Open4
[SC] 支援士試験 用語・ガイドライン整理集
ピン留めされたアイテム

はじめに
支援士受験に向けて、午前I・午前II中心に用語やガイドラインの説明、リンクを記載していく。
Zennのトグル表記が大変便利なので使っていく。
:::details タイトル
表示したい内容
:::
::::details タイトル
:::message
ネストされた要素
:::
::::
ピン留めされたアイテム

ガイドライン
IPA
脆弱性対応における リスク評価手法のまとめver1.1
- 脆弱性対応における リスク評価手法のまとめver1.1 (2024.07)
- 発行から2年間有効とのこと。
- 1章では、CVSSv3, CVSSv4, SSVC, EPSS, KEVの概要と比較がわかりやすく説明されている。
- EPSS自体は30日以内に悪用される脆弱性の確率を推定したもので、機械学習で計算している。
- 2.2節からの横軸CVSS基、縦軸EPSS閾値の4象限マトリクスの話が、R7春期午後大問2に出題された。
- EPSS閾値が1%の理由、CVSS基の閾値が7.0が妥当な理由が説明されている。
- EPSS入門:脆弱性管理を変革する新指標の理解と活用方法
- 3章からの脆弱性情報収集は普段の役に立ちそう。CPEの説明があった。NVDのAPIから収集するの良さげ。EPSSのAPIもあるとのこと。
- 共通プラットフォーム一覧CPE概説
- CVE_Prioritizer : CVE 番号に対して、EPSS スコア・CVSS 基本値・KEV 等に関する情報を取得可能
- 3.4節 p62から、
脅威情報をモニタリングする方法の例として、①KEV や JPCERT/CC の注意喚起情報を確認 ②EPSS スコア上昇を把握 ③ニュースメディアやソーシャルメディアの確認 ④脅威インテリジェンスサービスの活用
(``間本文引用)が挙げられていた。- KEV→CSV or json、Subscribeして情報も受け取れる
- JPCERT/CC→RSSを活用する
- EPSS→スコア上昇把握のために、A-Cレベルの脆弱性を4週間程度監視しておく
- KEVをSubScribeしてきた。
- https://www.cisa.gov/securebydesign

現段階でまとめときたいTOPIC
- サイドチャネル攻撃>6つの攻撃
- フェイルセーフ・フールプルーフシリーズ
- スクラムの用語(レトロスペクティブとかスクラムマスター・POとか)
- プロジェクト関連(クラッシング以外の短縮手法とか、レビュー手法とか)
- プロダクト分析(PPPMとか、SWOTとかの経営系)
- EVMの進捗指標値の読み方
- CPS、デジタル証明書認証局関連の用語
- DB 第1正規系〜第3正規系まで。
- DB CASCADE, RESTRICT, GRANT

