.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

  • 出題される 25 問のうち、自区分は他の区分に比べ、 圧倒的に多い約 20 問。
  • 過去問題 中心の出題なので、難易度は、午後Ⅰや午後Ⅱほど高くない。
  • 翔泳社の書籍から、以下、キーワードだけ列挙した。

セキュリティ関連知識

特性

情報セキュリティの7大要素

  • 情報セキュリティ特性
    • 機密性
    • 完全性
    • 可用性
  • 付加的特性
    • 真正性
    • 責任追跡性
    • 否認防止及び信頼性

コチラ

対策

情報セキュリティの対策

  • 抑止・抑制
  • 予防・防止
  • 検知・追跡
  • 回復

コチラ

マネジメント

ISMS

ISO/IEC 27000

.com

以下のサイトで、復習を行う。

基礎

概念

ネットワーク、仮想化、クラウド

DNS関連

電子メール関連

仮想化、クラウド

脅威

不正のトライアングル

スプーフィング、ポイズニング系

なりすまし(スプーフィングの一種にポイズニングがある)。

DoS系(Flood、Reflection、Slow)

  • DoS (Flood)
    大量の要求でリソースを枯渇させる。
    • Stream
    • SYN
    • ACK
    • Connection
    • UDP
    • ICMP(ping)
  • DDoS
    踏み台を経由したリクエストでの攻撃
  • DNS
    DNSの再起クエリによる攻撃
  • Reflection
    踏み台を経由したレスポンスでの攻撃
    (詐称されたリクエストのレスポンスで別のホストを攻撃)
  • DNS
    DNSの再起クエリの応答による攻撃
  • ICMP
    ICMPの応答による攻撃
  • NTP
    NTPの応答による攻撃

サイドチャネル攻撃

IoT関連ということで、出題頻度増えるかも。

電子メール関連

マルウェア関連

その他

脆弱性

DNS関連

電子メール関連

対策技術

脆弱性 or 脅威の対策

DNS関連

  • 意図しないゾーン転送を拒否する設定。
  • 分割・配置
  • 分割
    • リゾルバ
    • キャッシュ
  • 配置
    • リゾルバ(DMZ)、キャッシュ(イントラ)
    • 本社・支社などで重複して配置(理由は下記を参照)。
  • リゾルバ
    外部からの再帰クエリを止める
    • 外部からの反復クエリのみに対応。
    • 内部からの再帰クエリのみに対応。
  • ポイズニング
  • 以下の対応を行う。
    • ランダムなポート番号
    • 推測困難なTxID
  • DNSSEC
    • データ作成元の認証やデータの完全性を確認できる。
    • DNSクエリやゾーン転送のデータを検証できる。

電子メール関連

  • 認証
    • SMTP-AUTH
    • POP before SMTP
    • APOP
  • 暗号技術
  • 暗号化、署名
  • S/MIMEPGP
    メール本文の署名と暗号化
  • DKIM
    ドメインのDNSレコードの署名
  • 経路の暗号化
    • STARTTLS (25 → 587)
    • SMTP over SSL/TLS (25 → 465)
  • 中継処理制限
    • ホワイト・リストやブラック・リスト
      Receivedヘッダー(中継したSMTPサーバ)
  • OP25B
    • スパムの踏み台にならないようにする。
    • 外部ネットワークへのTCP 25番ポートの通信を遮断
  • SPF(Sender Policy Framework)
    エンベロープFromを利用して認証
  • Sender ID
    ・Sender IDはヘッダのFromやSenderヘッダから
     割り出されたPRA(Purported Responsible Address)
    ・このPRAで送信元ドメインを特定して認証する。
  • DKIM
    ドメインのDNSレコードの署名
  • DMARC
    SPF+DKIM
  • フィルタリング
    • シグネチャ・マッチング
    • ベイジアン・フィルタリング

マルウェア関連

認証

基礎

固定式パスワード

ワンタイム・パスワード(OTP)

Cカードによる認証

生体認証(バイオメトリック認証)

シングルサインオン(SSO)

その他

暗号

ハッシュ関連

公開鍵暗号方式

基本的に、暗号化・署名で公開鍵は受信者が使う。

デジタル証明書

  • 秘密鍵で署名
  • 署名対象は公開鍵
  • SSL/TLS通信で使用
    • サーバ証明書
    • クライアント証明書
    • DH鍵共有(交換)
    • 認証局 (CA = Certificate Authority)
    • 検証局 (VA = Validation Authority)

XML暗号化

  • Detached署名
  • Enveloped署名
  • Enveloping署名

IPsec

  • 鍵共有プロトコル
  • ISAKMP/Oakley
  • IKEv1
  • IKEv2
  • 暗号通信プロトコル
  • 動作モード
    • トランスポート・モード
    • トンネル・モード
  • 暗号化、メッセージ認証
    • AH (Authentication Header)
    • ESP (Encapsulated Security Payload)
  • 復号化、メッセージ認証の検証

VPN

  • 網での分類
    • IP-VPN
    • エントリーVPN
    • インターネットVPN
  • 機器での分類
    • IPsec-VPN
    • SSL-VPN
    • VPN Gateway

