情報セキュリティ管理
ITパスポートの過去問「情報セキュリティ管理」でわからなかった単語をコピペ、感想を書いていく。
情報セキュリティにおける三要素は、機密性、完全性および可溶性です。可用性とは、障害が発生しても安定したサービスを提供でき、ユーザが必要なときに必要なだけシステムを利用可能である度合いのことです。
とりあえず概念は覚えておこう的な抜粋。
PDCA(ピーディーシーエー)は、Plan(計画)→Do(実行)→Check(評価)→Act(見直し・改善)の4段階を繰り返すことによって、業務を継続的に改善する手法です。
PDCAはよく見る単語っすね。PDCAサイクルがきちんと回るって結構難しいと思うんだけどね()
サイバーレスキュー隊(J-CRAT)は、「標的型サイバー攻撃特別相談窓口」にて受け付けた相談や情報に対して調査分析を実施し、JPCERT/CCやセキュリティベンダ等と連携して助言や支援および情報共有を行うことで被害の低減と攻撃の拡大防止を図るIPAの取り組みです。標的型サイバー攻撃の被害低減と拡大防止を活動目的としています。
某製粉会社の騒動でもで出動したのかな?専門家がいてくれるのは良き。
ISMSのリスクアセスメントは、リスクの大きさを評価し、そのリスクが許容できるか否かを決定する全体的なプロセスです。JIS Q 27000で「リスク特定,リスク分析及びリスク評価のプロセス全体」と定義されているように、「リスク特定」「リスク分析」「リスク評価」までの一連の活動を含みます。
特定→分析→評価の順で活動するってさ。対応はリスクアセスメントの範囲外。
リスク移転 他者とリスクを共有すること
例)保険に加入する、リスクのある業務をアウトソーシングするリスク回避 リスク源を除去して、リスクが現実化する確率をゼロにすること
例)リスクを生じさせる活動を、開始または継続しないと決定するリスク低減 リスクの起こりやすさ、またはリスクが現実化したときの損失を低下させること
例)機器を二重化する、入退室管理を厳重にするリスク保有 リスクを許容し、あえて何の対策も講じないこと
例)対策費用が損害額を上回るので対策をとらない
それぞれ理解してないとややこしいので覚える。 リスク移転はどっちかというと分散の方がイメージしやすい、かもね。
バイオメトリクス認証は、生体認証とも呼ばれ、人間の身体的な特徴や行動の特性など個人に固有の情報を用いて本人の認証を行う方式です。事前に本人の生体特徴情報を認証システムに登録しておき、認証時にはセンサで読み取った情報と比較することで本人確認を行う仕組みになっています。認証方式として、指紋認証、静脈パターン認証、虹彩認証、声紋認証、顔認証、網膜認証などの種類があります。
出勤管理に静脈認証やってたとこあったけど本当に必要か??と思っていたことは内緒。居酒屋にそれは必要か??
CSIRT(Computer Security Incident Response Team,シーサート)は、セキュリティ対応を専門とする組織のことで、企業内などの一定範囲で発生したセキュリティインシデントについて活動を行うチームです。サイバーセキュリティ経営ガイドライン(ver2.0)では「インシデントの発生に対応するための体制のこと。」と定義されています。
他の単語わかってりゃ正解する系の問題で出てた。「シーサーとセキュリティ対応する」で覚えることにする。
JVN(Japan Vulnerability Notes)は、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。JVNが公開している"JVN#12345678"などの番号は脆弱性識別番号と呼ばれ、脆弱性情報ごとに一意に割り振られます。JVNのWebサイトでは、脆弱性情報ごとに概要、影響を受けるシステム、詳細情報、想定される影響、対策方法などを閲覧できます。またJVN iPediaでは、脆弱性情報をデータベースから検索できるようになっています。
本当にJVNで調べたらあった…知らんかった…、セキュリティ系のこと調べるにはこういうとこで調べるのがよさそう。
ITパスポート過去問道場セキュリティ
セキュリティ分野のわからなかったor曖昧に覚えている単語をまとめたもの。
青背景は過去問解説の引用。
RAT(Remote Access Tool)は、コンピュータを外部から遠隔操作するためのプログラムです。マルウェアにRATが仕込まれていると、攻撃者からコンピュータを遠隔操作されてしまいます。
遠隔操作ネズミみたいなイメージしとけば忘れなさそう。
ランサムウェアは、他人のコンピュータのデータを勝手に暗号化してデータにアクセスできないようにし、元に戻すための復元プログラムを買うように迫るマルウェアです。
データ身代金誘拐事件(?) ランサム=身代金、取り戻し金らしい。
クロスサイトスクリプティングは、動的にWebページを生成するWebアプリケーションに対して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法です。
