SC：試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問 のバックアップ(No.11)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SC：試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問 へ行く。
  • 1 (2020-01-04 (土) 13:49:29)
  • 2 (2020-01-04 (土) 14:00:28)
  • 3 (2020-01-04 (土) 20:15:29)
  • 4 (2020-01-04 (土) 23:02:01)
  • 5 (2020-01-05 (日) 00:32:23)
  • 6 (2020-01-06 (月) 12:34:34)
  • 7 (2020-01-11 (土) 20:35:24)
  • 8 (2020-01-11 (土) 21:58:38)
  • 9 (2020-01-14 (火) 19:57:37)
  • 10 (2020-02-16 (日) 21:09:49)
  • 11 (2020-02-16 (日) 21:17:10)
  • 12 (2020-03-02 (月) 21:20:45)
  • 13 (2020-03-08 (日) 16:32:48)
  • 14 (2020-08-24 (月) 20:58:18)
  • 15 (2020-08-25 (火) 00:19:12)
  • 16 (2020-08-25 (火) 02:39:23)
  • 17 (2020-08-25 (火) 12:08:57)
  • 18 (2020-08-25 (火) 13:54:19)
  • 19 (2020-08-25 (火) 22:12:05)
  • 20 (2020-09-15 (火) 13:21:16)
  • 21 (2020-09-24 (木) 15:00:02)
  • 22 (2020-09-29 (火) 23:22:13)
  • 23 (2020-10-12 (月) 10:25:06)
  • 24 (2020-10-12 (月) 18:45:05)
  • 25 (2020-10-12 (月) 21:52:42)
  • 26 (2020-10-13 (火) 03:11:30)
  • 27 (2020-10-14 (水) 22:43:06)

---

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• 出題される 25 問のうち、自区分は他の区分に比べ、 圧倒的に多い約 20 問。
• 過去問題 中心の出題なので、難易度は、午後Ⅰや午後Ⅱほど高くない。

書籍 †

.com †

基礎 †

概念 †

• セキュリティと情報セキュリティ
  • セキュリティ
  • 情報セキュリティ

• 物理的セキュリティと論理的セキュリティ
  • 物理的セキュリティ
  • 論理的セキュリティ

• 特性
  • 基本的特性
  • 付加的特性

ネットワーク、仮想化、クラウド †

DNS関連 †

• 脅威
  • スプーフィング、ポイズニング系
  • DoS系（Flood、Reflection、Slow）

• 脆弱性

電子メール関連 †

• 機能
  • 認証
  • 署名・暗号化

• 脅威

• 脆弱性

仮想化、クラウド †

脅威 †

不正のトライアングル †

スプーフィング、ポイズニング系 †

なりすまし（スプーフィングの一種にポイズニングがある）。

DoS系（Flood、Reflection、Slow） †

サイドチャネル攻撃 †

IoT関連ということで、出題頻度増えるかも。

電子メール †

• フィッシング・メール
• 標的型メール攻撃

その他 †

• BlueBorne

脆弱性 †

DNSの脆弱性 †

電子メールの脆弱性 †

マルウェア †

• ウイルスの検出手法
• ウイルスのタイプ
• ルートキット

対策技術 †

DNS関連 †

• 意図しないゾーン転送を拒否する設定。

• 外部からの再帰クエリを止める
  • 外部からの反復クエリのみに対応。
  • 内部からの再帰クエリのみに対応。

• ポイズニング
  • DNSSEC
    データ作成元の認証やデータの完全性を
    確認できるように仕様を拡張するもの

電子メール関連 †

• OP25B
  スパムの踏み台にならないようにする。

• SPF（Sender Policy Framework）
  エンベロープFromを利用して認証

• DKIM

• メールヘッダ

• Sender ID
  PRAで（FromやSenderなどから送信者を特定して）認証

• Received フィールド：中継したSMTPサーバ

• プロトコル系

• 認証
  • SMTP-AUTH
  • POP before SMTP
  • APOP

• 暗号化
  • SMTPS、STARTTLS

マルウェア †

認証 †

基礎 †

固定式パスワード †

ワンタイム・パスワード(OTP) †

Cカードによる認証 †

生体認証（バイオメトリック認証） †

シングルサインオン（SSO） †

その他 †

暗号 †

公開鍵暗号方式 †

基本的に、暗号化・署名で公開鍵は受信者が使う。

XML暗号化 †

Detached、Enveloped、Enveloping署名

IPsec †

• 鍵共有プロトコル

• ISAKMP/Oakley
• IKEv1
• IKEv2

• 暗号通信プロトコル

• 動作モード
  • トランスポート・モード
  • トンネル・モード

• 暗号化、メッセージ認証
  • AH (Authentication Header)
  • ESP (Encapsulated Security Payload)

