忘れ物おじさん

セキュリティ

ネットワークのセキュリティ -情報処理シンプルまとめ

基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,ネットワークのセキュリティについてシンプルにまとめています。アクセス制御(ファイアウォール,侵入検知システム(IDS)と侵入防止システム(IPS),ハニーポット),Webのセキュリティ,電子メールのセキュリティについて,その概要を説明しています。ここで,全体像をつかむようにしましょう。また,各内容の詳細については,リンクを貼っていますので,そちらも参照してみてください。
ネットワーク

侵入検知システム(IDS)と侵入防止システム(IPS) -情報処理シンプルまとめ

基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,侵入検知システム(IDS)と侵入防止システム(IPS)についてシンプルにまとめています。はじめに,侵入検知システムと侵入防止システムの概要,分類(NIDS,HIDS,NIPS,HIPS)を説明し,その後,検知方法(不正検知型(シグネチャ型),異常検知型(アノマリ型)),フォールスネガティブ,フォールスポジティブについて説明しています。確実に理解できるよう,頑張りましょう。
セキュリティ

情報セキュリティ -情報処理シンプルまとめ

基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,情報セキュリティについてシンプルにまとめています。はじめに,情報セキュリティの定義(機密性,完全性,可用性,真正性,責任追跡性,否認防止,信頼性)について説明し,次に,ISMS(情報セキュリティマネジメントシステム)の概要と,情報資産,インシデント(情報セキュリティインシデント),脅威,脆弱性,リスク,不正のメカニズムについて説明しています。また,攻撃者の種類(ハッカー,クラッカー,ホワイトハットハッカー,スクリプトキディ,ボットハーダー,内部関係者,詐欺犯,愉快犯),攻撃の動機(金銭奪取,サイバーテロリズム,自己顕示欲,知的好奇心),マルウェア(コンピューターウイルス(自己伝染機能,潜伏機能,発病機能),暴露ウイルス,マクロウイルス,ワーム,トロイの木馬,スパイウェア,キーロガー,ランサムウェア,),攻撃の手法(ルートキット,ゼロデイ攻撃,pingスイープ,ポートスキャン,ステルススキャン,ソーシャルエンジニアリング,ショルダーハッキング,トラッシング(スキャベンジング),フィッシング,パスワードクラック,ブルートフォース攻撃(総当たり攻撃),辞書攻撃,パスワードリスト攻撃,バックドア,バッファオーバーフロー攻撃,DoS攻撃(サービス妨害攻撃),SYN Flood攻撃,Smurf攻撃,メール爆弾,DDoS攻撃(分散Dos攻撃),クロスサイトスクリプティング,クロスサイトリクエストフォージェリ(CSRF),クリックジャッキング,ディレクトリトラバーサル,ドライブバイダウンロード,インジェクション攻撃,SQLインジェクション,OSコマンドインジェクション,セッションハイジャック,中間者攻撃(MITM攻撃),第三者中継,IPスプーフィング,DNSキャッシュポイズニング攻撃,リプレイアタック(再使用攻撃),標的型攻撃,APT攻撃,水飲み場型攻撃,サイドチャネル攻撃,タイミング攻撃,テンペスト攻撃)についても、簡単に説明しています。覚えることがたくさんあると思いますが,しっかり頑張りましょう。
セキュリティ