R7春 用語振り返り
午前I,II混合
全体の振り返りは以下に記載
用語
用語
DX認定制度
- 認定基準: 経営ビジョン及びビジネスモデルの方向性の公表していることと、DX戦略を公表していること
- 「企業がデジタルによって自らのビジネスを変革する準備ができている状態」
- IPA: DX認定制度のご案内
CRYPTREC
- ◎電子政府推奨暗号リスト(市場で利用実績が十分にあるか、今後の普及が見込まれるものを対象)
- ◯推奨候補暗号リスト(安全性及び実装性能を確認され、今後、電子政府推奨暗号リストに掲載される可能性のある)
- △運用監視(互換性維持のために継続利用を容認する)
- https://www.alpha.co.jp/blog/202502_01/
PoE (Power of Ethernet)
- 無線LANのアクセスポイントやIP電話機などに、LANケーブルを利用して給電も行う仕組み
- https://canon.jp/biz/trend/poe
- 誤答のPLC: Programmable Logic Controller(プログラマブルロジックコントローラ)」の略称(注)で、日本語に直訳すると「プログラム可能な論理回路の制御装置
- https://www.sbbit.jp/article/cont1/44909
AI マシンビジョン
- スマートファクトリーのAIを用いた「マシンビジョン」の目的とは: 人間の目視検査をAIが代替し、検査効率を向上させる。
- マシンビジョン(Machine Vision)とは、自動分析に必要なデータを提供するイメージングを土台とした技術や方
- https://www.klv.co.jp/university/machine-vision/column/what-is-machine-vision.html
L2TP
- Layer 2 Tunneling Protocolの略。トンネリング。
- VPN接続関連で、2層で仮想トンネルを作成するプロトコル。
- https://www.openupitengineer.co.jp/column/it-technology/3413
ISMAP (政府クラウド)
- 政府情報システムのためのセキュリティ評価制度(ISMAP)
- ISMAP: Information system Security Management and Assessment Program
政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、政府機関等(各府省庁等及び独立行政法人等)におけるクラウドサービスの円滑な導入に資することを目的とする制度
- https://www.nisc.go.jp/policy/group/general/ismap.html
DRDoS攻撃
- Distributed Reflection Denial-of-Service Attack(分散リフレクションDoS攻撃)
- Reflection=反射。
標的IPアドレスを送信元に偽造したパケットを大量のマシンに送信することで、全ての応答を標的マシンに指向させる
- https://www.sompocybersecurity.com/column/glossary/drdos
SHA-512/256
- SHA-512を256ビットに縮める
SHA-512から返ってきた長さが512ビットの値をぶった切って256ビットにします
- https://wa3.i-3-i.info/word16002.html
コネクトバック
- コネクトバック通信。マルウェアが感染したコンピュータから外部の攻撃者と通信する方式の一つ。
- goo辞書
IoC
- IoC(Indicator of Compromise): 侵害指標
- あるネットワーク機器のログに残されたC&Cサーバとの通信履歴
日本語では、「侵害指標」や「セキュリティ侵害インジケーター」と呼ばれます。例えばマルウェアのファイル名、攻撃時に通信先となったIPアドレスなど、「攻撃された後に残る痕跡」の情報がIOCとして記録されます。
- https://www.hitachi-solutions-create.co.jp/column/security/ioc-security.html
CPS
- CPS (Certification Practice Statement)
- 認証局の認証業務運用に関する詳細を規定した文書
タイミング攻撃
- サイドチャネル攻撃>タイミング攻撃の対策は?
- 演算アルゴリズムに処理を追加して、秘密情報の違いによって演算の処理時間に差異が出ないようにする。
- タイミング攻撃:
命令を処理する時間差を分析して情報を盗む攻撃
- サイドチャネル攻撃: 主に6つある。また調べてまとめたい。
- https://office110.jp/security/knowledge/cyber-attack/side-channel-attack
OP25B
- OP25B: Outbound Port 25 Blocking (SMTP Block)
- ISP管理外のネットワークに向けて、ISP管理下のネットワークから送信されるスパムメールを制限する
- 迷惑メール対策の一種。メール送信規制。
- https://service.ocn.ne.jp/option/mail/ocnmail/meiwaku/op25b.html
セキュリティ・バイ・デザイン@午後
- 設計段階からセキュリティを考慮して組み込む考え方
- セキュア・バイ・デザインとも呼ぶ。
- シフトレフトに若干似ている。
セキュリティ・バイ・デザイン(Security by Design/SBD)、またはセキュア・バイ・デザイン(Secure by Design)とは、システム開発のライフサイクルにおいて、企画・設計段階からセキュリティ対策を意識して実装すること、またその概念。
- https://www.scsk.jp/sp/itpnavi/glossary/sa_line/sa_line_se/securitybydesign.html
選択
選択
過学習の解消
- 精度を高めるために、元の訓練データに加工を施し、訓練データの量を増やす。
- 訓練データ上では正解率が高く、テストデータでは正解率が低いという状態
- データが不足している、偏ったデータを学習している、機械学習モデルの目的が不明瞭のが原因
- https://aismiley.co.jp/ai_news/overtraining/
DB正規系
- 第2正規形から第3正規系: 候補キー以外の属性値に関数従属性がある場合、その関係を分解する
システム監視>監査手続
- システム監視の「監査手続」とは:
- 監査項目について、十分かつ適切な証拠を入手するための手段
プロジェクト期間短縮>クラッシング
- プロジェクトの外部から要員を調達し、クリティカルパス上の作業に投入する。
クラウドサービス>プロビジョン二ング
- 利用者の需要を予想し、ネットワーク設備やシステムリソースなどを計画的に調達強化し、利用者の要求に応じたサービスを提供できるよう備える。
デジタル証明書
- TLSにおいて、デジタル証明書は、通信データの暗号化のための鍵交換や通信相手の認証に用いられている。
アジャイル KPT手法
- Keep, Plobrem, Try
- レトロスペクティブ: 日本語で言う「振り返り」
- http://abi-agile.com/retrospective/