SC：試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問 のバックアップ(No.24)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SC：試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問 へ行く。
  • 1 (2020-01-04 (土) 13:49:29)
  • 2 (2020-01-04 (土) 14:00:28)
  • 3 (2020-01-04 (土) 20:15:29)
  • 4 (2020-01-04 (土) 23:02:01)
  • 5 (2020-01-05 (日) 00:32:23)
  • 6 (2020-01-06 (月) 12:34:34)
  • 7 (2020-01-11 (土) 20:35:24)
  • 8 (2020-01-11 (土) 21:58:38)
  • 9 (2020-01-14 (火) 19:57:37)
  • 10 (2020-02-16 (日) 21:09:49)
  • 11 (2020-02-16 (日) 21:17:10)
  • 12 (2020-03-02 (月) 21:20:45)
  • 13 (2020-03-08 (日) 16:32:48)
  • 14 (2020-08-24 (月) 20:58:18)
  • 15 (2020-08-25 (火) 00:19:12)
  • 16 (2020-08-25 (火) 02:39:23)
  • 17 (2020-08-25 (火) 12:08:57)
  • 18 (2020-08-25 (火) 13:54:19)
  • 19 (2020-08-25 (火) 22:12:05)
  • 20 (2020-09-15 (火) 13:21:16)
  • 21 (2020-09-24 (木) 15:00:02)
  • 22 (2020-09-29 (火) 23:22:13)
  • 23 (2020-10-12 (月) 10:25:06)
  • 24 (2020-10-12 (月) 18:45:05)
  • 25 (2020-10-12 (月) 21:52:42)
  • 26 (2020-10-13 (火) 03:11:30)
  • 27 (2020-10-14 (水) 22:43:06)

---

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• 出題される 25 問のうち、自区分は他の区分に比べ、 圧倒的に多い約 20 問。
• 過去問題 中心の出題なので、難易度は、午後Ⅰや午後Ⅱほど高くない。

書籍 †

翔泳社の書籍を買いました。

以下、キーワードだけ列挙

基礎 †

特性 †

情報セキュリティの7大要素

• 情報セキュリティ特性
  • 機密性
  • 完全性
  • 可用性

• 付加的特性
  • 真正性
  • 責任追跡性
  • 否認防止及び信頼性

→ コチラ

対策 †

情報セキュリティの対策

• 抑止・抑制
• 予防・防止
• 検知・追跡
• 回復

→ コチラ

マネジメント †

.com †

以下のサイトで、復習を行う。

• 過去問道場｜情報処理安全確保支援士.com
  https://www.sc-siken.com/sckakomon.php

基礎 †

概念 †

• セキュリティと情報セキュリティ
  • セキュリティ
  • 情報セキュリティ

• 物理的セキュリティと論理的セキュリティ
  • 物理的セキュリティ
  • 論理的セキュリティ

• 特性
  • 基本的特性
  • 付加的特性

ネットワーク、仮想化、クラウド †

DNS関連 †

• 脅威
  • スプーフィング、ポイズニング系
  • DoS系（Flood、Reflection、Slow）

• 脆弱性

電子メール関連 †

• 機能
  • 認証
  • 署名・暗号化

• 脅威

• 脆弱性

仮想化、クラウド †

脅威 †

不正のトライアングル †

スプーフィング、ポイズニング系 †

なりすまし（スプーフィングの一種にポイズニングがある）。

DoS系（Flood、Reflection、Slow） †

• DoS (Flood)
  大量の要求でリソースを枯渇させる。
  • Stream
  • SYN
  • ACK
  • Connection
  • UDP
  • ICMP(ping)

• DDoS
  踏み台を経由したリクエストでの攻撃

• DNS
  DNSの再起クエリによる攻撃

• Reflection
  踏み台を経由したレスポンスでの攻撃
  （詐称されたリクエストのレスポンスで別のホストを攻撃）

• DNS
  DNSの再起クエリの応答による攻撃
• ICMP
  ICMPの応答による攻撃
• NTP
  NTPの応答による攻撃

サイドチャネル攻撃 †

IoT関連ということで、出題頻度増えるかも。

電子メール関連 †

• フィッシング・メール
• 標的型メール攻撃

マルウェア関連 †

• ウイルスのタイプ
• ルートキット

その他 †

• BlueBorne

• 攻撃
  • エクスプロイト・コード
  • ゼロデイ攻撃

脆弱性 †

DNS関連 †

電子メール関連 †

対策技術 †

脆弱性 or 脅威の対策

DNS関連 †

• 意図しないゾーン転送を拒否する設定。

• 外部からの再帰クエリを止める
  • 外部からの反復クエリのみに対応。
  • 内部からの再帰クエリのみに対応。

• ポイズニング
  • DNSSEC
    データ作成元の認証やデータの完全性を
    確認できるように仕様を拡張するもの

電子メール関連 †

• 認証
  • SMTP-AUTH
  • POP before SMTP
  • APOP

• 暗号技術

• メールの署名
  • DKIM

• 経路の暗号化
  • STARTTLS (25 → 587)
  • SMTP over SSL/TLS (25 → 465)

