基本情報技術者試験の「情報セキュリティ」項目についての試験直前チェックです
記憶を呼び起こすのに利用してください
シラバスからの引用はこちら
情報セキュリティの確保に関すること
https://www.ipa.go.jp/shiken/syllabus/ps6vr7000000i0p0-att/youkou_ver5_0.pdf
情報セキュリティ要求事項の提示(物理的及び環境的セキュリティ、技術的及び運用のセキ
ュリティ)、マルウェアからの保護、バックアップ、ログ取得及び監視、情報の転送における
情報セキュリティの維持、脆弱性管理、利用者アクセスの管理、運用状況の点検 など
ハニーポット
意図的に脆弱性を含めたダミーのシステムを用意し、おびき寄せた侵入者やマルウェアの挙動などを監視する仕組み
DMZ (DeMilitarized Zone)
Webサーバ・メールサーバ・プロキシサーバなどのように、外部セグメント(インターネット)からアクセスされる可能性のある情報資源を設置するための、外部でも内部でもない中間的な位置に存在するセグメント
SIEM (Security Information and Event Management)
OS、データベース、アプリケーション、ネットワーク機器など多様なソフトウェアや機器が出力する大量のログデータを分析し、異常があった場合に管理者に通知したり対策を知らせたりする仕組み
ボットネット
ボットネットは、マルウェアへの感染などでボット化し、攻撃者の支配下におかれた状態にあるコンピュータ群
ブルートフォース攻撃
特定の文字数、および、文字種で設定される可能性のあるすべての組合せを試すことで不正ログインやパスワード解析を試みる攻撃手法
SQLインジェクション
Webアプリケーションに対してデータベースへの命令文を構成する不正な入力データを与え、Webアプリケーションが想定していないSQL文を意図的に実行させることで、データベースを破壊したり情報を不正取得したりする攻撃
ディジタル署名
公開鍵暗号方式を使ってディジタル文書の正当性を保証する技術
ディジタル署名を利用して確認できることは
・発信元が正当であるか
・改ざんの有無
認証局(Certificate Authority、Certification Authority、CA)
公開鍵暗号方式を用いたデータ通信において、利用者の公開鍵の正当性を保証するためのディジタル証明書を発行する機関
PIN(Personal Identification Number)
クレジットカードやキャッシュカードなどのICカードの利用時に入力を求められる暗証番号
電子透かし
ディジタルコンテンツに作者名・課金情報・コピー可能回数など著作権情報を埋め込む技術
WAF(Web Application Firewall)
Webアプリケーションの防御に特化したファイアウォールで、パケットのヘッダ部に含まれるIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックし、攻撃の兆候の有無を検証します
リスク共有(リスク移転)
保険をかけたりリスクのある業務を委託をしたりすることでリスクによるマイナスの影響を他者と分担する戦略
可用性(Availability)
システムが正常に稼働し続け、ユーザが必要な時にシステムが利用可能である特性を示します
完全性(Integrity)
情報が完全で、改ざん・破壊されていない特性を示す
機密性(Confidentiality)
許可された正規のユーザだけが情報にアクセスできる特性を示す
責任追跡性(Accountability)
利用者やプロセスとそれらが行った動作を一意に追跡できる特性を示す
トロイの木馬
実行形式のプログラム(.exeなど)を被害者が実行することで動作を開始し、一見通常の動作をしているように見せかけておいて、裏でOSの設定変更、パスワードの窃盗、外部からの遠隔操作の踏み台になるなどの悪意のある動作を秘密裏に実行するウィルスです
パターンマッチング方式
コンピュータウイルスやワームを検出するため方式で、そのウイルスが持つ特徴的なコードをパターン(シグネチャコード)としてデータベース化し、それと検査対象のファイルを比較することでウイルスの検出を試みます
リスク特定
組織の目的の達成を助ける又は妨害する可能性のあるリスクを発見し、認識し、記述する
リスク分析
必要に応じてリスクのレベルを含め、リスクの性質及び特徴を理解する
リスク評価
リスク分析の結果と確立されたリスク基準との比較をし、追加する行為の決定を裏付ける
S/MIME(Secure MIME)
ASCII文字しか使用できないSMTPを利用したメールで、日本語の2バイトコードや画像データを送信するための仕組みであるMIME(Multipurpose Internet Mail Extension)をベースに、暗号化とディジタル署名の機能を付け電子メールの機密性と完全性を高めたもの
HTTPS
WebサーバとWebブラウザがデータを安全に送受信するために、SSL/TLSプロトコルによって生成されるセキュアな接続上でデータのやり取り(HTTP通信)を行う方式です
ディジタルフォレンジクス
不正アクセスや情報漏えいなどのセキュリティインシデントの発生時に、原因究明や法的証拠を明らかにするために対象となる電子的記録を収集・解析すること
ファジング(fuzzing)
検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで(未知の)脆弱性を検出する検査手法
パスワードリスト攻撃
複数のサイトで同様のID・パスワードの組合せを使用している利用者が多いという傾向を悪用したもの
虹彩認証
眼球の特徴で本人認証を行うバイオメトリクス認証技術
公開鍵暗号方式
暗号化と復号に異なる鍵を使用する暗号方式
暗号化鍵は誰もが使用できるように公開し(公開鍵)、復号鍵は受信者が厳重に管理する(秘密鍵)
ビジネスインパクト分析
障害や災害によりシステムが停止した場合の事業への影響を評価する分析手法
真正性(Authenticity)
情報セキュリティマネジメントの付加的な要素
利用者、プロセス、システム、情報などの対象が、主張のとおり本物であることが明確である特性
パケットフィルタリング
通過するパケットのヘッダ部分に記述されている、送信元もしくは宛先のIPアドレスまたはポート番号、通信の方向などの情報をもとに通信を許可するか禁止するかの判断をするファイアウォールの制御方式
CAPTCHA(キャプチャ)
人間によるアクセスかコンピュータによるアクセスかを判別する目的でWebサイトなどに組み込まれる仕組み