今日の学習内容
使用教材:【令和3年度】キタミ式イラストIT塾 ITパスポート
勉強時間:1時間
学習範囲:
Capter9-1「ネットワークに潜む脅威」
Capter9-2「ユーザ認証とアクセス管理」
Capter9-3「コンピュータウイルスの脅威」
Capter9-4「ネットワークセキュリティ対策」
Capter9-5「暗号化技術とディジタル署名」
今日学んだ内容のポイントまとめ
Capter9-1「ネットワークに潜む脅威」
セキュリティマネジメントは機密性、完全性、可用性の3つの要素を管理してうまくバランスをとること。
セキュリティポリシーとは企業としてどのように取り組むか明文化して社内に周知・徹底すること。セキュリティポリシーは基本方針、対策基準、実施手順の3階層で構成されている。
個人情報保護法とは事業者が個人情報を適切に取り扱うためのルールを定めたもの。
個人情報に関する認定制度として「JIS Q 15001」に適合して個人情報の適切な保護体制が整備できている事業者を認定するプライバシーマーク制度がある。
Capter9-2「ユーザ認証とアクセス管理」
ユーザー認証の手法としてユーザーIDとパスワードによる認証、バイオメトリクス認証、ワンタイムパスワード、コールバックなどがある。
アクセス権には読取り、修正、追加、削除などがあり、ITパスポート試験では、誰にどこまで権限が与えられているかを問う問題が出題される。
ソーシャルエンジニアリングとは、人の心理的不注意をついて情報資産を盗み出す行為のこと。例としてはショルダーハッキング、スキャビンジングなどがある。
ショルダーハッキングとは肩越しにパスワードを盗み見すること。
スキャビンジングとはゴミ箱をあさって有用な情報を盗み出すこと。
不正アクセスの方法の例として、パスワードリスト攻撃、フルートフォース攻撃、リバースブルートフォース攻撃、レインボー攻撃、SQLインジェクション、DNSキャッシュポイズニングなどがある。
パスワードリスト攻撃とは入手したID・パスワードのリストを使って他のサイトへのログインを試みること。
ブルートフォース攻撃とは特定のIDに対してパスワードとして使える文字の組み合わせを片っ端から全て試す手法のこと。総当たり攻撃とも言う。
リバースブルートフォース攻撃とはパスワードは固定しておいて、IDとして使える文字の組み合わせを片っ端から全て試す手法のこと。
レインボー攻撃とはハッシュ値から元のパスワード文字列を解析する手法のこと。
SQLインジェクションとはユーザーの入力する項目に悪意のある問い合わせや操作を行うSQL文を埋め込みデータベースのデータを不正に取得したり、改ざんしたりする手法のこと。
DNSキャッシュポイズニングとはDNSのキャッシュ機能を悪用して、一時的に偽のドメイン情報を覚えさせることで、偽装Webサイトへと誘導する手法のこと。
Capter9-3「コンピュータウイルスの脅威」
経産省が定めたコンピュータウイルス対策基準によると自己伝染機能、潜伏機能、発病機能、のいずれか一つでも有すればコンピュータウイルスとしている。
コンピュータウイルスを含む悪意のあるソフトウェア全般をマルウェアと呼ぶ。
ウイルス対策ソフトは予防、検査、修復を行う。ウイルス対策ソフトはウイルスを検出する方法として、既知ウイルスの特徴を記録したウイルス定義ファイル(シグネチャファイル)を利用する方法と実行中のプログラムの挙動を監視して不審な処理が行われていないか検査するビヘイビア法(動的ヒューリスティック法)がある。
Capter9-4「ネットワークセキュリティ対策」
LANの中と外を区切る壁としてファイアウォールがある。不正アクセスを防ぐ方法としてパケットフィルタリングやアプリケーションゲートウェイなどがある。
パケットフィルタリングとは、あらかじめ指定されたルールにのっとってパケットを通過させるか否かを制御する機能のこと。
アプリケーションゲートウェイとはLANの中と外の間に位置して、外部とのやり取りを代行して行う機能のこと。プロキシサーバ(代理サーバ)とも呼ぶ。
Capter9-5「暗号化技術とディジタル署名」
ネットワークの通信経路上に潜む危険の代表的なものは盗聴、改ざん、なりすましの3種類。
盗聴を防ぐ暗号化の手法の代表例は共通鍵暗号方式、公開暗号方式がある。
共通鍵暗号方式とは送り手と受け手が同じ鍵を用いる暗号化方式のこと。課題は通信相手の数だけ秘密鍵を用意しなければいけないこと、秘密鍵を安全に相手に送る方法がないことが挙げられる。
公開鍵暗号方式とは暗号化に使う鍵と複合に使う鍵を分けて、暗号化に使う鍵を公開する暗号化方式のこと。課題は暗号化や複合するのに処理時間が掛かること。
改善を防ぐ手法としてディジタル署名がある。
ディジタル署名は公開鍵暗号方式と逆で、復号化に使う鍵を公開する手法のこと。実際には本文全体を暗号化するのではなく、ハッシュ化と言う手法で短い要約データ(メッセージダイジェスト)を作成し、それを暗号化することでディジタル署名としている。
なりすましを防ぐ手法として認証局(CA)がある。
認証局(CA)では公開鍵は本人のものであることを証明する機関。認証局(CA)と公開鍵暗号技術を用いて通信の安全性を保証する仕組みのことを公開鍵基盤と呼ぶ。
感想・気づき・つまづいた点
ネットワーク関連もテキストは違いますが、学習は2回目なので、わかるところは完璧にわかるんですが、ちょっとでも曖昧なところは、出題のされ方で選択肢に迷ってしまうので、正直、怖い範囲です。
ソーシャルエンジニアリング、SQLインジェクション、DNSポイズニングなどは雰囲気はわかるんですよ、雰囲気は。過去問でも解ける時はあるんですが、完璧に理解できているわけではないので、言い回しが変わると本当に迷う。
わかるような、わからないような、あやしい範囲は兎にも角にも本番直前に過去問を解きまくって慣れようと思います。
明日の予定
今日はChapter9セキュリティが無事に終了しました!
明日からはChapter10システム開発に突入したいところですが、明日は泊りがけの出張のため、テキストを勉強する時間はなさそうなので、アプリの過去問を解いていきたいと思います。
今日で勉強をはじめて丁度30日が経過しました。
一ヶ月しか勉強していませんが、一ヶ月も勉強したんだなと、ちょっと誇らしい気分もあるのが不思議な感じです。
でも結局は受からないと意味がないと思うので、明日からも勉強がんばります!
ITパスポート試験まで残り11日。
コメント