• 復号化、メッセージ認証の検証

VPN †

• 網での分類
  • IP-VPN
  • エントリーVPN
  • インターネットVPN

• 機器での分類
  • IPsec-VPN
  • SSL-VPN
  • VPN Gateway

F/W †

パケット・フィルタリング型ファイアウォール †

サーキットレベル・ゲートウェイ型 †

L4スイッチ的に動作する（UDPを対象にできる）。

ダイナミック・パケットフィルタ型 †

L4スイッチ的に動作する（クライアントとTCP/IPのコネクションを識別）。

ステートフルインスペクション型 †

L4スイッチ的に動作する（TCP/IPの通信フロー≒セッションまでをチェック）。

アプリケーション・プロキシ型 †

L7スイッチ的に動作する（ペイロードをチェック可能）。

Webアプリケーション・ファイアウォール（WAF） †

L7スイッチ的に動作する（アプリケーション・プロキシ型のHTTP版）

マネジメント・システム †

統合マネジメント †

• ISMS用語（不適合、修正、是正処置）

リスク・アセスメント †

• リスク特定
  影響の有無を特定する（度合いは下記で）。

• リスク分析（定性分析）
• リスク評価（定量分析）

リスク対応の用語 †

• リスク対応（セーフガード）
  • リスク・コントロール
  • リスク・ファイナンシング

• CP : コンティンジェンシー・プラン（SCの場合は、BCP的）

※ SCのリスクはPMPのリスクとチョット違う感じ。

法制度、法人系の記号 †

ISO/IEC 15408、CC、JISEC †

セキュリティ規格、セキュリティ評価・認証制度

FIPS140-2、JCMVP †

• 暗号モジュールの標準規格。
• と、その国内の試験及び認証制度

CVE、CWE、CVSS †

「ID、タイプ、評価（基本、現状、環境）」

J-CSIP、J-CRAT †

サイバー情報共有イニシアティブ、サイバーレスキュー隊

CERT/CC、JPCERT/CC、ISAC †

• CERT/CC（CERT Coordination Center）
  • アメリカにあるインターネットセキュリティを扱う研究・開発センター
  • CSIRTの草分けであり、同分野で最も権威ある組織の一つ。

• JPCERT/CCは
  • CERT/CCの日本版
  • CVE識別子の日本版であるJVE識別子の管理などをしている。

CRYPTREC †

• 電子政府推奨暗号の安全性を評価・監視し、
  暗号技術の適切な実装法・運用法を調査・検討するプロジェクト

• 電子政府における調達のために参照すべき
  暗号の３つのリストを公開している。
  • 電子政府推奨暗号リスト（CRYPTREC暗号リスト）
  • 推奨候補暗号リスト
  • 運用監視暗号リスト（非推奨）

• 現在の体制
  • 「暗号技術検討会」がトップ
  • その下に
    • 暗号技術評価委員会
    • 暗号技術活用委員会

※ 技術寄りで、法制度と関係が無い模様。

法制度 †

知的財産権 †

• 特許権
  • 先願主義を採用している。
  • 発明は公知されていない製品発表前に出願

• しかし、
  • 既存の場合、先使用権が与えられる。
  • 製品販売などの発明の実施行為後も
    6カ月以内であれば特許として出願可能

その他 †

システム開発におけるテスト †

品質特性 †

機能適合性、性能効率性、使用性、信頼性、保守性

情報セキュリティ政策（経産省） †

• 法制度
  • 電子署名法制度
  • サイバーセキュリティ経営ガイドライン

• 監査制度

• 情報セキュリティ監査制度
  下記に基づいて運営される制度
  • 情報セキュリティ監査基準
  • 情報セキュリティ管理基準

• システム監査制度
  下記に基づいて運営される制度
  • システム監査基準
  • システム管理基準

• 認証制度

• 暗号技術評価（CRYPTREC）

• ITセキュリティ評価及び認証

• 情報セキュリティサービス基準
  情報セキュリティサービスの認証みたいな。

• 参考
  情報セキュリティサービス審査登録制度
  https://www.meti.go.jp/policy/netsecurity/shinsatouroku/touroku.html

• ソフトウェア管理ガイドライン
  なにげにライセンス管理の話らしい。

• 参考
  • ソフトウェア管理ガイドライン
    https://www.meti.go.jp/policy/netsecurity/downloadfiles/softkanri-guide.htm

• その他
  • 脆弱性関連情報の取扱い
  • 情報セキュリティガバナンス

• 普及啓発事業
• フィッシング対策事業

他区分 †

DB †

• GRANT文
  • 特定の利用者だけにアクセス権を与える
  • 構文

    GRANT 権限名
          ON オブジェクト名
          TO { ユーザ名 | ロール名 | PUBLIC }
          [ WITH GRANT OPTION ] ;

NW †

• 通信方式

• 3ウェイ ハンドシェイク

• ASN.1
  • データ構造の表現形式を定義するための標準的な記法の一つ。
  • 主に通信プロトコルのデータの送受信単位（PDU：Protocol Data Unit）の定義に用いられる。

その他 †

• データセンタにおけるコールドアイル

参考 †

• 過去問道場｜情報処理安全確保支援士.com
  https://www.sc-siken.com/sckakomon.php

• 安全確保支援士試験の備忘録 - Qiita
  https://qiita.com/hhhhh/items/62988244ce0dfff22f5e

• 3週間で仕上げる 情報処理安全確保支援士 午前Ⅱ[午前2]
  対策 ～知識の量を増やす【令和元年更新】 | IT資格の歩き方
  https://www.seplus.jp/it-exam-guide/guide/exam_prep3_am2_for_sc_h31_spring/

     

Site admin: TechInfoOfMicrosoftTech

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.076 sec.