情報セキュリティ管理 -情報処理シンプルまとめ

基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,情報セキュリティ管理についてシンプルにまとめています。はじめに,情報セキュリティ管理についての概要を説明し,次に,情報資産,情報セキュリティインシデント(情報漏洩,情報の改ざん,サービス停止,コンピューターウイルス感染),情報セキュリティ事象,脅威(環境的脅威,人為的脅威),脆弱性,リスク,マネジメントシステムについて説明しています。情報セキュリティマネジメントシステム(ISMS)については,PDCAサイクルによる管理活動,ISMSの確立(情報セキュリティポリシーの策定(情報セキュリティ基本方針,情報セキュリティ対策基準,情報セキュリティ実施手順),リスクアセスメント,管理策の策定,適用宣言書),ISMSの導入・運用(リスク対応,情報セキュリティインシデントへの対応),ISMSの監視・レビュー(ISMSの内部監査,ISMSのマネジメントレビュー),ISMSの維持・改善を,リスクマネジメントについては,リスク基準の設定,リスクアセスメント(リスク特定,リスク分析(定性的リスク分析,定量的リスク分析),リスク評価),リスク対応,リスク対応の考え方(リスクコントロール,リスクファイナンス),リスク対策の方法(リスク低減,リスク受容(保有),リスク回避,リスク移転),リスクアセスメントの例(基本情報技術者試験 平成26年春 午後問1)を,個人情報保護マネジメントシステム(PMS)については,個人情報,PDCAサイクルによる管理活動を説明しています。概念ばかりで,辛いかもしれませんが,頑張りましょう。
セキュリティ

情報セキュリティ対策 -情報処理シンプルまとめ

基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,情報セキュリティ対策についてシンプルにまとめています。情報セキュリティ対策の概要,方法(抑止,予防,検知(IDS(侵入検知システム)),回復),人的セキュリティ対策(IPA「組織における内部不正防止ガイドライン」,採用時などの対策,誤操作に対する対策(認証,アクセス制御,フールプルーフ,フォーマットチェック,ニューメリックチェック,バックアップ),情報セキュリティに関する教育や訓練,ユーザー認証とアクセス制御(安全なパスワード)),物理的セキュリティ対策(バックアップセンターの設置(ホットサイト,ウォームサイト,コールドサイト),ゾーニング(一般ゾーン,セキュアゾーン,ハイセキュアゾーン),入退館管理,入退室管理,ピギーバック,クリアスクリーン,クリアデスク,盗難対策,ハードウェア障害に対する対策(バックアップ,システムの冗長構成,耐障害性(フォールトトレランス),RAID)),技術的セキュリティ対策(暗号化,認証,アクセス制御,ネットワークのセキュリティ)について説明しています。さまざまな対策がありますので,一つ一つ丁寧に頑張りましょう。
セキュリティ

暗号化 -情報処理シンプルまとめ

基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,暗号化についてシンプルにまとめています。暗号化のしくみ,ブロック暗号とストリーム暗号,共通鍵暗号方式(秘密鍵暗号方式),公開鍵暗号方式,ハイブリッド暗号方式,暗号方式の種類について説明します。特に,共通鍵暗号方式と公開鍵暗号方式については,そのしくみと鍵管理,使い方について,理解できるまで繰り返し,じっくり読んでみてください。
セキュリティ

ハッシュ関数 -情報処理シンプルまとめ

基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,ハッシュ関数ついてシンプルにまとめています。実際の試験で問われる内容ですので,理解できるまで,じっくり読んでみてください。
セキュリティ

認証 -情報処理シンプルまとめ

基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,認証についてシンプルにまとめています。はじめに,認証者と被認証者,第三者認証についての説明を,次に,認証の種類とディジタル署名について説明します。そして,本人認証については,パスワード認証(パスワードの保管,ソルト),ワンタイムパスワード(リプレイ攻撃対策,チャレンジレスポンス認証,時刻同期方式による認証(トークンによる認証),ハッシュ関数を用いた認証(S/Key)),所有物による認証(USBメモリ,ICカード(接触型,非接触型),スマートフォンなど),生体(バイオメトリクス)認証(指紋認証,静脈認証,虹彩認証,顔認証,DNA認証,筆跡,声紋,キーストローク,本人拒否率,他人受入率など),リスクベース認証,CAPTCHAを,メッセージ認証については,MAC,HMACの説明をします。さらに,公開鍵基盤(PKI)(認証局(CA),登録局(RA),発行局(IA),リポジトリ,CRL,OCSP)や時刻認証(タイムスタンプ,TSA)についても説明します。たくさんありますが,どれも大切な内容ですので,理解できるまで繰り返し,じっくり読んでみてください。