気持ちを新たに応用情報合格に向けて勉強していきたいと思います!
令和2年秋試験で痛感したのはセキュリティ問題の弱さ。
というかどんどん問題が難しくなってきているんですね。
午後の過去問も一通りやってしまっているので、「情報セキュリティマネジメント試験」の過去問をやっていこうと考えています。
それにあたってこちらの本を読みました!
応用情報の参考書を読んでいるだけだと、漏れていた用語が結構ありました。
重要度順というわけではないのですが、個人的な備忘録としてうろ覚え、知らなかった単語を列挙し簡単な説明を書いておきます。
変な覚え方も書いてあるものもありますが、個人的な覚え方なのであまりお気になされないよう…
※引用先は主にウィキペディア、大塚商会のIT用語辞典を参考にしています
※解説が間違っていたら教えてもらえると助かります!
■知らなかった、うろ覚えだった用語群
・スクリプトキディ
他人の製作したプログラムまたはスクリプトを悪用し、興味本位で第三者に被害を与えるクラッカーの俗称。
この言葉を見るとどうしてもキティちゃんの顔が浮かんで本来の言葉の意味を忘れる。
キティちゃんが悪用しているイラストをイメージとして覚えます
・C&Cサーバ
ボットネットや感染コンピュータのネットワークに対し、不正なコマンドを遠隔で頻繁に送信するために利用されるサーバのこと。
コマンドアンドコントロールでC&C。
B&Bだと昔の漫才師でその人たちがサーバとして利用されているイメージで覚える。
・ボットハーダー
ボットネットの指令者。ハーダー(Herders)は「羊飼い」「牧夫」。支配下にあるボットを家畜に見たてて、それらを支配・統制する者という意味がある。
ハーダーさんがボットを使って戦っているイメージで覚える
・ポリモーフィック型ウイルス
感染時に毎回異なる暗号鍵で自身を暗号化することでパターンマッチングによる検出を回避するウイルス。。
パターンマッチング法での駆除を回避するウイルス。
ポリモーフィックさんが次々と変装して逃走するイメージで覚える
・スニッフィング
ネットワークを流れるデータを盗み見ること。
ムーミンのスニフがのぞき見しているイメージで覚える
・フットプリンティング
攻撃者が事前に攻撃対象となるコンピュータやネットワークに対して弱点や攻撃の足掛かりを得るために行う事前調査。
言葉の意味的に足跡を付けてたらダメじゃん、と思うんだけど。
事前調査に来たんだけど足跡を残していった泥棒のイメージで覚える。
・ウォードライビング
移動しながら無線LANのアクセスポイント(AP)を探す行為。
ウォー、と叫びながら探してたら怪しさ満点ですな。
・テンペスト
ディスプレイや各種ケーブルからでる微弱な電磁波を外部から検知してディスプレイに表示された情報や、入力された文字列などが取得する技術
テンペストは英語だと嵐なんですよね。そのイメージと盗み見のイメージどうしても会わない
どうしてもサンプラザ中野さんの顔が浮かぶので、サンプラザ中野さんが電磁波をみて文字列を読み取るイメージで覚える。
・サイドチャネル
暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃。
サイドチャネルといえばワールドトリガーなので相手の動作で何を考えているか読み取れるサイドチャネルを持つボーダーをイメージして覚える。と思ったけどワールドトリガーならサイドチャネルはなくてサイドエフェクトだね。
・ファーミング
DNSの設定を書き換えて閲覧者を偽のウェブサイトに誘導することで不正に個人情報を得る、又は得ようとする行為のこと。
ファアファがDNSを書き換えているイメージで覚える
・クリックジャッキング
ボタンやリンクなどを透明で見えない状態にして、通常のWebページの上にかぶせて意図しない動作を誘発させること。
ジャンクマンが偽サイトを作成しているイメージで覚える
・スミッシング
SMSとフィシングを組み合わせた造語。SMSを悪用して、フィッシングサイトなどに誘導する。
最近自分もこれが来た。amazonっぽいサイトに誘導されて危うくパスワードが漏洩するところだった。
スミスさんが誘導サイト作成しているイメージで覚える
・クロスサイトリクエストフォージェリ
クロスサイトスクリプティングはwebブラウザ上で意図しない動作を行わせるが、クロスサイトリクエストフォージェリはwebサーバー上で意図しない動作を行わせる攻撃。
フォージェリさんはブラウザで仕掛けるよりwebサーバーで仕掛けるのが得意というイメージで覚える
・サニタイジング
送信する文字列の置き換えなどで無害化すること。
