[記事公開日]2015/01/22
[最終更新日]2016/11/30

基本情報技術者試験 9-1(情報セキュリティ)

 

 

 

◆情報セキュリティ3要素

・機密性

・完全性

・可用性

 

脅威:情報組織を脅かす攻撃のこと、操作ミスもそのひつつ。

 

脆弱性:仕様上の欠陥、セキュリティホール

 

セキュリティホール

設計ミスなど、システム自体の欠点。

悪意を持った攻撃者はこのセキュリティホールを攻撃してくる。

 

物理的脅威:天災、物理的な破壊行為。

 

人的脅威:操作ミス、不正使用。

 

技術的脅威

(書き出すとキリがないのだが・・)

フィッシング

クロスサイトスクリプティング

SQL インジェクション

バッファオーバーフロー

セッション・ハイジャック

ディレクトリ・トラバーサル

キーロガー

パラメータ改ざん

バックドア、デバックオプション

強制的ブラウズ

水飲み場型攻撃

パスの乗り越え

OS コマンドの挿入

クライアント側コメント

エラーコード

 

1.フィッシング

メールを使い、企業になりすまし、相手の個人情報を得ようとする。

 

2.クロスサイトスクリプティング

掲示板など、閲覧者が何かを入力するページで、閲覧者が入力したコマンド(文字)を利用して、攻撃者の意図したサイトへ誘導する。

 

3.SQLインジェクション

(Injection・・・注入)

WEBは基本的にはデータベースと連動していますが、脆弱性のあるWEBサイトにパラメータとしてSQL文の断片を与えることにより、データベースに危害を加えること。DBを削除したり、本来はアクセスできない(WEB上で公開していない)情報を得る。

 

4.セッションハイジャック

一連の通信(セッション)の間で他人が横取りしてしまうこと。本来、本人しか知りえない情報(ログインしないとわからないことなど)を得てしまったり、アカウントを乗っ取ったり、パスワードを変更してしまう。

 

5.ディレクトリ・トラバーサル

ディレクトリを指定するときのコマンドのひとつに「../」(親ディレクトリを指定)があるが、このコマンドを利用してディレクトリを遡り、本来はアクセスが禁止されているような情報を得ること。

 

ウイルスなど、WEBサイトや付随するデータベースに攻撃を与えるようなプログラムを『マルウェア』という。

 

DOS攻撃(DDos攻撃)

大量のパケット(データ)を送りつけて、サーバーをダウンさせる。

 

キーロガー

キーボードにタイピング記録機能をつけて、個人情報などを盗み取る。

※名前の通りで覚えやすいですね。

 

ソーシャルエンジニアリング

ゴミ箱をあさる、緊急事態を装ってパスワードなどを聞き出す、など。悪意のあるプログラムを送りつけたりするような技術的な脅威ではない。

 

リスクに対する考え方

費用対効果を考えることが大事。どんなに対策しても、100%防げるとはいえない。ならば、影響度とそのコストのバランスて対策する。

 

リスク:トラブル、問題が起りえる”可能性”をさす

 

リスク保有:リスクが小さいため、対策を講じない。

 

リスク軽減:問題が発生すると、システム管理者へ連絡がいく(エスカレーションのルールを作る、そういったシステムにする)。緊急連絡先を作っておくのも、”リスク軽減”のひとつ。

 

リスク回避:ヒトはコマンドを入力するときは、二回入力にするようにする、など。

 

リスク共有:保険に入る。

 

◆情報セキュリティポリシ

基本方針>対策基準>実施手順がある。普通は基本方針と対策基準を指す。

 

◆BYOD

パソコンなど、機器を個人所有させていること。

ユーザの作業効率が上がる反面、ウイルス感染や情報漏えいに注意する必要がある。

 

◆ISMS

情報セキュリティに対する取り組みを第三者が評価する。

 

 

以上です

 

 

yamatunes