暗号解読

F/W

パケット・フィルタリング型ファイアウォール

サーキットレベル・ゲートウェイ型

L4スイッチ的に動作する(UDPを対象にできる)。

ダイナミック・パケットフィルタ型

L4スイッチ的に動作する(クライアントとTCP/IPのコネクションを識別)。

ステートフルインスペクション型

L4スイッチ的に動作する(TCP/IPの通信フロー≒セッションまでをチェック)。

アプリケーション・プロキシ型

L7スイッチ的に動作する(ペイロードをチェック可能)。

Webアプリケーション・ファイアウォール(WAF)

L7スイッチ的に動作する(アプリケーション・プロキシ型のHTTP版)

マネジメント・システム

統合マネジメント

リスク・アセスメント

  • リスク特定
    影響の有無を特定する(度合いは下記で)。
  • リスク分析(定性分析)
  • リスク評価(定量分析)

リスク対応の用語

  • リスク対応(セーフガード)
    • リスク・コントロール
    • リスク・ファイナンシング
  • CP : コンティンジェンシー・プラン(SCの場合は、BCP的)

SCのリスクはPMPのリスクとチョット違う感じ。

法制度、法人系の記号

ISO/IEC 15408、CC、JISEC

  • ISO/IEC 15408
    セキュリティ規格
  • Common Criteria(CC)
    • セキュリティ評価・認証制度
    • [C]ommon [C]riteria for Information Technology Security Evaluation
  • JISEC
    • セキュリティ評価・認証制度
    • [J]apan [I]nformation Technology [S]ecurity [E]valuation and [C]ertification Scheme

CVE、CWE、CVSS

これは覚え難いw

  • Vulnerabilities and Exposures : ID
  • Weakness Enumeration : タイプ
  • Scoring System : 評価(基本、現状、環境)

※ Japan Vulnerability Notes (JVN)は、
 日本の脆弱性情報に焦点を置いたDB(翻訳物ではない)。

CERT/CC、JPCERT/CC、ISAC

  • CERT/CC(Computer Emergency Response Team / Coordination Center)
    • アメリカにあるインターネットセキュリティを扱う研究・開発センター
    • CSIRTの草分けであり、同分野で最も権威ある組織の一つ。

J-CSIP、J-CRAT

  • J-CSIP
    • ジェイ・シップ
    • サイバー情報共有イニシアティブ
    • サイバー攻撃による被害拡大防止
    • Initiative for [C]yber [S]ecurity [I]nformation sharing [P]artnership of Japan
  • J-CRAT
    • ジェイ・クラート
    • サイバーレスキュー隊
    • 標的型サイバー攻撃の被害拡大防止
    • [C]yber [R]escue and [A]dvice [T]eam against targeted attack of [J]apan

FIPS140-2、JCMVP

  • FIPS140-2
    暗号モジュールの標準規格。
  • JCMVP
    • と、その国内の試験及び認証制度
    • [J]apan [C]ryptographic [M]odule [V]alidation [P]rogram

CRYPTREC

  • くりぷとれっく
  • [Crypt]ography [R]esearch and [E]valuation [C]ommittees
  • 電子政府推奨暗号の安全性を評価・監視し、
    暗号技術の適切な実装法・運用法を調査・検討するプロジェクト
  • 電子政府における調達のために参照すべき
    暗号の3つのリストを公開している。
    • 電子政府推奨暗号リスト(CRYPTREC暗号リスト)
    • 推奨候補暗号リスト
    • 運用監視暗号リスト(非推奨)
  • 現在の体制
    • 「暗号技術検討会」がトップ
    • その下に
      • 暗号技術評価委員会
      • 暗号技術活用委員会

※ 技術寄りで、法制度と関係が無い模様。

法制度

知的財産権

  • 特許権
    • 先願主義を採用している。
    • 発明は公知されていない製品発表前に出願
  • しかし、
    • 既存の場合、先使用権が与えられる。
    • 製品販売などの発明の実施行為後も
      6カ月以内であれば特許として出願可能

その他

システム開発におけるテスト

品質特性

機能適合性、性能効率性、使用性、信頼性、保守性

情報セキュリティ政策(経産省)

  • 監査制度
  • 認証制度
  • 情報セキュリティサービス基準
    情報セキュリティサービスの認証みたいな。
  • ソフトウェア管理ガイドライン
    なにげにライセンス管理の話らしい。
  • その他
    • 脆弱性関連情報の取扱い
    • 情報セキュリティガバナンス
  • 普及啓発事業
  • フィッシング対策事業

他区分

DB

  • GRANT文
    • 構文 
      GRANT 権限名
      ON オブジェクト名
      TO { ユーザ名 | ロール名 | PUBLIC }
      [ WITH GRANT OPTION ] ;
  • 権限名
    • SELECT:参照する権限を与える
    • INSERT:行を追加する権限を与える
    • DELETE:行を削除する権限を与える
    • UPDATE:値を更新する権限を与える
    • UPDATE(列名):特定列の値を更新する権限を与える
    • ALL PRIVILEGES:上記の権限を全て与える
  • ON
    特定のオブジェクトに対し、
  • TO
    アクセス権を与える
    • 指定されたユーザ、ロールに対して。
    • PUBLICを指定:すべてのロールに対して。
  • WITH GRANT OPTION
    GRANT権限を、別のユーザに与える。
  • 表定義中では権限付与(GRANT)はできない。

