セキュリティ基礎知識:情報セキュリティスペシャリスト受験対策 Part.4

By drmg. Filed in 情報セキュリティスペシャリスト  |  
TOP del.icio.us digg

現在、『情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2009〉 』 の要点を、ここに書きながら暗記している次第です・・・第2部

ツꀀ

第2部は、セキュリティ基礎知識の確認との事。

ツꀀ

情報システムへの脅威

過去3年間のテクセとセキュアドの午前で出題された"脅威"に関する問題の種類がまとまって掲載されており参考になります。

SQLインジェクションが3年連続で出ていますね。。。

クロスサイトスクリプティングが次に多いようです。

ツꀀ

情報システムへの脅威の種類

  • ソーシャルエンジニアリング(Social Engineering)
    • 人間の心理的な錯覚や間違いを悪用して情報を引き出す手口(振込詐欺等)
    • スキャベジング(ゴミあさり)
    • 対策としては、重要な情報の管理規定や運用ルールの策定と、セキュリティ教育による普及・啓蒙
  • パスワードクラッキング
    • ブルートフォースアタック(総当たり攻撃)
    • 辞書攻撃
  • IPスプーフィング(IP Spoofing)
    • IPアドレスの偽造
  • Man-in-the-middle攻撃
    • 公開鍵暗号方式で暗号化通信を行っている双方の間に入って情報を搾取する。
      (名前があったのですねぇ。初めて知りました。)
  • フィッシング(phishing)
    • 有名企業のWebサイト等になりすまし、パスワード等の情報を搾取する。
  • サービス妨害攻撃(DoS : Denial of Service)
    • 一度に大量データを送りつけサービスをダウンさせる。
    • セキュリティホールを突きサービスをダウンさせる。
    • ボットを使うなどして、大量の攻撃を行う。
    • DDoS(Distributed Denial of Service : 分散サービス妨害)
  • ボット、ボットネット
    • コンピュータウィルスまたはワームの一種。
    • ボットを操作するコンピュータを指令サーバと言う。
  • ウォードライビング(war driving)
    • 無防備な無線LANをアクセスポイントを探すために、無線をキャッチできるパソコンを車に積み街中を走り回る攻撃。
  • Webビーコン
    • 利用者のアクセス動向などの情報を収集するためにHTMLメールやWebページなどに埋め込まれた画像の事。
  • クロスサイトスクリプティング
  • SQLインジェクション
  • バッファオーバーフロー
  • クロスサイト・リクエスト・フォージェリ
  • セッションハイジャック

各攻撃の大雑把な概念は分かりますが文章で解答するとなると、あたって砕けるかもしれませんねぇ。。

ツꀀ

法律と制度

どうやら、次の6つの法律をおさえておく必要があるようです。

この辺りの記憶はかなりあやふやなのですよね・・

  • 著作権法
    • 著作物を作成するために用いるプログラム言語、規約及び解法に及ばない(第10条3項)
  • 不正競争防止法
    • 営業秘密(秘密性、有用性、非公知性)
  • 不正アクセス禁止法(2000年施行)
    • 対象となるのはアクセス制御機能を持つシステムかつネットワークを通じて行われる不正アクセス。
    • スタンドアロンシステムの端末を直接操作する事や、DDoS攻撃、Spamメールなどは対象外。
    • 不正アクセスを助長する行為の禁止や、不正アクセスを受けた管理者への援助措置は規定されている。
  • 電子署名法(2001年4月1日施行)
    • 実社会における印鑑の役割。
    • 電子署名法の対象となるのは、私文書のみで、公文書は対象外。
    • 技術面での規定は無い。(PKIでもバイオメトリクスでも可能)
  • e-文書法(2005年4月1日施行)
    • 民間事業者等に紙媒体での保存が義務付けられていた財務や税務関連の書類・帳票を、電子データで保存する事を認めた法律。
    • 電子的に作成されたデータに加えて、スキャナで読み取ったデータも対象となった。
  • 個人情報保護関連法(2003年5月30日公布)
    • 基本法
      • 利用目的の特定・公表、利用目的範囲内での取扱い
      • 適正取得、利用目的の通知等
      • 正確性の確保
      • 安全性確保
      • 第三者提供の制限等
      • 公表等、開示、訂正等、利用停止等
      • 苦情の処理
    • 個人情報の定義
      • 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの。
      • 個人情報取扱事業者(5000件以下は対象外)
    • オプトアウト
      • 本人の求めがあれば、第三者への提供を停止する
      • あらかじめ通知しておく内容
        • 第三者への提供を利用目的とすること
        • 第三者に提供される個人データの項目
        • 第三者への提供の手段又は方法
        • 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

