セキュリティについて勉強しました
セキュリティの基礎知識として、次のような項目について学習しました。
- 情報セキュリティ
- 機密性(Confidentiality):第三者に情報が漏洩しないようにすること
- 完全性(Integrity):情報及び処理方法が正確・完全であるようにすること
- 可用性(Availability):利用者が必要な時に情報資産を利用できるようにすること
- リスク:脅威が情報資産への損失または損害を与える可能性のこと
- リスクマネジメント:リスクがどこに、どのように潜在しているかを特定して、その影響の大きさを分析し評価して、優先順位を付ける。
- リスク保有(リスク受容):影響度が小さい場合は許容範囲内として受容する
- リスク軽減:リスクの損失額や発生確率を低く抑える
- リスク回避:リスクの原因を除去する
- リスク移転(リスク転嫁):契約などでリスクを第三者へ移転・転嫁(第三者と共有)する
- 脅威・脆弱性
- 物理的脅威:天災や物理的破壊・妨害行為
- 人的脅威:操作ミス、不正使用など。ソーシャルエンジニアリングは人の心理のスキを突いて機密情報を入手する行為。
- 技術的脅威:不正アクセスやコンピュータウィルスなどのサイバー攻撃
- 情報セキュリティポリシー:企業が保護すべき情報資産とそれを保護する理由を明示したもの。基本方針と対策基準を含む。組織のトップが承認して公表する。
- CSIRT Computer Security Incident Response Team:組織に設けるセキュリティ対策チーム。セキュリティ事故の防止や被害の最小化のために対応する。
- ISMS適合評価制度 Information Security Management System:情報セキュリティに対する取り組みを第三者機関が評価して認定する制度。JIS Q 27000シリーズが日本でのISMS規格
- BYOD(Bring Your Own Device):従業員が個人のPCやスマホを業務に使用すること
- MDM(Mobile Device Management):端末の設定やアプリケーションを一元管理する仕組み
- デジタルフォレンジクス:コンピュータ犯罪の証拠となる電子データを集めて解析すること
- ユーザ認証:利用者が許可されている本人かどうか確認すること
- ユーザIDとパスワードの組み合わせ
- ICカードとPINの組み合わせ
- バイオメトリクス認証(生体認証):指紋、顔、声紋、掌、虹彩
- コールバック:システム側から再発信して通信
- ワンタイムパスワード:使い捨てパスワード、パスワード生成機(トークン)
- マトリクス認証:ある位置と順序で並んでいる数字や文字がパスワード
- 画像認証:CAPTCHA(キャプチャ)
- アクセス権:ディレクトリやファイルにユーザごとに権限を設定する
- コンピュータウィルス、マルウェア
- ファイル感染型、ブートセクタ感染型、マクロウィルス、トロイの木馬、ワーム
- スパイウェア:IPアドレスや閲覧記録を外部へ送信、キーロガー
- ボット:踏み台に利用
- ランサムウェア:勝手にデータを暗号化してアクセスできないようにする
- バックドア:侵入者がアクセスできるようにする
- ウィルス対策ソフト
- ウィルス定義ファイル:既知ウィルスのシグネチャコードを記録
- セキュリティパッチ:ソフトウェアの修正プログラム
- サイバー攻撃(クラッキング)
- 標的型攻撃:特定の組織や個人を攻撃
- フィッシング詐欺:偽のウェブサイトにアクセスさせる
- DoS攻撃Denial of Service:大量パケットを送ってサービス妨害する
- クロスサイトスクリプティング:ページ内に悪意のスクリプトを埋め込む
- SQLインジェクション:悪意のある入力データでデータ取得を行う
- バッファーオーバーフロー:データ領域を超えるデータ入力で想定外の動作をさせる
- セキュリティホール:ソフトウェアのセキュリティ上の欠陥、ゼロデイ攻撃はセキュリティパッチが提供される前に攻撃すること
- 辞書攻撃、総当たり攻撃、パスワードリスト攻撃
- ポートスキャン、IPスプーフィング(なりすまし)
- ファイアウォール:内部ネットワークとインターネットなどの外部ネットワークの間において外部からの不正アクセスを防ぐ
- WAF(Web Application Firewall):ウェブアプリケーションの脆弱性への攻撃を遮断する
- NIDS(Network Intrusion Detection System):侵入検知システム、パケットを監視
- VPN Virtual Private Network:インターネットなどを専用線のように接続する技術
- DMZ DeMilitarized Zone:インターネットなどの外部ネットワークとLANなどの内部ネットワークの両方から隔離されたネットワーク(非武装地帯)
- 脆弱性検査
- ペネトレーションテスト(侵入テスト):システムを実際に模擬攻撃してテストする
- ポートスキャナ:ホストのポートの状態とサービスを調査する
- 暗号化技術:暗号化と復号、手順(アルゴリズム)とパスワード(鍵)を使う。暗号化されていないデータを平文という。
- 共通鍵暗号方式(秘密鍵暗号方式):暗号化鍵(閉める鍵)と復号鍵(開ける鍵)が共通の秘密鍵を使う。ZIPパスワードや無線LANのパスワード
- 公開鍵暗号方式:暗号化鍵は受信者の公開鍵、復号鍵は受信者しかもっていない秘密鍵で鍵が異なる。通信データの暗号化
- ディジタル署名:電子文書を作成したのが本人であることを証明でき、なりすまし対策として効果的。暗号化鍵は送信者の秘密鍵、復号鍵は送信者の公開鍵を使う
- 認証局(CA: Certification Authority):信頼できる第三者機関が申請に基づいてディジタル証明書を発行して、公開鍵の正当性を証明している
- SSL(Secure Socket Layer):情報を暗号化して送受信するプロトコルで、通信内容の盗聴や改ざんを防止する
- https:httpに情報の暗号化と通信相手の認証機能を追加したプロトコル。SSLサーバ証明書が導入されているウェブページにアクセスするときに使われる
学習をしての気づき
セキュリティに関する出題数は多いようですので、重点的に学習する必要があるかと思います。セキュリティに関する問題は昨今のシステム運用で大変重要であり、様々なサイバー攻撃が出現してくるために、日々最新の技術に注目する必要があります。ただし、出題される内容は基本的なセキュリティに関するマネジメントや技術なので、それらをしっかりと学習しておけば良いと思います。
私自身は以前セキュリティ担当をしていたので、学習する上で分かりづらいところは少なかったですが、暗号化に関する公開鍵方式などについては一部理解が不足していたところがありました。暗号化の仕組みについては普段はほとんど意識することはないので、初めはなかなか理解しにくいところがあるかと思いますが、基本の仕組みは変わらないので、一度習得すればいろいろな場面で応用が効くと思います。