルスも発見可能
-
パターンマッチング法シグネチャコードと検査対象プログラムを比較してマルウェアを検知する.未知のウイルスの検知は不可能
-
シグネチャコード既存ウイルスのパターンのこと
-
サイバー攻撃の種類パスワードを見破る攻撃・脆弱性を狙う攻撃・なりすまし攻撃・パソコンへの攻撃
-
ブルートフォース攻撃IDを1つ定め,パスワードとして使用し可能な文字を総当たりで試す手法
-
リバースブルートフォース攻撃パスワードを1つ定め,IDとして使用可能な文字を総当たりで試す手法
-
パスワードリスト攻撃他サイトなどで不正に入手したパスワードとIDを用いてログインを試みる手法
-
ハッシュ値あるデータを特定のアルゴリズム(ハッシュ関数)で変換したもの
-
クロスサイトスクリプティング正規のwebサイト上に偽のwebページを表示させる手法
-
SQLインジェクションSQLの中に不正な命令を紛れ込ませ,データベースを不当に操作する手法
-
DNSキャッシュポイズニングドメインとIPアドレスを結び付けるDNSサーバーに偽サイトのドメインを紛れ込ませ利用者を偽サイトに誘導する手法
-
ドライブバイダウンロードwebサイトを閲覧しただけでマルウェアを閲覧者のPCにダウンロードさせる手法
-
rootkitサーバーにバックドアをつくり,サーバ内での侵入の痕跡を隠ぺいするなどの機能を持つ不正なプログラムやツールのパッケージ
-
エスケープ処理シングルクォーテーションをダブルクオーテーションに変換する方法
-
ネットワーク通信における3つの危険盗聴・改ざん・なりすまし
-
盗聴を防ぐ手法暗号化
-
鍵数学的アルゴリズムで作成された数字の羅列
-
鍵をかける数字を使ってデータを変形させること
-
暗号化の方式2つ共通鍵暗号方式・公開鍵暗号方式
-
共通鍵暗号方式暗号化と複合で同じ鍵を使用し,鍵を秘密にしておく
-
公開鍵暗号方式暗号化と複合で別々の鍵を使用し,暗号化用の鍵を公開する
-
共通鍵暗号方式のデメリット秘密鍵の管理が困難
-
公開鍵暗号方式のデメリット暗号化の仕組みが複雑であり,暗号化や複合に時間を有する
-
共通鍵暗号方式の暗号アルゴリズムAESなど
-
公開鍵暗号方式の暗号アルゴリズムRSA・楕円曲線暗号など
-
ハッシュ関数データの改ざんを防ぐためのデータ変換アルゴリズム
-
ハッシュ関数の代表例SHAー256
-
ハッシュ関数の特徴3つ入力データに対し必ず唯一の出力データが生成される・同じハッシュ関数を使用する場合,入力データから得られるハッシュ値は常に等しい・出力データから入力データの変換はできない
-
ディジタル署名ハッシュ化及び公開鍵暗号法s記の逆手順でディジタル署名を実施することで改ざんとなりすましを防ぐ
-
公開鍵暗号方式とディジタル署名の違い公開鍵暗号方式ではデータを安全の送るため受信者の公開鍵で暗号化,ディジタル署名では送信者の本人確認をするため送信者の秘密鍵で暗号化
-
認証局公開鍵が本人のものであることを証明する認証機関
-
公開鍵基盤orPKI認証機関や公開鍵暗号化技術を用いて安全に通信を行う仕組み
-
ファイアウォール内部ネットワークと外部ネットワークの間で機能する,外部からの不正アクセスを防ぐ仕組み
-
パケットフィルタリングファイアーウォールの仕組みの一つであり,パットのヘッダ情報で通信可否を制御する方法
-
ホワイトイスト/ブラックリスト通過許可/禁止IPアドレス
-
プロキシサーバー内部から外部へのアクセスを代理実施するサーバー
-
リバースプロキシサーバー外部から内部へのアクセスを代理実施するサーバー
-
DMZDeMilitarized Zone: 内部・外部から木離反されたネットワークのこと.自社サイトのWebサーバーなど外部に公開するサーバーを設置
-
WAFWeb Application Firewall:Webアプリケーションへの攻撃を防ぐ仕組みの
-
利用者認証技術利用者が正規の人物であることを認証する方法
-
バイオメトリクス認証(生体認証)指紋認証,顔認証,音声認証など身体的特徴を用いて本人確認をする方法
-
ワンタイムパスワード一定時間ごとに発行され一度きりしか使用できないパスワード
-
CAPTCHA/reCAPTCHAコンピューターでは識別不可能な文字や画像をユーザーに回答させ,ユーザーがコンピューターbotではないことを証明する方法
-
VPNVirtual Private Network: ネット回線上に特定の人だけがアクセスできる仮想的な専用線を引き,通信の安全性を高める方法
-
SSLSecure Sockets Layer: インターネット上の通信を暗号化売る仕組み.クレジットカードなどの機密情報を送る際に使用される
-
ペネトレーションテストシステムの脆弱性を検知するため,システムに対して実際に攻撃を仕掛け,セキュリティレベルをチェックすること(攻撃する人をホワイトハッカーという)
-
ファジングソフトウェアの脆弱性を検知するため,プオグラムに対して異常を引き起こす可能性がある多様なデータを自動で入力してチェックすること
-
セキュリティ対策なしのプロトコルHTTP,IP,TELNET
-
セキュリティ対策ありのプロトコルHTTPS,IPsec,SSH
-
ペネトレーションテストとファジングの違い(チェックする場所・検査手法・効果)ペネトレーションテスト(サーバーやネットワーク・実際に攻撃を仕掛ける・システムの脆弱性や設計不備を検知)ファジング(ソフトウェア・多様なデータを送る・ソフトウェアの脆弱性を検知するため)
ログイン
オンライン単語帳
このページを利用するにはログインする必要があります。ログインするとAnkilotをより便利にご利用いただけます。