Open4

[SC] 支援士試験 用語・ガイドライン整理集

ピン留めされたアイテム
AnriAnri

はじめに

支援士受験に向けて、午前I・午前II中心に用語やガイドラインの説明、リンクを記載していく。
Zennのトグル表記が大変便利なので使っていく。

:::details タイトル
表示したい内容
:::

::::details タイトル
:::message
ネストされた要素
:::
::::
ピン留めされたアイテム
AnriAnri

ガイドライン

IPA

脆弱性対応における リスク評価手法のまとめver1.1
  • 脆弱性対応における リスク評価手法のまとめver1.1 (2024.07)
  • 発行から2年間有効とのこと。
  • 1章では、CVSSv3, CVSSv4, SSVC, EPSS, KEVの概要と比較がわかりやすく説明されている。
    • EPSS自体は30日以内に悪用される脆弱性の確率を推定したもので、機械学習で計算している。
  • 2.2節からの横軸CVSS基、縦軸EPSS閾値の4象限マトリクスの話が、R7春期午後大問2に出題された。
  • 3章からの脆弱性情報収集は普段の役に立ちそう。CPEの説明があった。NVDのAPIから収集するの良さげ。EPSSのAPIもあるとのこと。
  • 3.4節 p62から、脅威情報をモニタリングする方法の例として、①KEV や JPCERT/CC の注意喚起情報を確認 ②EPSS スコア上昇を把握 ③ニュースメディアやソーシャルメディアの確認 ④脅威インテリジェンスサービスの活用(``間本文引用)が挙げられていた。
    • KEV→CSV or json、Subscribeして情報も受け取れる
    • JPCERT/CC→RSSを活用する
    • EPSS→スコア上昇把握のために、A-Cレベルの脆弱性を4週間程度監視しておく
    • KEVをSubScribeしてきた。
    • https://www.cisa.gov/securebydesign
AnriAnri

現段階でまとめときたいTOPIC

  • サイドチャネル攻撃>6つの攻撃
  • フェイルセーフ・フールプルーフシリーズ
  • スクラムの用語(レトロスペクティブとかスクラムマスター・POとか)
  • プロジェクト関連(クラッシング以外の短縮手法とか、レビュー手法とか)
  • プロダクト分析(PPPMとか、SWOTとかの経営系)
  • EVMの進捗指標値の読み方
  • CPS、デジタル証明書認証局関連の用語
  • DB 第1正規系〜第3正規系まで。
  • DB CASCADE, RESTRICT, GRANT
AnriAnri

R7春 用語振り返り

午前I,II混合
全体の振り返りは以下に記載
https://zenn.dev/anri99103/articles/53c02a77ea72c9

用語

用語
DX認定制度
  • 認定基準: 経営ビジョン及びビジネスモデルの方向性の公表していることと、DX戦略を公表していること
  • 「企業がデジタルによって自らのビジネスを変革する準備ができている状態」
  • IPA: DX認定制度のご案内
CRYPTREC
  • ◎電子政府推奨暗号リスト(市場で利用実績が十分にあるか、今後の普及が見込まれるものを対象)
  • ◯推奨候補暗号リスト(安全性及び実装性能を確認され、今後、電子政府推奨暗号リストに掲載される可能性のある)
  • △運用監視(互換性維持のために継続利用を容認する)
  • https://www.alpha.co.jp/blog/202502_01/
PoE (Power of Ethernet)
  • 無線LANのアクセスポイントやIP電話機などに、LANケーブルを利用して給電も行う仕組み
  • https://canon.jp/biz/trend/poe
  • 誤答のPLC: Programmable Logic Controller(プログラマブルロジックコントローラ)」の略称(注)で、日本語に直訳すると「プログラム可能な論理回路の制御装置
  • https://www.sbbit.jp/article/cont1/44909
AI マシンビジョン
L2TP
ISMAP (政府クラウド)
  • 政府情報システムのためのセキュリティ評価制度(ISMAP)
  • ISMAP: Information system Security Management and Assessment Program
  • 政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、政府機関等(各府省庁等及び独立行政法人等)におけるクラウドサービスの円滑な導入に資することを目的とする制度
  • https://www.nisc.go.jp/policy/group/general/ismap.html
DRDoS攻撃
  • Distributed Reflection Denial-of-Service Attack(分散リフレクションDoS攻撃)
  • Reflection=反射。
  • 標的IPアドレスを送信元に偽造したパケットを大量のマシンに送信することで、全ての応答を標的マシンに指向させる
  • https://www.sompocybersecurity.com/column/glossary/drdos
SHA-512/256
コネクトバック
  • コネクトバック通信。マルウェアが感染したコンピュータから外部の攻撃者と通信する方式の一つ。
  • goo辞書
IoC
  • IoC(Indicator of Compromise): 侵害指標
  • あるネットワーク機器のログに残されたC&Cサーバとの通信履歴
  • 日本語では、「侵害指標」や「セキュリティ侵害インジケーター」と呼ばれます。例えばマルウェアのファイル名、攻撃時に通信先となったIPアドレスなど、「攻撃された後に残る痕跡」の情報がIOCとして記録されます。
  • https://www.hitachi-solutions-create.co.jp/column/security/ioc-security.html
CPS
  • CPS (Certification Practice Statement)
  • 認証局の認証業務運用に関する詳細を規定した文書
タイミング攻撃
  • サイドチャネル攻撃>タイミング攻撃の対策は?
  • 演算アルゴリズムに処理を追加して、秘密情報の違いによって演算の処理時間に差異が出ないようにする。
  • タイミング攻撃: 命令を処理する時間差を分析して情報を盗む攻撃
  • サイドチャネル攻撃: 主に6つある。また調べてまとめたい。
  • https://office110.jp/security/knowledge/cyber-attack/side-channel-attack
OP25B
セキュリティ・バイ・デザイン@午後
  • 設計段階からセキュリティを考慮して組み込む考え方
  • セキュア・バイ・デザインとも呼ぶ。
  • シフトレフトに若干似ている。
  • セキュリティ・バイ・デザイン(Security by Design/SBD)、またはセキュア・バイ・デザイン(Secure by Design)とは、システム開発のライフサイクルにおいて、企画・設計段階からセキュリティ対策を意識して実装すること、またその概念。
  • https://www.scsk.jp/sp/itpnavi/glossary/sa_line/sa_line_se/securitybydesign.html

選択

選択
過学習の解消
  • 精度を高めるために、元の訓練データに加工を施し、訓練データの量を増やす。
  • 訓練データ上では正解率が高く、テストデータでは正解率が低いという状態
  • データが不足している、偏ったデータを学習している、機械学習モデルの目的が不明瞭のが原因
  • https://aismiley.co.jp/ai_news/overtraining/
DB正規系
システム監視>監査手続
  • システム監視の「監査手続」とは:
  • 監査項目について、十分かつ適切な証拠を入手するための手段
プロジェクト期間短縮>クラッシング
  • プロジェクトの外部から要員を調達し、クリティカルパス上の作業に投入する。
クラウドサービス>プロビジョン二ング
  • 利用者の需要を予想し、ネットワーク設備やシステムリソースなどを計画的に調達強化し、利用者の要求に応じたサービスを提供できるよう備える。
デジタル証明書
  • TLSにおいて、デジタル証明書は、通信データの暗号化のための鍵交換や通信相手の認証に用いられている。
アジャイル KPT手法