🍣
基本技術者試験:情報セキュリティ頻出単語
01.ディジタル署名🗂🔑
- ハッシュ関数を使ってメッセージダイジェストを作り、送り主しかわからない秘密鍵で暗号化したもの
- なりすましと改ざんを防げるよ
- 秘密鍵でハッシュ化したメッセージダイジェストと、公開鍵をセットにして相手に送り、以下を証明できる
- 届いた公開鍵でハッシュ値を復号できる(=なりすまししてないよ)
- ファイル内容をハッシュ値に直して一致している(=改ざんしてないよ)
02.公開鍵暗号方式🗂🔑
- 暗号化と復号化で異なる鍵を使う方式のことだよ
- 受信者側が秘密鍵と公開鍵のペアを作成し、公開鍵の方を配布して「自分に送ってくるときはこの鍵を使って暗号化してね」とする
- 送られてくる途中で中身を見られてしまっても、受信者側が持っている秘密鍵でないと中身を復号できないのでOK!
03.ファイアウォール🔥
- 社内ネットワークとインターネットの間に防火壁(firewall)として設置する役割のこと
- その実現方法の一つが「パケットフィルタリング型ファイアウォール」
- ルールに当てはまるパケット(小包)だけ通して、当てはまらないパケットは遮断して破棄する仕組み
- パケットのヘッダ情報(送信元IPアドレス・宛先IPアドレス・プロトコル・ポート番号等)を見て判断するよ
- IPアドレス:どのコンピュータからか
- プロトコル:上位層(トランスポート層)のプロトコルが何であるのか(HTTP,FTP等)
- ポート番号:どのサーバープログラムに宛てたものか
- 一つのコンピュータがさまざまなサーバを兼任
- そこでプログラム側は0~65,535までの範囲で自分の接続口をもつ(=ポート番号)
04.SQLインジェクション攻撃👿
- 悪意のある人がWebアプリに悪意のあるSQLを入力して、データベースの内容を不正に改ざん・取得する攻撃のこと
- injection「注入する」
05.バイオメトリクス認証👀👐
- 生体認証のこと(指紋、虹彩、静脈の形状、音声、顔等)
- パスワードに比べて装置の仕組みは複雑だがなりすましが困難
- 本人を誤って拒否、他人を誤って許可する確率を勘案して装置を調整する必要がある
- bio「生物の」
- metrics「測定」
06.RSA🔑
- 公開鍵暗号方式に使われている暗号アルゴリズムの一つ
- このアルゴリズムの考案者であるRivest(リベスト)、Shamir(シャミア)、Adelman(エーデルマン)の頭文字からこの名になった
07.WAF(ワフ)🔥
- Web Application Firewall(Webアプリの防火壁)
- ファイアウォールと同じ”防火壁”だが、下記の違いがあるよ。
- ファイアウォール:データの送信元と宛先チェックして許可したものだけ通過(データの中身までは見ない)
- WAF:データの内容を見てSQLインジェクション攻撃やブルートフォース攻撃を検知したときは遮断
- ファイアウォールとWAFは組み合わせて使うもの
08.サージ保護デバイス⚡️
- コンピュータを壊してしまうような電圧の大波(surge)から保護できる機器のこと
- 落雷⚡️
- サージをコンピュータとは別の経路に通過させる仕組みを持つ
- SPD(Surge Protection Device)とも呼ばれる
09.DNSキャッシュポイズニング👿
- DNSのキャッシュ機能を悪用して、一時的に偽のドメイン情報を覚えさせて偽装Webサイトへ誘導する方法
- DNS:このドメインならここのIPアドレスだね!と識別してくれるサーバのこと
- キャッシュ機能:毎回識別するのは大変なので対応表をキャッシュとして記録している
10.BYOD🙅♂️🖥
- BYOB(Bring Your Own Bottle)「自分のボトルを持参」のレストラン用語を文字ったもの
- 「アルコール類店内持ち込みOKだよ!🍷」
- BYOD(Bring Your Own Device)「自分の装置を持参」のことで、社員が個人で利用しているパソコンやスマホなどを業務に利用することを指す
- ウィルスに感染したり、情報漏洩のリスクが高まるのでやめよう
11.リスク移転🙆♀️
- リスク対応(※)の一つ
- 保険に加入するなど、他者と損失の負担を分担(リスクを移転)すること
リスク対応とは?