必殺技名で叫んでそう。サイトをクロス(横断)するからってことらしいけどなんやよーわからん。
クリプトジャッキングは、暗号資産(仮想通貨)のマイニング(採掘)作業を、許可なく他人のコンピュータに行わせる行為です。
強制ただ働き、マイニング需要も高まって高スペックPCが売れたとか売れてなかったとか。電気代やべーらしいよ。
バッファオーバフローは、攻撃者が対象プログラムに対して、そのプログラムが確保したメモリ領域(バッファ)よりも大きなデータを与えることで、メモリ領域からあふれた部分に不正データを書き込む攻撃です。
某ハンター漫画の「メモリの無駄遣い♠」を強制させる。念能力であったら強そう。
特定企業へのDDoS攻撃はTwitterとかで噂になってたりするよね。
不正のトライアングルとは、不正行動は「動機・プレッシャー」「機会」「正当化」の3要素がすべて揃った場合に発生するという理論で、米国の組織犯罪研究者であるドナルド・R・クレッシーにより提唱されました。
不正してしまうのは本人の資質というより環境とか経験とか事情が重なってそうさせるって理論。だからセキュリティを日頃からちゃんとやっときましょうね、って話。ドンキ快晴(動機機会正当化)でトライアングル盗む、って覚えることにした。
ドライブバイダウンロードは、利用者が公開Webサイトを閲覧したときに、その利用者の意図にかかわらず、PCにマルウェアをダウンロードさせて感染させる攻撃です。
怪しげなWebサイト見ただけで感染するからな、エロには気を付けような。ドライブバイおじさん(?)との約束だ。
MITB(Man In The Browser)攻撃は、ユーザPC内のマルウェアなどによりWebブラウザとWebサーバ間の送受信をブラウザベースで盗聴・改ざんする攻撃です。利用者とWebサーバの間のブラウザを乗っ取るのでMITB(Man In The Browser)と呼ばれます。
MITBの被害としては、インターネットバンキングへのログインを検知して、セッションを乗っ取り、振込先口座番号を差し替えることで預金を不正送金するなどの例があります。同じく送受信を改ざんするMan-in-the-Middle攻撃(中間者攻撃)と異なりクライアント内で書換えが行われるため、Webサーバ側で不正処理を拒否することが難しいという特徴があります。
某ジョジョ5部のキャラを思い出すけど無関係。でもあのおっさんがブラウザ上にいきなり現れるの想像すると捗る(?)
ブルートフォース攻撃は、特定の文字数および文字種で設定される可能性のある組合せのすべてを試すことで、不正ログインや暗号化鍵の特定を試みる攻撃手法です。
パスワードの総当たり攻撃っすね、これは。パスワードに使用制限とかついてないと原始的でも有効な手段になるっす。
標的型攻撃メールは、差出人を取引先企業や官公庁や知人など信頼性のある人に偽装し、さらに、受信者の興味を引く件名や本文を使用することによって、ウイルスを仕込んだ添付ファイルを開かせたり、ウイルスに感染させるWebサイトのリンクをクリックさせたりするなど、特定の攻撃対象を巧妙に誘導する攻撃手法。
昔からある技法。やつらは巧妙に擬態してくる。添付ファイルついたメールは疑ってかかれ。
ゼロデイ攻撃とは、あるOSやソフトウェアに脆弱性が存在することが判明し、ソフトウェアの修正プログラム等がベンダから提供されるより前に、その脆弱性を悪用して行われる攻撃のことを指します。問題解決のための対策が公開された日を1日目としたとき、それ以前に開始された攻撃という意味でゼロデイ攻撃と呼ばれています。
「ゼロデイ」には、脆弱性を塞ぐ手立てがない状況下での攻撃という意味が込められています。
(対策を)やられる前に(攻撃を)やれ。 淡々とセキュリティの質を上げていこう。
IPスプーフィングは、攻撃者が身元を隠すためや応答パケットを攻撃対象に送りつけるために、IPヘッダに含まれる送信元IPアドレスを偽装する攻撃手法です。
単純にこの方法だけで不正アクセスを試みる攻撃のほか、「ポートスキャン」や「DoS攻撃」などの他の攻撃手法を成功させるために併用されるケースもあります。
串通すのと何が違うんだろ?みたいなことを思った。スプーという単語に反応したくなる。
アドウェア(Adware)は、ユーザの使用中に広告が表示されるソフトウェアの総称です。
企業が提供する本格的なソフトウェアを無料で使用できるかわりに広告が表示されたり、機能を利用するかわりにソフトウェア作者が広告収入を得たりするなどの種類があります。
うっとうしいスマホ広告のあれとかの説明。あれのエロ漫画とかちょっと読んじゃう()
rootkitは攻撃者がPCへの侵入後に利用するために,ログの消去やバックドアなどの攻撃ツールをパッケージ化して隠しておく仕組みのこと
不法アクセスのお作法。バレないようにあらかじめ準備をしておくのはやる側からしたら当たり前だよなぁ。