情報処理安全確保支援士
ブロックチェーン ハッシュ関数が必須の技術であり,参加者がデータの改ざんを検出するために利用する cookie Secure属性 cookieの動作を制御する属性の一つ。 Secure属性が設定されたcookieは、HTTPS通信の場合のみブラウザからサーバに送信される。 Domain…
目次 結果 無線LAN 過去問 SSID(Service Set Identifier) RADIUS(Remote Authentication Dial In User Service) EAP(Extensible Authentication Protocol) TCP/IP TCPハーフスキャン UDPスキャン CWE(Common Weakness Enumeration) 過去問 ポリモーフィック…
目次 ISO/IEC 15408を評価基準とする"ITセキュリティ評価及び認証制度" EDSA認証(制御機器認証) CRYPTREC暗号リスト 電子政府推奨暗号リスト 推奨候補暗号リスト 運用監視暗号リスト CVSS(Common Vulnerability Scoring System,共通脆弱性評価システム) 基…
目次 ISMS(information security management system) JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語) JIS Q 27014:2015(情報セキュリティガバナンス) ソフトウェア管理ガイドライン サイバーセキュリティ経営ガイドライン(Ver2.0) クラウ…
目次 サイドチャネル攻撃 電磁波解析攻撃(テンペスト攻撃) 過去問 Dos攻撃 DDos攻撃 マルチベクトル型DDoS攻撃 ディジタル署名 過去問 ODコマンドインジェクション エクスプロイトコード 証明書・暗号 認証 マルウェア 無線 DNS その他 サイドチャネル攻撃…
目次 TLSダウングレード攻撃 過去問 TLSダウングレード攻撃 SSL/TLSの通信開始に際して、脆弱性のあるSSL/TLSのバージョン若しくは強度の弱い暗号化アルゴリズム・鍵交換アルゴリズムの使用を強制することで、それらの脆弱性を突いた通信傍受などを行う攻撃…
目次 DoS攻撃 ICMPフラッド攻撃 過去問 SYNフラッド攻撃 参考 DoS攻撃 大量の無意味なデータを送りつけるなどしてサーバーに意図的に負荷をかけ,サービスを正常に提供できなくする攻撃のこと。 何か仕事をしている人に,わざと話しかけて邪魔をするイメージ…
目次 OAuth2.0 ロール フロー リスクベース認証 過去問 OAuth2.0 ロール リソースオーナ (resource owner) リソースサーバ内の保護された情報へのアクセスを許可するエンドユーザのこと。この設問では利用者が該当する。 リソースサーバ(resource server)…
目次 CRL(Certificate Revocation List,証明書失効リスト) XMLディジタル署名 3種類 Detached Signature(デタッチ署名) Enveloped Signature(エンベロープ署名) Enveloping Signature(エンベローピング署名) 過去問 ディジタル証明書 過去問 CRL(Certificat…
目次 AES(Advanced Encryption Standard) 暗号化手順 過去問 TPM(Trusted Platform Module) 過去問 FIPS 140(Federal Information Processing Standardization 140) 過去問 CRYPTREC(Cryptography Research and Evaluation Committees) プロジェクト DTCP-IP…
目次 設計工程とテスト工程の対応表 参考 開発モデル ウォーターフォールモデル 進化的モデル(エボリューショナルモデル) 段階的モデル(インクリメンタルモデル) 過去問 設計工程とテスト工程の対応表 参考 https://www.ipa.go.jp/files/000003609.pdf …
目次 ログ先行書き込み(WAL:write-ahead log) システム管理基準 過去問 メリット 参考 ログ先行書き込み(WAL:write-ahead log) トランザクションのログを残すための一般的な手法。 データファイルへの変更はログに記録し、変更内容を記述したログレコ…