• 中継処理制限
  • ホワイトリストやブラックリスト
    Receivedヘッダー（中継したSMTPサーバ）

• OP25B
  • スパムの踏み台にならないようにする。
  • 外部ネットワークへのTCP 25番ポートの通信を遮断

• SPF（Sender Policy Framework）
  エンベロープFromを利用して認証

• Sender ID
  PRAで（FromヘッダーやSenderヘッダーなどから送信者を特定して）認証

• フィルタリング
  • シグネチャ・マッチング
  • ベイジアン・フィルタリング

マルウェア関連 †

• ウイルスの検出手法

認証 †

基礎 †

固定式パスワード †

ワンタイム・パスワード(OTP) †

Cカードによる認証 †

生体認証（バイオメトリック認証） †

シングルサインオン（SSO） †

その他 †

暗号 †

ハッシュ関連 †

公開鍵暗号方式 †

基本的に、暗号化・署名で公開鍵は受信者が使う。

デジタル証明書 †

• 秘密鍵で署名
• 署名対象は公開鍵

• SSL/TLS通信で使用
  • サーバ証明書
  • クライアント証明書
  • DH鍵共有（交換）

• 局
  • 認証局 (CA = Certificate Authority)
  • 検証局 (VA = Validation Authority)

XML暗号化 †

• Detached署名
• Enveloped署名
• Enveloping署名

IPsec †

• 鍵共有プロトコル

• ISAKMP/Oakley
• IKEv1
• IKEv2

• 暗号通信プロトコル

• 動作モード
  • トランスポート・モード
  • トンネル・モード

• 暗号化、メッセージ認証
  • AH (Authentication Header)
  • ESP (Encapsulated Security Payload)

• 復号化、メッセージ認証の検証

VPN †

• 網での分類
  • IP-VPN
  • エントリーVPN
  • インターネットVPN

• 機器での分類
  • IPsec-VPN
  • SSL-VPN
  • VPN Gateway

暗号解読 †

F/W †

パケット・フィルタリング型ファイアウォール †

サーキットレベル・ゲートウェイ型 †

L4スイッチ的に動作する（UDPを対象にできる）。

ダイナミック・パケットフィルタ型 †

L4スイッチ的に動作する（クライアントとTCP/IPのコネクションを識別）。

ステートフルインスペクション型 †

L4スイッチ的に動作する（TCP/IPの通信フロー≒セッションまでをチェック）。

アプリケーション・プロキシ型 †

L7スイッチ的に動作する（ペイロードをチェック可能）。

Webアプリケーション・ファイアウォール（WAF） †

L7スイッチ的に動作する（アプリケーション・プロキシ型のHTTP版）

マネジメント・システム †

統合マネジメント †

• ISMS用語（不適合、修正、是正処置）

リスク・アセスメント †

• リスク特定
  影響の有無を特定する（度合いは下記で）。

• リスク分析（定性分析）
• リスク評価（定量分析）

リスク対応の用語 †

• リスク対応（セーフガード）
  • リスク・コントロール
  • リスク・ファイナンシング

• CP : コンティンジェンシー・プラン（SCの場合は、BCP的）

※ SCのリスクはPMPのリスクとチョット違う感じ。

法制度、法人系の記号 †

ISO/IEC 15408、CC、JISEC †

• ISO/IEC 15408
  セキュリティ規格

• Common Criteria（CC）
  • セキュリティ評価・認証制度
  • [C]ommon [C]riteria for Information Technology Security Evaluation

• JISEC
  • セキュリティ評価・認証制度
  • [J]apan [I]nformation Technology [S]ecurity [E]valuation and [C]ertification Scheme

FIPS140-2、JCMVP †

• FIPS140-2
  暗号モジュールの標準規格。

• JCMVP
  • と、その国内の試験及び認証制度
  • [J]apan [C]ryptographic [M]odule [V]alidation [P]rogram

CVE、CWE、CVSS †

これは覚え難いｗ

• Vulnerabilities and Exposures : ID
• Weakness Enumeration : タイプ
• Scoring System : 評価（基本、現状、環境）

※ Japan Vulnerability Notes (JVN)は、
　日本の脆弱性情報に焦点を置いたDB（翻訳物ではない）。

J-CSIP、J-CRAT †

• J-CSIP
  
  • ジェイ・シップ
  • サイバー情報共有イニシアティブ
  • サイバー攻撃による被害拡大防止
  • Initiative for [C]yber [S]ecurity [I]nformation sharing [P]artnership of Japan