sanitizeは無害化する。
・APT
Advanced Persistent Threat: 高度で持続的な脅威。
特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃。
粘着さんが攻撃しているイメージで覚える
・BEC
Business Email Compromise:ビジネスメール詐欺。
漫画のBECKとは関係ない。
Compromiseって妥協とか譲歩っていう意味なんだけど、なんでこれでビジネスメール詐欺という意味になるのか。
・クリプトジャッキング
仮想通貨を得ることを目的とした攻撃のこと。
仮想通貨を取得するには購入意外にマイニング(採掘)でも可能。仮想通貨では、ブロックチェーンと呼ばれる技術を活用して、世界中の計算機で取引の情報や在庫の情報を計算して、全体として安全性を確保している。そういった仮想通貨の運用に対して、「自分のパソコンを提供」し、計算を行なった場合に報酬として仮想通貨が得られる仕組みがマイニングです。
他人のPCと使ってそれを実現している。
しまったジャンクマンはもう使ってしまった。
お金はないけど火葬通貨が欲しくて工夫しているクリプトさんがやっているイメージで覚える。
・PKI
公開鍵基盤(public key infrastructure)。
電子署名方式で用いる公開鍵とその公開鍵の持ち主の対応関係を保証するための仕組み。
・CRL
CRL (Certificate Revocation List) は、証明書の失効情報(シリアル番号と失効日)が記載されている認証局 (CA) 毎に作成・更新されるリスト。
Revocationは失効。
・認証局運用規定(CPS)
電子証明書を発行する発行局が採用する運用規定を定義する文書。
ルート認証局はこれを公開しないといけない。
・PGP
Pretty Good Privacy
公開鍵の交換を事前に当事者間で行ない、その間で電子署名や暗号化されたメールのやり取りを可能にする仕組み
・メッセージ認証符号(MAC)
通信データが改ざんされていないことを確かめるために作る暗号データ。
共通鍵暗号方式かハッシュ関数を使う
・CAPTCHA
人間とマシンを判別するチューリングテスト。
アカウントとか作る時に入力させられるゆがんだ文字の画像を入力させられるやつのこと。
・ISMS
情報セキュリティマネジメントシステム(Information Security Management System)。組織における情報資産のセキュリティを管理するための枠組み。
・リスクアセスメント
リスク特定、リスク分析、リスク評価を網羅するプロセス全体を指す
・リスク評価
リスク(とその大きさ)が受容可能か(許容可能か)を決定するためにリスク分析の結果をリスク基準と比較するプロセス
・CSA
Control Self Assessment。
従業者が自部門の活動の監査を自ら行う方式
・PCI DSS
加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準
・CVSS
共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System)
情報システムの脆弱性に対する公平で汎用的な評価手法。
・CSIRT
コンピュータやネットワーク(特にインターネット)上で何らかの問題(主にセキュリティ上の問題)が起きていないかどうか監視すると共に、万が一問題が発生した場合にその原因解析や影響範囲の調査を行ったりする組織の総称。
・JPCERT/CC
コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人。
なんでJPCSIRTにしなかったのか疑問。
・JVN
Japan Vulnerability Notes
JPCERTとIPAが共同で運営している、ソフトウェアの脆弱性に関する情報を公開しているホームページのこと
・J-CRAT
標的型サイバー攻撃の被害拡大防止を目的とした組織
・J-CSIP
参加組織間で情報共有を行い、高度なサイバー攻撃対策に繋げていく取り組み
JPCERT、J-CRAT、J-CSIPはいやがらせかと思うほど見た目で区別がつきにくい
・SMTP-AUTH
メール送信時にSMTP(送信)サーバーに対して認証を取る方式
・POP Before SMTP
POP3によるメール受信(におけるユーザー認証)を行った利用者に一定時間送信を許可する。
・OP25B
