情報処理安全確保支援士攻略サイト

情報処理安全確保支援士の情報を続々更新中

クラウドコンピューティングの提供形態

クラウドコンピューティングの提供形態は以下の3つに分かれる。 ●SaaS(Software as a Service) パッケージソフトウェアを提供する。 ユーザは必要なソフトウェアを選択して利用する。 ●PaaS(Platform as a Service) アプリケーションの実行環境を提供する。…

TELNETの脆弱性

TELNET(Teletype Network)の脆弱性について述べる。 【脆弱性1】 簡易なユーザ認証によって遠隔地からサーバを操作することが可能。 ●脆弱性によって想定されるリスク ⇒サーバへの進入。 ●対策案 ・SSHを使用 ・TELNET over TLS(TELNETS:992/TCP)を使用…

DNSの脆弱性

DNS(Domain Name System)の脆弱性について述べる。 【脆弱性1】 ゾーン転送要求(53/TCP)によって登録内容を取得可能。 ●脆弱性によって想定されるリスク ⇒ネットワーク構成情報漏洩。 ●対策案 ・ゾーン転送要求が不要な場合には停止し、53/TCPをフィルタ…

FTPの脆弱性

FTP(File Transfer Protocol)の脆弱性について述べる。 【脆弱性1】 認証情報が平文でネットワークを流れる。 ●脆弱性によって想定されるリスク ⇒パケット盗聴による認証情報の漏洩。 ●対策案 ・SSH(ポートフォワーディング)の使用 ・FTP over TLS(FTPS…

HTTPの脆弱性

HTTP(Hypertext Transfer Protocol)の脆弱性について述べる。 【脆弱性1】 送受診データが平文でネットワークを流れる。 ●脆弱性によって想定されるリスク ⇒パケット盗聴による情報漏洩。 ●対策案 ・HTTP over TLS(HTTPS:443/TCP)を使用 【脆弱性2】 ベ…

POP3の脆弱性

POP3(Post Office Protocol version 3)の脆弱性について述べる。 【脆弱性1】 認証情報が平文でネットワークを流れる。 ●脆弱性によって想定されるリスク ⇒パケット盗聴による認証情報の漏洩。 ●対策案 ・APOPを使用(認証情報の暗号化) 【脆弱性2】 受診…

SMTPの脆弱性

SMTP(Simple Mail Transfer Protocol)の脆弱性について述べる。 【脆弱性1】 メール送信にあたってユーザを認証する仕組みがない。 ●脆弱性によって想定されるリスク ⇒スパムの踏み台になる。 ●対策案 ・SMTP-AUTHを使用 ・POP Before SMTPを使用 ・発信元…

マルウェアの種類

マルウェアとは、利用者の意図に反する振る舞いをするプログラムやスクリプトのこと。 そんなマルウェアの種類には以下のようなものがあります。 ・コンピュータウイルス ・ワーム ・トロイの木馬 ・悪意のあるモバイルコード ・スパイウェア ・ボット ・ラ…

主なサイバー攻撃手法

サイバー攻撃として知られる、主な手法を一覧化する。 アドレススキャン(pingスキャン) ポートスキャン スタックフィンガープリンティング パケット盗聴 DNSサーバからの情報収集 ソーシャルエンジニアリング フィッシング(Phishing) DNSキャッシュポイ…

マルウェアの検出手法

マルウェアの検出手法には以下のようなものがある。 コンペア法 パターンマッチング法 チェックサム法/インテグリティチェック法 ヒュースティック法 ビヘイビア法 コンペア法 マルウェアの感染が疑わしい対象と安全な場所に保管してあるその対象の原本を比…

脅威の分類

情報セキュリティにおける脅威とは、 情報セキュリティを脅かし、直接的な損害を与える要因のことです。 今日は以下のように分類できます。 驚異の種類 具体例 環境 災害 地震・落雷・風害・水害 障害 機器の故障・ソフトウェア障害・ネットワーク障害 人間 …

UDP

UDP(User Datagram Protocol)とはTSP/IPにおけるOSI基本参照モデルのトランスポート層に位置する、コネクションレス型のデータグラム通信を行うプロトコル。 TCPのような通信確立や確認応答の仕組みはなく、直接データグラムが送出される。そのため、TCPに対…

TCP

TCP(Transmission Control Protocol)とはTSP/IPにおけるOSI基本参照モデルのトランスポート層に位置する、信頼性のための確認応答や実行制御などの機能を持つプロトコル。 3ウェイハンドシェイクと呼ばれるコネクション型通信を行うために使用される。 TCP…

情報セキュリティの三つの特性

情報セキュリティの主な特性として、3つの特性があります。 機密性 完全性 可用性 機密性 機密性とは、ある情報資産へのアクセスを許可された者(権限者)と許可されていない者(無権限者)を明確に区別し、権限者だけが許可された範囲内で活動(読み込み・…

情報処理安全確保支援士試験ってどんな試験?

情報処理安全確保支援士試験とは、ITエンジニアとして特にセキュリティ関連に重点を置いた試験です。 国家資格である情報処理安全確保支援士(登録セキスペ)を取得するためには必須で合格しなければならない試験でもあります。 情報処理安全確保支援士試験…