「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- 出題される 25 問のうち、自区分は他の区分に比べ、 圧倒的に多い約 20 問。
- 過去問題 中心の出題なので、難易度は、午後Ⅰや午後Ⅱほど高くない。
書籍 †
.com †
基礎 †
ネットワーク、仮想化、クラウド †
DNS関連 †
電子メール関連 †
仮想化、クラウド †
脅威 †
なりすまし(スプーフィングの一種にポイズニングがある)。
- DoS (Flood)
大量の要求でリソースを枯渇させる。
- Stream
- SYN
- ACK
- Connection
- UDP
- ICMP(ping)
- Reflection
踏み台を経由したレスポンスでの攻撃
(詐称されたリクエストのレスポンスで別のホストを攻撃)
- DNS
DNSの再起クエリの応答による攻撃
- ICMP
ICMPの応答による攻撃
- NTP
NTPの応答による攻撃
IoT関連ということで、出題頻度増えるかも。
マルウェア関連 †
その他 †
脆弱性 †
対策技術 †
脆弱性 or 脅威の対策
- 外部からの再帰クエリを止める
- 外部からの反復クエリのみに対応。
- 内部からの再帰クエリのみに対応。
- ポイズニング
- DNSSEC
データ作成元の認証やデータの完全性を
確認できるように仕様を拡張するもの
- 認証
- SMTP-AUTH
- POP before SMTP
- APOP
- 経路の暗号化
- STARTTLS (25 → 587)
- SMTP over SSL/TLS (25 → 465)
- 中継処理制限
- ホワイトリストやブラックリスト
Receivedヘッダー(中継したSMTPサーバ)
- OP25B
- スパムの踏み台にならないようにする。
- 外部ネットワークへのTCP 25番ポートの通信を遮断
- SPF(Sender Policy Framework)
エンベロープFromを利用して認証
- Sender ID
PRAで(FromヘッダーやSenderヘッダーなどから送信者を特定して)認証
- フィルタリング
- シグネチャ・マッチング
- ベイジアン・フィルタリング
マルウェア関連 †
認証 †
基本的に、暗号化・署名で公開鍵は受信者が使う。
- SSL/TLS通信で使用
- サーバ証明書
- クライアント証明書
- DH鍵共有(交換)
- 局
- 認証局 (CA = Certificate Authority)
- 検証局 (VA = Validation Authority)
Detached、Enveloped、Enveloping署名
- ISAKMP/Oakley
- IKEv1
- IKEv2
- 暗号化、メッセージ認証
- AH (Authentication Header)
- ESP (Encapsulated Security Payload)
- 網での分類
- IP-VPN
- エントリーVPN
- インターネットVPN
- 機器での分類
- IPsec-VPN
- SSL-VPN
- VPN Gateway
F/W †
パケット・フィルタリング型ファイアウォール †
サーキットレベル・ゲートウェイ型 †
L4スイッチ的に動作する(UDPを対象にできる)。
ダイナミック・パケットフィルタ型 †
L4スイッチ的に動作する(クライアントとTCP/IPのコネクションを識別)。
ステートフルインスペクション型 †
L4スイッチ的に動作する(TCP/IPの通信フロー≒セッションまでをチェック)。
アプリケーション・プロキシ型 †
L7スイッチ的に動作する(ペイロードをチェック可能)。
Webアプリケーション・ファイアウォール(WAF) †
L7スイッチ的に動作する(アプリケーション・プロキシ型のHTTP版)
マネジメント・システム †
統合マネジメント †
- リスク特定
影響の有無を特定する(度合いは下記で)。
- CP : コンティンジェンシー・プラン(SCの場合は、BCP的)
※ SCのリスクはPMPのリスクとチョット違う感じ。
法制度、法人系の記号 †
セキュリティ規格、セキュリティ評価・認証制度
- 暗号モジュールの標準規格。
- と、その国内の試験及び認証制度
これは覚え難いw
- Vulnerabilities and Exposures : ID
- Weakness Enumeration : タイプ
- Scoring System : 評価(基本、現状、環境)
※ Japan Vulnerability Notes (JVN)は、
日本の脆弱性情報に焦点を置いたDB(翻訳物ではない)。
サイバー情報共有イニシアティブ、サイバーレスキュー隊
- CERT/CC(CERT Coordination Center)
- アメリカにあるインターネットセキュリティを扱う研究・開発センター
- CSIRTの草分けであり、同分野で最も権威ある組織の一つ。
CRYPTREC †
- 電子政府推奨暗号の安全性を評価・監視し、
暗号技術の適切な実装法・運用法を調査・検討するプロジェクト
- 電子政府における調達のために参照すべき
暗号の3つのリストを公開している。
- 電子政府推奨暗号リスト(CRYPTREC暗号リスト)
- 推奨候補暗号リスト
- 運用監視暗号リスト(非推奨)
※ 技術寄りで、法制度と関係が無い模様。
法制度 †
知的財産権 †
- 特許権
- 先願主義を採用している。
- 発明は公知されていない製品発表前に出願
- しかし、
- 既存の場合、先使用権が与えられる。
- 製品販売などの発明の実施行為後も
6カ月以内であれば特許として出願可能
その他 †
機能適合性、性能効率性、使用性、信頼性、保守性
情報セキュリティ政策(経産省) †
- 情報セキュリティサービス基準
情報セキュリティサービスの認証みたいな。
- ソフトウェア管理ガイドライン
なにげにライセンス管理の話らしい。
- その他
- 脆弱性関連情報の取扱い
- 情報セキュリティガバナンス
他区分 †
DB †
NW †
- ASN.1
- データ構造の表現形式を定義するための標準的な記法の一つ。
- 主に通信プロトコルのデータの送受信単位(PDU:Protocol Data Unit)の定義に用いられる。
その他 †
参考 †
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