目次 NTPとは NTPリフレクション攻撃 特徴 NTPとは ネットワーク経由で時刻を同期するためのプロトコル。 時刻情報を提供するのがNTPサーバ。 NTPサーバは、UDPの123番ポートでリクエスト(要求)を待ち受ける。 NTPリフレクション攻撃 NTPサーバへの攻撃と…
目次 Cookie 属性 Secure属性 Domain Path Expires HttpOnly 過去問 脆弱性 攻撃種類 過去問 セッション管理の脅威3つ セッション・フィクゼーション(セッションID固定化攻撃) 過去問 参考 Cookie 属性 Secure属性 cookieの動作を制御する属性の1つで、こ…
目次 無線LANで用いられるSSID OP25B(Outbound Port 25 Blocking) DoS攻撃の一つであるSmurf攻撃(スマーフアタック) サブミッションポート ハッシュ関数の性質 エクスプロイトコード(Exploit Code) SAML(Security Assertion Markup Language) 信頼性設計 EAP…
目次 DNSキャッシュポイズニング攻撃 DHCP ディジタル証明書 ディジタルフォレンジックス JIS Q 20000(ISO/IEC 20000) JIS Q 27000における情報セキュリティリスクに関する定義 サイバー情報共有イニシアティブ(J-CSIP) PGP(Pretty Good Privacy) S/MIME(Sec…
平成27年秋期 午前2で問われたもののキーワード集 目次 水飲み場型攻撃(Watering Hole Attack) UDPスキャン クロスサイトスクリプティング(XSS) TPM(Trusted Platform Module) ステートフルインスペクション スパニングツリープロトコル WebサーバがHTTPS通…
平成27年秋期 午前2で問われたもののキーワード集 目次 テンペスト(TEMPEST)攻撃 ダウンローダ型マルウェア 特許権 CRL(証明書失効リスト) 監査証拠 TFTP(Trivial File Transfer Protocol) 不正のトライアングル リスク対応策 VLAN(Virtual LAN) ITセキュリ…
暗号アルゴリズム ブロック暗号 ストリーム暗号 暗号モード 暗号アルゴリズム&モード 参考 暗号アルゴリズム ブロック暗号 共通鍵暗号の一種で、固定長のデータ(ブロックと呼ぶ)を単位として処理する暗号の総称 ストリーム暗号 ビット単位やバイト単位で…
目次 SSLとは SSLサーバ証明書とは SSLサーバ証明書の認証種類 過去問 参考 SSLとは インターネット上の通信を暗号化する仕組み SSLサーバ証明書とは 今さら聞けないSSL証明書とは、DV、OV、EVとは、常時SSLについて|レンタルサーバーナレッジ SSLサーバ証…
目次 サイドチャネル攻撃 過去問 故障利用攻撃 タイミング攻撃 電力解析攻撃 電磁波解析攻撃(テンペスト攻撃) 参考 サイドチャネル攻撃 象の動作状況を観察し、漏洩電磁波・電力消費等のサイドチャネル情報から暗号鍵推定等を行う非破壊型解析攻撃の総称 …
目次 DNS アンプ攻撃 / リフレクター攻撃 / リフレクション攻撃 過去問 DNSキャッシュポイズニング ゾーン転送要求による攻撃 カミンスキー攻撃 参考 DNS アンプ攻撃 / リフレクター攻撃 / リフレクション攻撃 大量のデータを一斉に送信して対象のサーバーに…
脆弱性の種類 攻撃名 説明 OSコマンドインジェクション攻撃 攻撃者が,OSの操作コマンドを利用するアプリケーションに対して,OSのディレクトリ作成コマンドを渡して実行する。 SQLインジェクション攻撃 攻撃者が,SQL文のリテラル部分の生成処理に問題があ…
OP25Bとは ISP側で許可した特定のサーバ以外のSMTP(TCPポートの25番)の送信をブロックするという対策方法 ISPの悪意ある顧客が自前のメールサーバから迷惑メールを送信したり、SMTP拡大型のウイルスに感染したPCからウイルスメールが送信されることなどを…
PKI (Public Key Infrastructure) 「公開鍵基盤」 PKI アプリケーション種類 何に使う? 技術名 説明 セキュリティ機能 参考 Webの暗号化と認証 TLS/SSL TLS (Transport Layer Security)クライアント/サーバー間における安全な通信環境を提供するプロトコル…
情報処理安全確保支援士の取得を目指し学習中です。 まずは、午前2の問題を解きながら、知識インプット中しています。 今回は、SSOに関して整理します。 SSO種類 エージェントによる(クッキーを使う)シングルサインオン リバースプロキシによるシングルサ…
