-
情報セキュリティのリスク要素2つ
脆弱性と脅威
-
脆弱性
情報セキュリティ上の重大な欠陥
-
脅威
情報資産を脅かす存在
-
脅威の種類3つ
物理的脅威・人的脅威・技術的脅威
-
物理的脅威
地震や災害,侵入者による破壊など物理的に情報が壊されること
-
人的脅威
操作ミスや不正利用,怠慢など人的由来の脅威のこと
-
ソーシャルエンジニアリング
人の心理のすきをついて機密情報を入手する行為
-
不正のトライアングル
機会・動機・正当化
-
技術的行為
コンピューターウイルスやサイバー攻撃のこと
-
ISMS
Infomtion Security Management System: 企業が情報セキュリティを管理するための仕組み
-
ISMS認証
情報セキュリティ意識が高い企業に与えられる証明書のようなもの.このような評価制度のことをISMS適合評価制度という
-
JISQ27000シリーズ
ISMS認証のための評価事項が定義されている
-
情報セキュリティの3要素
機密性・完全性・可用性
-
機密性
許可された人だけが情報にアクセスできるようにすること
-
完全性
情報が正確・完全であること
-
可用性
利用者が必要な時にいつでも情報にアクセスできること
-
情報セキュリティの3要素に加えられる4つ
真正性・信頼性・責任追跡性・否認防止性
-
真正性
偽造やなりすましがなく情報が本物であること
-
信頼性
意図したとおりの結果が返ってくること
-
責任追跡性
誰が関与したか追跡できるようにすること
-
否認防止性
あとで「自分ではない」と否定されないようにすること
-
マルウェア
コンピューターに悪影響を与えるソフトウェアの総称
-
コンピューターウイルス
他のプログラムに寄生しながらコンピューターに悪影響を与えるウイルス
-
マクロウイルス
Excel,Wordなどのマクロ機能を悪用して感染するウイルス
-
ワーム
自己増殖機能を持ち自ら感染を広げていくウイルス
-
トロイの木馬
有益なソフトウェアと見せかけてユーザーに実行を促し,その裏で不正操作をするウイルス
-
スパイウェア
他ソフトにまぎれてコンピューターにインストールされ,利用者の情報を抜き取るウイルス
-
ランサムウェア
利用者PCのファイルを勝手に暗号し,解除と引き換えに金銭を要求すること
-
キーロガー
キーボードを不正に記録して利用者の個人情報を抜き取ること
-
ルートきっと
バックドア生成ツールやログ改ざんツールなど,コンピューターへの不正アクセスに有用なツールがパッケージとしてまとめられたもの
-
バックドア
攻撃者がこっそりとつくるwebサイトへの侵入経路(バックドアからのアクセスからは検知できない)
-
ボット
ウイルス感染した情報機器を外部から不正に操作するプログラム
-
ゾンビ
ウイルスに感染して不正に操作されるコンピューター
-
C&Cサーバー
ゾンビを遠隔操作をするために命令を出すサーバー
-
ボットネット
C&Cサーバーとゾンビをまとめたもの
-
ウイルスの見地方法2つ
ビヘイビア法・パターンマッチング法
-
ビヘイビア法
仮想環境で検査対象のプログラムを実際に動かし,その挙動からマルウェアを検知する.未知のウイルスも発見可能
-
パターンマッチング法
シグネチャコードと検査対象プログラムを比較してマルウェアを検知する.未知のウイルスの検知は不可能
-
シグネチャコード
既存ウイルスのパターンのこと
-
サイバー攻撃の種類
パスワードを見破る攻撃・脆弱性を狙う攻撃・なりすまし攻撃・パソコンへの攻撃
-
ブルートフォース攻撃
IDを1つ定め,パスワードとして使用し可能な文字を総当たりで試す手法
-
リバースブルートフォース攻撃
パスワードを1つ定め,IDとして使用可能な文字を総当たりで試す手法
-
パスワードリスト攻撃
他サイトなどで不正に入手したパスワードとIDを用いてログインを試みる手法
-
ハッシュ値
あるデータを特定のアルゴリズム(ハッシュ関数)で変換したもの
-
クロスサイトスクリプティング
正規のwebサイト上に偽のwebページを表示させる手法
-
SQLインジェクション
SQLの中に不正な命令を紛れ込ませ,データベースを不当に操作する手法
-
DNSキャッシュポイズニング
ドメインとIPアドレスを結び付けるDNSサーバーに偽サイトのドメインを紛れ込ませ利用者を偽サイトに誘導する手法
-
ドライブバイダウンロード
