ITパスポート試験演習④
〇電子メール
- 電子メールのアドレスの構造
@をはさんで二つに分かれる。
左側がユーザ名 右側がドメイン名
- 同胞メール
TO 本命 全員にメアドが見える
CC 見えるコピー、全員にメアドが見える
BCC 見えないコピー、ほかの人に見えない
- メーリングリスト
あらかじめ登録されているメンバに同報メールを送信できるサービス
- WEBメール
専用のメールソフト
WEBブラウザをつかう
| POP | IMAP | Webメール | |
| メールの保存場所 | PC本体 | メールサーバ | メールサーバ |
| メールソフトの必要性 | 必要 | 必要 | 不要 SaaS Webブラウザ使用 |
- HTML形式の電子メール
テキスト形式 文字だけ
HTML形式 色変えたり画像組み込んだり
〇情報資産と脅威
- 情報資産
組織が保持している全ての情報
- 脆弱性
情報資産に内在している弱点 そこつかれる脅威
- 脅威の物理的対策
ゾーニング
アンチパスパック
セキュリティゲート
オフィスを分ける
入室記録無人を出さない
一人ずつしか通れない
- ソーシャルエンジニアリング
コンピュータを使わずに人の行動や心理の隙を突いて機密情報を入手する行為
- ショルダーハッキング
画面越しからのぞき見
- アンチパスバック
入室記録のない人を退出させないようにする
- クリアスクリーン
離席時に画面をロック
- 不正のトライアングル理論
機会・動機・正当化が3つそろったとき
- 技術的脅威
コンピュータウイルス
- マルウェア
悪意をもって作成されたソフト
- マクロウイルス
表計算ソフトなどのマクロ機能を利用
- トロイの木馬
良いソフトウェアと見せかけてインストールさせ裏で不正な処理を行う
- ランサムウェア
ファイルを暗号化し、直すのにパスワードと引き換えに金銭を要求する 身代金
- ウイルス対策ソフト
コンピュータウイルスの検知、駆除、隔離ができるソフト。既知のウイルスの特徴を識別できるシグネクチャコードを記録したウイルス定義ファイルを使用する
- ファイルレスマルウェア
ファイルを生成しないタイプのマルウェア
- ゼロデイ攻撃
ソフトウェアが提供される前に脆弱性を悪用した攻撃
- セキュリティ上の欠陥
セキュリティーホールをついて攻撃してくる。
- バッファオーバーフロー攻撃
容量を超えるデータを送り付け想定外の動作をさせる セキュリティパッチで速やかに対策
- ダークウェブ
通常の検索では表示されない。アクセス専用ソフトが必要。危ない
〇サイバー攻撃
- 標的型攻撃
官公庁や企業などの特定の組織を標的に、電子メールにウイルスを仕込む攻撃
- 水飲み場攻撃
対象の組織内の人がよく訪れるWebサイトに仕込む攻撃
- ビジネスメール詐欺
金銭の窃取を目的とするもの。取引先を装ったり、上層部を装う手口
- フィッシング詐欺
リンクを踏んでアクセスさせ、個人情報をだまし取る攻撃
- サイバーキルチェーン
標準型攻撃を7段階にモデル化したもの
- 辞書攻撃
よく知られている初期パスワードをや分かりやすい辞書データを用いてログインを試みる
- 総当たり攻撃 ブルートフォース攻撃
アルファベットと数字、記号を総当たりでログインする方法。
- パスワードリスト攻撃
何らかの方法で入手したIDとパスワードを別のサービスにログインする方法
- Dos攻撃 DDos攻撃
大量アクセスで負荷をかけるサービスを妨害する攻撃。 DDos攻撃は複数のコンピュータからの攻撃
- IDS
不正を検知すると通報するシステム
- IPS
不正を検知したら遮断まで行うシステム
- SIEM シーム
ファイアーウォールやIDS,IPSを一か所にまとめて分析する仕組み
- SQLインジェクション
脆弱な入力欄に悪意のあるSQLの命令を入力してデータベースを不正に操作する方法
- クロスサイトスクリプティング
XSS 攻撃者がリンク付き貼る、別のサイトに飛ばされる。スクリプトがくっついた状態で飛んでいく。そのサイトでcookieなど個人情報を盗む。2つのサイトをつかうのでクロスサイトと言われる