リスクアセスメントの結果を考慮してリスクに対してどのような対応をするか示した言葉
| リスク対応の種類 | 意味 |
|---|---|
| リスク受容 (保有) |
何もしないこと(石橋割れても水濡れるだけだからOK) |
| リスク回避 | 実際に起こらないようにすること(石橋に渡らない) |
| リスク移転 (転嫁) |
省略(石橋が割れたらお金をあげるわ保険に入る) |
| リスク低減 (軽減) |
被害の規模を小さくするために備えること(石橋を叩いて安全性を確かめよう) |
12.リスクアセスメント🙆♀️
- 悪いことが起こる可能性を、調査して評価すること
- リスクアセスメント→その結果に応じてリスク対応
13.メッセージダイジェスト🗂🔑
- 要約のこと
- ファイルを構成するすべてのデータ化や計算された値であり、ハッシュ値(hash=ごたまぜ)とも呼ばれる
14.ポートスキャナ
- 通信プログラムが使用しているポート番号をチェックするツールのこと
- 現在動作している通信プログラムとそのポート番号が一覧表示される
- 意図していない通信プログラムあり=悪意のある人に組み込まれた!と気付ける
15.ペネトレーションテスト🔥👀
- 侵入(penetration)テストのこと(=避難訓練みたいなもの)
- 実際に攻撃を行なってみてセキュリティホールや設定ミスなどの脆弱性がないかテスト
- 一番の目的はファイアウォールや公開サーバに対して侵入できないことを確認すること
16.バックドア👿🚪
- 企業内ネットワークやサーバに不正侵入するために裏口となる侵入手段を用意すること
- パスワードなしでアクセスできるURLを作る
- OSの設定ファイルを書き換える
17.認証局👮♀️
- 「この公開鍵は確かに本人のものですよ」を証明する機構のこと
- そのことをPKI(Public Key Infrastructure=公開鍵基盤)という
- パブリックキーインフラストラクチャー
- CA(Certificaation Authority=信頼のおける第三者機関)によって成り立つ
- サーティフィケーション・オーソリティ
- 登録した公開鍵は認証局のディジタル署名を添付してくれる
- そのことをPKI(Public Key Infrastructure=公開鍵基盤)という
18.ディレクトリトラバーサル攻撃👿
- ディレクトリの構造を横断してWebサーバ内のファイルを不正に閲覧、改ざん、削除すること
- 例
../を連続してルートディレクトリまで到達後、etc/passwdに移動して不正閲覧- 対応策
- 外部からファイル名を指定する仕様にそもそもしない(番号指定等)
- ファイル名にディレクトリ名が含まれないようにして想定したディレクトリ以外にアクセスさせない
- ファイル名を英数字に限定して記号文字を使えないようにする
- 対応策
- 例
19.ソーシャルエンジニアリング👿
- 人間の社会的・心理的な行動の隙や不注意をついて情報資産を盗み出す行為のこと
- 👿 肩越しにパスワードを盗み見(ショルダーハッキング)
- 👿 ゴミ箱漁って有用な情報盗み出し(スキャビンジング)
- 👿 身分を詐称して機密情報聞き出し
- 👿 付箋に書いたパスワードを悪用
- 1人1人の意識レベルを改善することが大事
20.SHA-256🔑
- よく使われるハッシュ値の計算方法の一種
Secure Hash Algorithm 256-bit- メッセージダイジェストを作るための計算方法
21.ブルートフォース攻撃👿(総当たり攻撃)
- パスワードの文字列の組み合わせを全て試す攻撃手法
-
brute forceは暴力、力ずくの意味 - 対策として一定ルールを超えたらアカウントロックすることが有効
-
22.不正アクセス禁止法📕
- 不正アクセス行為とその助長行為を規制する法律
- 不正アクセスとは?