webサイトを閲覧しただけでマルウェアを閲覧者のPCにダウンロードさせる手法
-
rootkit
サーバーにバックドアをつくり,サーバ内での侵入の痕跡を隠ぺいするなどの機能を持つ不正なプログラムやツールのパッケージ
-
エスケープ処理
シングルクォーテーションをダブルクオーテーションに変換する方法
-
ネットワーク通信における3つの危険
盗聴・改ざん・なりすまし
-
盗聴を防ぐ手法
暗号化
-
鍵
数学的アルゴリズムで作成された数字の羅列
-
鍵をかける
数字を使ってデータを変形させること
-
暗号化の方式2つ
共通鍵暗号方式・公開鍵暗号方式
-
共通鍵暗号方式
暗号化と複合で同じ鍵を使用し,鍵を秘密にしておく
-
公開鍵暗号方式
暗号化と複合で別々の鍵を使用し,暗号化用の鍵を公開する
-
共通鍵暗号方式のデメリット
秘密鍵の管理が困難
-
公開鍵暗号方式のデメリット
暗号化の仕組みが複雑であり,暗号化や複合に時間を有する
-
共通鍵暗号方式の暗号アルゴリズム
AESなど
-
公開鍵暗号方式の暗号アルゴリズム
RSA・楕円曲線暗号など
-
ハッシュ関数
データの改ざんを防ぐためのデータ変換アルゴリズム
-
ハッシュ関数の代表例
SHAー256
-
ハッシュ関数の特徴3つ
入力データに対し必ず唯一の出力データが生成される・同じハッシュ関数を使用する場合,入力データから得られるハッシュ値は常に等しい・出力データから入力データの変換はできない
-
ディジタル署名
ハッシュ化及び公開鍵暗号法s記の逆手順でディジタル署名を実施することで改ざんとなりすましを防ぐ
-
公開鍵暗号方式とディジタル署名の違い
公開鍵暗号方式ではデータを安全の送るため受信者の公開鍵で暗号化,ディジタル署名では送信者の本人確認をするため送信者の秘密鍵で暗号化
-
認証局
公開鍵が本人のものであることを証明する認証機関
-
公開鍵基盤orPKI
認証機関や公開鍵暗号化技術を用いて安全に通信を行う仕組み
-
ファイアウォール
内部ネットワークと外部ネットワークの間で機能する,外部からの不正アクセスを防ぐ仕組み
-
パケットフィルタリング
ファイアーウォールの仕組みの一つであり,パットのヘッダ情報で通信可否を制御する方法
-
ホワイトイスト/ブラックリスト
通過許可/禁止IPアドレス
-
プロキシサーバー
内部から外部へのアクセスを代理実施するサーバー
-
リバースプロキシサーバー
外部から内部へのアクセスを代理実施するサーバー
-
DMZ
DeMilitarized Zone: 内部・外部から木離反されたネットワークのこと.自社サイトのWebサーバーなど外部に公開するサーバーを設置
-
WAF
Web Application Firewall:Webアプリケーションへの攻撃を防ぐ仕組みの
-
利用者認証技術
利用者が正規の人物であることを認証する方法
-
バイオメトリクス認証(生体認証)
指紋認証,顔認証,音声認証など身体的特徴を用いて本人確認をする方法
-
ワンタイムパスワード
一定時間ごとに発行され一度きりしか使用できないパスワード
-
CAPTCHA/reCAPTCHA
コンピューターでは識別不可能な文字や画像をユーザーに回答させ,ユーザーがコンピューターbotではないことを証明する方法
-
VPN
Virtual Private Network: ネット回線上に特定の人だけがアクセスできる仮想的な専用線を引き,通信の安全性を高める方法
-
SSL
Secure Sockets Layer: インターネット上の通信を暗号化売る仕組み.クレジットカードなどの機密情報を送る際に使用される
-
ペネトレーションテスト
システムの脆弱性を検知するため,システムに対して実際に攻撃を仕掛け,セキュリティレベルをチェックすること(攻撃する人をホワイトハッカーという)
-
ファジング
ソフトウェアの脆弱性を検知するため,プオグラムに対して異常を引き起こす可能性がある多様なデータを自動で入力してチェックすること
-
セキュリティ対策なしのプロトコル
HTTP,IP,TELNET
-
セキュリティ対策ありのプロトコル
HTTPS,IPsec,SSH
-
ペネトレーションテストとファジングの違い(チェックする場所・検査手法・効果)
ペネトレーションテスト(サーバーやネットワーク・実際に攻撃を仕掛ける・システムの脆弱性や設計不備を検知)ファジング(ソフトウェア・多様なデータを送る・ソフトウェアの脆弱性を検知するため)
-