• J-CRAT
  
  • ジェイ・クラート
  • サイバーレスキュー隊
  • 標的型サイバー攻撃の被害拡大防止
  • [C]yber [R]escue and [A]dvice [T]eam against targeted attack of [J]apan

CERT/CC、JPCERT/CC、ISAC †

• CERT/CC（CERT Coordination Center）
  • アメリカにあるインターネットセキュリティを扱う研究・開発センター
  • CSIRTの草分けであり、同分野で最も権威ある組織の一つ。

• JPCERT/CCは
  • CERT/CCの日本版
  • CVE識別子の日本版であるJVE識別子の管理などをしている。

CRYPTREC †

• くりぷとれっく
• [Crypt]ography [R]esearch and [E]valuation [C]ommittees

• 電子政府推奨暗号の安全性を評価・監視し、
  暗号技術の適切な実装法・運用法を調査・検討するプロジェクト

• 電子政府における調達のために参照すべき
  暗号の３つのリストを公開している。
  • 電子政府推奨暗号リスト（CRYPTREC暗号リスト）
  • 推奨候補暗号リスト
  • 運用監視暗号リスト（非推奨）

• 現在の体制
  • 「暗号技術検討会」がトップ
  • その下に
    • 暗号技術評価委員会
    • 暗号技術活用委員会

※ 技術寄りで、法制度と関係が無い模様。

法制度 †

知的財産権 †

• 特許権
  • 先願主義を採用している。
  • 発明は公知されていない製品発表前に出願

• しかし、
  • 既存の場合、先使用権が与えられる。
  • 製品販売などの発明の実施行為後も
    6カ月以内であれば特許として出願可能

その他 †

システム開発におけるテスト †

品質特性 †

機能適合性、性能効率性、使用性、信頼性、保守性

情報セキュリティ政策（経産省） †

• 法制度
  • 電子署名法制度
  • サイバーセキュリティ経営ガイドライン

• 監査制度

• 情報セキュリティ監査制度
  下記に基づいて運営される制度
  • 情報セキュリティ監査基準
  • 情報セキュリティ管理基準

• システム監査制度
  下記に基づいて運営される制度
  • システム監査基準
  • システム管理基準

• 認証制度

• 暗号技術評価（CRYPTREC）

• ITセキュリティ評価及び認証

• 情報セキュリティサービス基準
  情報セキュリティサービスの認証みたいな。

• 参考
  情報セキュリティサービス審査登録制度
  https://www.meti.go.jp/policy/netsecurity/shinsatouroku/touroku.html

• ソフトウェア管理ガイドライン
  なにげにライセンス管理の話らしい。

• 参考
  • ソフトウェア管理ガイドライン
    https://www.meti.go.jp/policy/netsecurity/downloadfiles/softkanri-guide.htm

• その他
  • 脆弱性関連情報の取扱い
  • 情報セキュリティガバナンス

• 普及啓発事業
• フィッシング対策事業

他区分 †

DB †

• GRANT文
  • 構文

    GRANT 権限名
          ON オブジェクト名
          TO { ユーザ名 | ロール名 | PUBLIC }
          [ WITH GRANT OPTION ] ;

• 権限名
  • SELECT：参照する権限を与える
  • INSERT：行を追加する権限を与える
  • DELETE：行を削除する権限を与える
  • UPDATE：値を更新する権限を与える
  • UPDATE（列名）：特定列の値を更新する権限を与える
  • ALL PRIVILEGES：上記の権限を全て与える

• ON
  特定のオブジェクトに対し、

• TO
  アクセス権を与える
  • 指定されたユーザ、ロールに対して。
  • PUBLICを指定：すべてのロールに対して。

• WITH GRANT OPTION
  GRANT権限を、別のユーザに与える。

• 表定義中では権限付与（GRANT）はできない。

NW †

• 通信方式

• NIC

• チーミング
  • フォールト・トレランス
  • リンク・アグリゲーション
  • ロード・バランシング

• スイッチ

• Automatic MDI / MDI-X
  業界長いが、初めて聞いた（詳しくはググれ）。

• スパニング ツリー
  負荷分散の説明と間違わないように。

• ルータ
  • イーサネットフレームの送信先・送信元MACを書き換える。
  • ルータはMACを知っている（ARPにより送信先MACを知る）。

• 3ウェイ ハンドシェイク

• IEEE 802.1X

• 認証システム
  アクセスポイントには以下が必要になる。
  • オーセンティケータ実装
  • RADIUSクライアント機能

• 暗号化通信
  • 前述の利用者認証
  • 動的に配布される暗号化鍵を用いた暗号化通信

• ASN.1
  • データ構造の表現形式を定義するための標準的な記法の一つ。
  • 主に通信プロトコルのデータの送受信単位（PDU：Protocol Data Unit）の定義に用いられる。

その他 †

• データセンタにおける
  • コールドアイル・ホットアイル
  • 避雷器（アレスタ）

• コンテンツの不正複製防止方式

ポイント †

用語系 †

これは、覚えるしか無いね。

XXXX系 †

• DNS系
  • 脆弱性、対策技術
  • ...