ツꀀ

国際標準と国内標準

国内法よりも、苦手とする部分です。。

  • ISO/IEC 15408(JIS X 5070)
    • 情報システムや情報システムを構成する製品に対して、信頼できるITセキュリティ機能を装備するための国際標準規格。
    • 日本では、JIS X 5070として制定された。
    • PART1:Introduction and general mode(概説と一般モデル)
    • PART2:Security functional requirements(セキュリティ機能要件)
    • PART3:Security assurance requirements(セキュリティ保証要件)
  • ISO/IEC 27001:2005(JIS Q 27001:2006)
    • ISMSの審査用企画であるBS7799-2が国際規格化されたもの。
    • 日本では、JIS Q 27001:2006として発行された。
  • ISO/IEC 27002:2007(JIS Q 27002:2006)
    • 旧ISO/IEC 17799(JIS X 5080)
    • 対象となる情報資産が、ITに限らずドキュメントなどの紙媒体や要員を含む点が、ITセキュリティのみを対象とした ISO/IEC 13335(GMITS)とは異なる。
  • ISO/IEC 13335
    • 通称 GMITS(Guidelines for the Management for IT Security)
    • ITセキュリティのマネジメント手法を示すガイドライン。
    • 情報システムの運用に関わる人や情報処理機器類の管理に必要な要件を規定。
  • JIS Q 15001:2006
    • 個人情報を保護するためのマネジメントシステムの規格。
    • JIS Q 15001:1999 コンプライアンスプログラム (CP:Compliance Program)
    • CP→PMS
    • 個人情報保護マネジメントシステム :PMS(Personal information protection Management System)
    • JIPDEC
  • JIS X 0160
    • ソフトウェア開発プロセスモデルに関する規格。
    • ISO/IEC 12207 をJIS 規格化したもの。
    • 役割や意義はSLPC-JFCと同じく、購入者と供給者の取引を明確にするため、「共通のものさし」や「共通語」を定義している。
    • SLPC-JFC:2007は、JIS X 0160に日本でのソフトウェア取引に必要とされているプロセスを追加したもの。
  • RFC(Request For Comment)
    • IETF(Internet Engineering Task Force)が正式に発行する文書。
  • 情報システム安全対策基準
    • 情報システムの機密性、保全性及び可用性を確保することを目的として、自然災害、機器の障害、故意・過失等のリスクを未然に防止し、また発生したときの影響の最小化及び回復の迅速化を図るため、情報システムの利用者が実施する対策項目を列挙したもの。
    • 適用区分と重要度により、どこまでのセキュリティを確保するべきかを示す内容。
      • 適用区分:設置基準、技術基準、運用基準
      • 重要度:社会への影響、企業への影響大、企業への影響小
    • コンピュータウィルスへの記載なし。→ コンピュータウィルス対策基準に準じる
    • 実効性を確保するために → システム監査基準を参照
  • コンピュータウィルス対策基準
    • コンピュータウィルスに対する予防、発見、駆除、復旧についての実効性の高い対策をまとめたもの。
  • コンピュータ不正アクセス対策基準
    • コンピュータ不正アクセスによる被害の予防、発見及び復旧並びに拡大及び再発防止について、企業等の組織及び個人が実行すべき対策をとりまとめたもの。
  • ソフトウェア管理ガイドライン
    • ソフトウェアの違法複製等を防止する目的のガイドライン。
    • 法人、団体等を対象として、ソフトウェアを使用するにあたって実行されるべき事項をとりまとめている。
  • OECDプライバシー原則
    • 個人情報保護に関する国際的なガイドライン。
    • 個人情報保護に関する8原則
      • 収集制限の原則
      • データ内容の原則
      • 目的明確化の原則
      • 利用制限の原則
      • 安全保護の原則
      • 公開の原則
      • 個人参加の原則
      • 責任の原則
  • OECDセキュリティ原則
    • 情報セキュリティのためのガイドライン
      • 責任の原則(Accountability Principle)
      • 情報提供の原則(Awareness Principle)
      • 倫理性の原則(Ethics Principle)
      • 多面的考慮の原則(Multidisciplinary Principle)
      • 統合の原則(Integration Principle)
      • 適時性の原則(TimeLiness Principle)
      • 再評価の原則(Reassessment Principle)
      • 民主主義の原則(Democracy Principle)