NW

  • NIC
  • チーミング
    • フォールト・トレランス
    • リンク・アグリゲーション
    • ロード・バランシング
  • スイッチ
  • Automatic MDI / MDI-X
    業界長いが、初めて聞いた(詳しくはググれ)。
  • ルータ
    • イーサネットフレームの送信先・送信元MACを書き換える。
    • ルータはMACを知っている(ARPにより送信先MACを知る)。
  • 認証システム
    アクセスポイントには以下が必要になる。
    • オーセンティケータ実装
    • RADIUSクライアント機能
  • 暗号化通信
    • 前述の利用者認証
    • 動的に配布される暗号化鍵を用いた暗号化通信
  • ASN.1
    • データ構造の表現形式を定義するための標準的な記法の一つ。
    • 主に通信プロトコルのデータの送受信単位(PDU:Protocol Data Unit)の定義に用いられる。

その他

  • データセンタにおける
    • コールドアイル・ホットアイル
    • 避雷器(アレスタ)

ポイント

用語系

これは、覚えるしか無いね。

XXXX系

規格名

  • FIPS 140-2
  • 802.1XのEAP-TLS認証

3文字系

漢字が降ってないとキツイ時、在るよね。

その他

  • スプーフィング、スヌーピング
    ポイズニング系+MITMで両方が使われるので混乱する。
  • スプーフィング
    • Spoofing(spoofは、なりすましの意味)
    • 攻撃者や攻撃用プログラムを別の人物やプログラムに見せかける事を利用した攻撃。
    • ポイズニングの別名的に使用されることがある。
  • スヌーピング
    • パケット・スニッファのSnifferと同じ。
    • 覗き見(する)、詮索(する)、嗅ぎまわる(こと)、探りを入れる(こと)
    • NWにおいて、自分宛でない通信を覗き見・監視すること(ARPスヌーピング、TCPスヌーピング)
  • 電子透かし
    • Digital Watermark
    • Digital Watermarking
    • ステガノグラフィー(steganography)

全体的に

  • 午前の問題は、雰囲気で答えているモノが、案外、多い。
  • 業務でそれ程、コアに使わない知識。
  • 例えば、私は、SAMLには詳しいが、
    • 全てに、SAMLレベルに詳しい訳ではない。
    • 午前は、上っ面ダケで正答することが出来る。
  • しかし、午後対策では、少々、詳しく理解しておく必要がある。
    (少なくともセキュリティ関係は単語レベルでない理解にまで引き上げる)

定義

曖昧系

英単語

  • スニッフィング (sniffing) → 盗聴
  • サプリカント (supplicant) → 嘆願者(認証を要求するClientソフト)

各種の脅威と対策

計算問題系

公式がわからない場合

  • 小さい数で試算してみる。
    • ネットワーク経路
    • 共通鍵の個数

計算問題は時間がかかる。

焦って、

  • 問題を読み間違える可能性、大w
  • 単位変換(に注意していても)見落とすw

2進数の計算

ホスト部計算もなかなか大変。

255.255.255.224 の 198.51.100.90
  • 255.255.255.224 
    224
112  0
56   0
28   0
14   0
7    0
3    1
1    1
  • 198.51.100.90 
    90
45  0
22  1
11  0
5   1
2   1
1   0
  • 頭を揃えないと間違える。
    • 11100000
    • 01011010
    • ------------
    • 00011010 → 26

SLA計算

SLA = 稼働率

  (稼働時間 - 計画停止時間 - 障害停止時間)
=-------------------
        (稼働時間 - 計画停止時間)

何気にx月はxx日とか言う、
ジャパニーズ・カレンダーの知識も要る。

ちなみに、MTBF・MTTR

ボケ老人

問題文を間違える。

問題文を読んだ。 → 回答を間違えた。
→ 問題文を読み直した。 → 問題文を読み違えていた。

  • 改ざんの「防止」ではなく「検出」みたいな。
  • 問題文には「SMTPの不正利用を防止」とあるが、
    選択肢に「DNSの不正利用を防止」する方法がある場合、
    脳内で、問題が「DNSの不正利用を防止」にすり替わる。

選択を間違える

問題&回答、バッチリ解っているのに、選択を間違えるw

  • 署名・検証と秘密鍵・公開鍵の対応。
  • ...。

常識的に考えて

識的に考えて答えを選択する系。

参考

過去問

道場

IPA

ツボ

  • 40分で25問。
  • 1問、約1分40秒、合計40分
  • ほとんど計算問題が出ない。
  • ...が、優先順位は午前Ⅰと同じで。
    • 暗記問題
    • 計算問題
    • 解らないモノは消去法でマークシートを塗る。
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-12-27 (日) 18:17:00 (1208d)