• メール系
  • 脆弱性、対策技術
  • IMAP4、POP3

• 無線LAN系
  • WEP / WPA
  • CSMA/CA（隠れ端末問題）

規格名 †

• FIPS 140-2
• 802.1XのEAP-TLS認証

3文字系 †

漢字が降ってないとキツイ時、在るよね。

• 不正侵入検知システム
  IDS（NIDSとHIDS）、IPS（NIPSとHIPS）、

その他 †

• スプーフィング、スヌーピング
  ポイズニング系＋MITMで両方が使われるので混乱する。

• スプーフィング
  • Spoofing（spoofは、なりすましの意味）
  • 攻撃者や攻撃用プログラムを別の人物やプログラムに見せかける事を利用した攻撃。
  • ポイズニングの別名的に使用されることがある。

• スヌーピング
  • パケット・スニッファのSnifferと同じ。
  • 覗き見（する）、詮索（する）、嗅ぎまわる（こと）、探りを入れる（こと）
  • NWにおいて、自分宛でない通信を覗き見・監視すること（ARPスヌーピング、TCPスヌーピング）

• 電子透かし
  • Digital Watermark
  • Digital Watermarking
  • ステガノグラフィー（steganography）

全体的に †

• 午前の問題は、雰囲気で答えているモノが、案外、多い。

• 業務でそれ程、コアに使わない知識。

• 例えば、私は、SAMLには詳しいが、
  • 全てに、SAMLレベルに詳しい訳ではない。
  • 午前は、上っ面ダケで正答することが出来る。

• しかし、午後対策では、少々、詳しく理解しておく必要がある。
  （少なくともセキュリティ関係は単語レベルでない理解にまで引き上げる）

定義 †

曖昧系 †

• 衝突発見困難性

• フォールス・ポジティブ or ネガティブ

英単語 †

• スニッフィング (sniffing) → 盗聴
• サプリカント (supplicant) → 嘆願者（認証を要求するClientソフト）

各種の脅威と対策 †

計算問題系 †

公式がわからない場合 †

• 小さい数で試算してみる。

• 例
  • ネットワーク経路
  • 共通鍵の個数

計算問題は時間がかかる。 †

焦って、

• 問題を読み間違える可能性、大ｗ
• 単位変換（に注意していても）見落とすｗ

2進数の計算 †

ホスト部計算もなかなか大変。

255.255.255.224 の 198.51.100.90

• 255.255.255.224

  224
  112  0
  56   0
  28   0
  14   0
  7    0
  3    1
  1    1

• 198.51.100.90

  90
  45  0
  22  1
  11  0
  5   1
  2   1
  1   0

• 頭を揃えないと間違える。
  • 11100000
  • 01011010
  • ------------
  • 00011010 → 26

SLA計算 †

SLA ＝ 稼働率

  （稼働時間 － 計画停止時間 － 障害停止時間）
＝－－－－－－－－－－－－－－－－－－－
        （稼働時間 － 計画停止時間）

何気にｘ月はｘｘ日とか言う、
ジャパニーズ・カレンダーの知識も要る。

ちなみに、MTBF・MTTR

ボケ老人 †

問題文を間違える。 †

問題文を読んだ。 → 回答を間違えた。
→ 問題文を読み直した。 → 問題文を読み違えていた。

• 改ざんの「防止」ではなく「検出」みたいな。

• 問題文には「SMTPの不正利用を防止」とあるが、
  選択肢に「DNSの不正利用を防止」する方法がある場合、
  脳内で、問題が「DNSの不正利用を防止」にすり替わる。

選択を間違える †

問題＆回答、バッチリ解っているのに、選択を間違えるｗ

• 署名・検証と秘密鍵・公開鍵の対応。
• ...。

常識的に考えて †

識的に考えて答えを選択する系。

参考 †

• 安全確保支援士試験の備忘録 - Qiita
  https://qiita.com/hhhhh/items/62988244ce0dfff22f5e

• 3週間で仕上げる 情報処理安全確保支援士 午前Ⅱ[午前2]
  対策 ～知識の量を増やす【令和元年更新】 | IT資格の歩き方
  https://www.seplus.jp/it-exam-guide/guide/exam_prep3_am2_for_sc_h31_spring/

過去問 †

道場 †

• 午前Ⅰ

• 過去問道場｜情報処理安全確保支援士.com
  https://www.sc-siken.com/sckakomon.php

IPA †

• IPA 独立行政法人 情報処理推進機構：過去問題
  https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html

     

Site admin: TechInfoOfMicrosoftTech

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.110 sec.