ツꀀ

セキュリティに関する制度

次の3つの制度をおさえておく必要があるようです。

  • ISMS適合性評価制度
    • 財団法人 日本情報処理開発協会(JIPDEC)が運営
    • 情報セキュリティ管理に対する第三者適合性評価制度。
    • JIS Q 27001:2006
    • リスク回避、リスク移転、リスク保有
  • プライバシーマーク制度
    • 財団法人 日本情報処理開発協会(JIPDEC)が運営
    • 個人情報の取扱いについて適切な保護措置を講ずる体制を整備している民間事業者等に対し、その旨を示すマークとしてプライバシーマークを付与し事業活動に関してプライバシーマークの使用を認容する制度
    • JIS Q 15001:2006
  • 情報セキュリティ監査制度
    • 経済産業省が運営。
    • 情報セキュリティ監査を有効に普及させるために考えられたもの。
    • 助言型監査と保障型監査がある。

ツꀀ

ここまでが、第2部の前半でセキュアド色が強いと感じる部分ですね。

後半は、テクセ色が強くなっているようです。

関連する投稿

Google ads

8 Comments

  1. Comment by スポメン:

    ぶしつけで申しわけございません。ブログ検索でこのサイトを知りました。

    e文書法では電子署名により作成者を特定し、タイムスタンプにより日時を特定可能にすることを求めているらしいですが、

    電子署名とは関連先に届け出するのでしょうか。サイン登録みたいなものですか。それとも一定のフォーマットがあってそこへ登録して署名権者はパスワードだけ入力すればよいのでしょうか。

    タイムスタンプは署名権者が入力した時刻が自動的にでるのでしょうか。

  2. Comment by drmg:

    >電子署名とは関連先に届け出するのでしょうか。
    ん~ブラウザ等インストール時点で既に信頼済みの認証機関である、VeriSign等の認証局(CA)へ届け出を出す事が一般的かな~とは思います。
    私の手元のIE8だと、[インターネットオプション]-[コンテンツ]-[証明書]-[信頼されたルート証明機関]にVeriSignが既に入っている事を確認できます。
    ま~ブラウザに限った話では無いので、電子署名が必要な状況により届け出先を決めるのかと。
    ただ一般的な認証局は維持費がかかる事が多いので、自分と相手が信頼すると決めてしまい独自の認証局を作って運用する場合もありますね。
    企業内の閉じた世界で大量に証明書を発行する必要があるが費用を抑える必要がある場合や、単純に開発中なんかに独自の認証局で運用したりします。

    >サイン登録みたいなものですか。それとも一定のフォーマットがあってそこへ登録して署名権者はパスワードだけ入力すればよいのでしょうか。

    細かな説明までは難しいので、情報処理試験の公式サイトという観点から
    IPAの次のサイトを読んで見ると試験に直結しやすいかと思います。

    「PKI関連技術に関するコンテンツ」
    http://www.ipa.go.jp/security/pki/024.html
    http://www.ipa.go.jp/security/pki/031.html

    「情報処理推進機構:セキュリティセンター:暗号技術:PKI 関連技術情報」
    http://www.ipa.go.jp/security/pki/pki.html

  3. Comment by スポメン:

    どうもありがとうございました。大体の概略がわかりましたので助かりました。
    細かいところは追って勉強します。

  4. Comment by グッチバッグ:

    一体感を感じていただけます。

  5. Comment by フェラガモ サンダル:

    驚くべき形状と素材の使用により、その言葉通り芸術的な作品であると言えるフェラガモの靴ハリウッドスターとセレブの人々に愛用されました。

  6. Comment by モンブラン ボールペン:

    こちらのショルダーを購入したいのですが、探しても探しても見つかりません。白はよく目にするのですが…。購入できるところ(できればネット・通販)を知っている方いましたら、ご教授願います!

  7. Comment by 三浦マイルド 広島弁講座:

    皆さんとってもおキレイです。
    あぁほんとだなと・・納得。

Trackbacks / Pingbacks

Leave a Reply