- クロスサイトリクエストフォージェリ
ログインした状態で、別のサイトを閲覧し、有害リンクをクリックすると、あたかも利用者の要求であるかのように偽って、ログイン中のSNSなどに送信され、意図しない投稿がされてしまう
- サニタイジング
悪意が働かないように別の文字に置き換える処理
- クリックジャッキング
透明化したコンテンツを配置し、視覚的にだましてクリックさせる攻撃
- ドライブバイダウンロード
サイトを閲覧しただけで、気づかないうちにマルウェアをダウンロードさせて感染させる攻撃
その他の攻撃 セッションハイジャック MITB DNSキャッシュポイズニング IPスプーフィング クリプトジャッキング
- APT攻撃
特定の組織や企業に対して長期に渡り継続的に行うサイバー攻撃 標的型攻撃と同じようなもの
- ポートスキャン
サーバに対して接続できるポート番号を調べる行為
- ルートキット
侵入した後、バックドアを設置したり、痕跡を隠蔽したりする攻撃ツール
- デジタルフォレンジクス
コンピュータ犯罪の証拠となる電子データを集め解析すること
〇情報セキュリティマネジメント
- 情報セキュリティマネジメントシステム
ISMS 組織における情報資産のセキュリティを適切に管理していく仕組み。
ISO/IEC27000 JIS Q 27000
- 機密性
許可されたものだけが使用できること
- 完全性
情報が正確であり完全であること
- 可用性
必要な時にしようできること
- 信頼性
意図したとおりの結果が得られる
- アクセス権
ディレクトリやファイルなどを利用する権限
- ISMS適合評価制度
ISMSに対する取り組みを第三者機関が評価・認定する制度
- PDCAサイクル
プラン 実施 評価 改善
- ISMSクラウドセキュリティ認証
クラウドサービスの提供・利用に関するセキュリティ基準 JIS Q 27017
- 情報セキュリティポリシ
組織における情報セキュリティ対策の方針や行動指針
- 情報セキュリティ基本方針
組織の長が、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言する文書
- SECURITY ACTION
中小企業の情報セキュリティを促進するためにIPAが創設した制度
- CSIRT シーサート
組織内に設置し、情報セキュリティインシデントが発生した場合は、被害の拡大を防止する活動を行う組織
〇リスクマネジメント
- リスクマネジメント
想定されるリスクを組織的に管理し、その損失を最小限におさせるための経営管理手法
- リスクアセスメント
リスクを分析評価して、あらかじめ設定しておいたリスク許容基準に照らして対応が必要かどうか判断していくこと
リスク特定→リスク分析→リスク評価
- リスク対応
リスクへの対処法を選択、具体的な管理策の計画を立てる
リスク共有 第三者に移す
リスク回避 原因を除去する
リスク保有 許容範囲として受け入れる
リスク低減 受容できる範囲まで減らす
〇利用者認証
- PIN
個人を識別する番号 ネットワーク上には流れない
- バイオメトリクス認証
身体的特徴や行動的特徴を利用して認証を行う
指紋、顔、声紋、瞳など
- ワンタイムパスワード
一度きりの使い捨てのパスワード
- マトリクス認証
位置と順序についてのイメージによる認証
- 画像認証
ゆがんだ文字の画像が表示され、それを読み取って入力する認証
- シングルサインオン
あるサービスにログインが成功した認証情報を、事前に許可しておいたサービスに引き継ぐ認証
googleのアカウントで他のサービスにログインする
- 多要素認証
2つ以上の認証方法を組み合わせること。セキュリティ強化
- SMS認証
スマートフォンなどのSMSを利用した認証
- 二要素認証
多要素認証の三要素のうち異なる二つを使用して認証する方法
- 二段階認証
ID、パスワード入力(一段階)→スマートフォンに認証コードが届き入力(二段階)
- リスクベース認証
普段とは異なるデバイスやネットワークからのアクセスに対して追加の認証を課すことで不正アクセスを防ぐ仕組み
今日の範囲を過去問道場で復習!