OP25B(Outbound Port 25 Blocking)
自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しようとする技術
同様の通信を用いた正規のメール送信も不可能になる
・SPF
SPF (Sender Policy Framework)とは、 電子メールの送信元ドメインが詐称されていないかを検査するための仕組み
・DKIM
DKIM (DomainKeys Identified Mail)
電子メールの送信ドメイン認証技術。メールを送信する際に送信元が電子署名を行い、 受信者がそれを検証することで、 送信者のなりすましやメールの改ざんを検知できるようにする技術
・ソルト
パスワードやパスフレーズなどのデータをハッシュ化する際に、付け加えるランダムなデータのこと
・ステガノグラフィ
情報を他の情報に埋め込む技術のこと。画像や音声データに紛れ込ませる
・アンチパスバック
カード認証操作なしの入退室を防ぐ機能。
「入室」→「退室」、「退室」→「入室」の手順をふまないと、エラーを記録する。
・ハニーポット
不正アクセスを受けることに価値を持つシステム、一種のおとり手法に使われる。
・IDS
Intrusion Detection System
ネットワーク上を流れるパケットを監視したり、サーバー上の受信データやログを調べたりして、何らかの不正侵入の兆候が確認できた場合に、管理者へ警告メールを通知するなどのアクションを起こすシステム。
・IPS
Intrusion Prevention System
異常な通信があれば、管理者へ通知するだけでなく、その通信をブロックするところまで動作する。
IDSは通知までしかしないが、IPSはブロックするところまでやる
・VLAN
物理的な接続形態とは独立して、仮想的なLANセグメントを作る技術
・WPA2-PSK
無線LANのアクセスポイントに事前共有鍵を設定しておき、接続を求めてきた情報機器がそれを知っている場合に限り接続を許可する方式
・DLP
Data Loss Prevention
外部に情報漏洩を防ぐためのセキュリティソリューション。
・SIEM
Security Information and Event Management
さまざまな機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象をいち早く検知・分析し、情報漏えいなどの異常を自動検出して管理者にスピーディに通知する仕組み
・UTM
Unified Threat Management。「統合脅威管理」の意味。複数のセキュリティ機能を1つに集約して運用するネットワークセキュリティ対策のこと。
・MDM
Mobile Device Management
ビジネスで使用するスマートフォンなどのモバイルデバイスの、システム設定などを統合的・効率的に管理する手法
・VDI
仮想デスクトップ基盤。
パソコンを仮想化した仕組み。
処理をサーバ上の仮想化されたパソコンで実行し、利用者の手元の端末にはその画面だけを転送するので、情報漏えいのリスクを軽減できる。
・NISC
内閣サイバーセキュリティセンター
・オプトイン方式
あらかじめ同意を得た者に対してのみ送信を認める方式
・デュプレックスシステム
機器やシステムの信頼性を高める手法の一つ。同じシステムを二系統用意して、通常時は片方を稼働させ、もう片方は待機させておく方式。「アクティブ/スタンバイ構成」とも呼ばれる。
・データウェアハウス
時系列に整理された大量の統合業務データ、もしくはその管理システムを指す
・データマート
データウェアハウスの中から特定の目的に合わせた部分を取り出したもの。通常は利用部門が利用目的に合ったデータのみを所持する
・OLA
Operational Level Agreement
サービスの提供者同士で結ばれる合意文書
・IMAP4
メールサーバ上でメッセージを保存・管理できるプロトコル。
・ファシリティマネジメント
企業、役所の施設設備を維持保全するための取り組み、仕組み
盗難防止のセキュリティワイヤなどもそう
・UPS
Uninterruptible Power Supply
停電などの電源障害が発生した際に、安全に機器をシャットダウンするためのバックアップ電源を供給し、コンピューター機器などのデータ損失やハードディスクの破損を防ぐ装置
・オンプレミス
情報システムのハードウェアを使用者(通常は企業)が自社保有物件やデータセンター等の設備内に設置・導入し、それらのリソースを主体的に管理する運用形態