- インターネットや社内LANなどの通信回線を通じた不正行為
- パスワードや生体認証が必要なコンピュータへの不正アクセス
- 不正アクセスとは?
23.パターンマッチング方式✅
- ウィルス対策ソフトがウイルスを検出する方式の一つ
- 既知のウィルスの特徴を示す命令やデータのパターンと一致していないかチェック
- ウイルスの特徴パターンのことをウイルスのシグネチャ(署名)という
- シグネチャを記録したファイルをウイルス定義ファイルという
- ウイルス定義ファイルは頻繁に更新しよう
24.パスワードリスト攻撃👿
- 不正に取得した利用者IDとパスワードのリスト(一覧)を使って様々なWebサービスへのログインを試行する攻撃のこと
- 漏洩したリストを使って実施
- 他のサイトと同じID・passwordを設定している人がカモとなる🦆
- 主な対策としては
- 2段階認証
- 積極的なパスワードチェック(見破られやすいのだめよ)
- ログイン失敗率の監視(失敗しまくっている人を調査、該当するIPアドレスの遮断)
25.完全性👌
- 情報セキュリティの三要素の一つ
- 情報が完全な状態であること、つまり情報に改ざんがないこと
| 三要素 | 意味 |
|---|---|
| 機密性 | 漏洩しないこと(見せたくない人には見せない!) |
| 可用性 | 情報を利用しやすいこと(見せていい人は見せる!) |
| 完全性 | 改ざんがないこと(おかしくなってない!) |
26.SMTP-AUTH📩🔑
- スパムメール(勝手に送り付けられる迷惑メール)やなりすましメール(送信者を偽ったメール)を防ぐために、SMTPプロトコル時にユーザ認証を必要とする方法のこと
- SMTP(Simple Mail Transfer Protocol)はメールサーバ間の送受信を担当(配送)
- POP(Post Office Protocol version3)は受信部分を担当(受信したメールを取り出す)
- POPは他人宛のメールを勝手にみることができては困るため認証をしていた
- SMTPは認証していなかったが、それをできるようにした
27.SEOポイズニング👿
- Webページの作成者が、検索結果上位に表示するよう細工をし、アクセスしてきたユーザーに対して攻撃を仕掛けること
- 個人情報を不正に取得
- ウィルスに感染させる
- 詐欺サイトに誘導する
28.IPsec📕
- IPsecはパケットの暗号化や改ざんの検知を行うプロトコル
- ネットワーク層であるレイヤ3だよ
- OSI基本参照モデルとは、プロトコルを7階層に分けてみた世界共通の規格のこと
- コンピュータ同士のコミニュケーションを成立させるため
- 階層に分けていることでプロトコルを改変したい時、どの階層の話なのか一目瞭然になる
| OSI基本参照モデル | 何するところ? |
|---|---|
| レイヤ7 アプリケーション層 |
具体的にどんなサービス提供する? |
| レイヤ6 プレゼンテーション層 |
データはどんな形式にする? |
| レイヤ5 セッション層 |
通信の開始から終了までどう管理する? |
| レイヤ4 トランスポート層 |
通信の信頼性はどう確保する? |
| レイヤ3 ネットワーク層 |
ネットワークとネットワークをどう中継する? |
| レイヤ2 データリンク層 |
同一ネットワーク内でどう通信する? |
| レイヤ1 物理層 |
物理的にどう繋ぐ? |
29.CAPTCHA✅
- 人間とコンピュータを判別するチューリングテストのこと
30.AES🔑
- 共通鍵暗号方式に使われているアルゴリズムの一つ。
- AES(Advanced Encryption Standard=高度な暗号化の標準)
- アドバンスト エンクリプション スタンダード
- 共通鍵暗号方式なので、暗号化と復号化で同じ鍵を使用する
- AES(Advanced Encryption Standard=高度な暗号化の標準)
Discussion