「情報処理安全確保保護士(旧情報セキュリティスペシャリスト)」はネットワークをはじめとした情報セキュリティ保護士向け試験です。
高度区分の中で唯一春秋の2回開催されています。
試験概要
対象者像
・高度IT人材として確立した専門分野
・情報システム企画・要件定義・開発・運用・保守への支援
・情報セキュリティ技術の専門家、情報セキュリティ機能実現・管理を支援
役割と業務
・情報システムへの脅威を回避・防止するセキュリティ機能の企画・要件定義・開発を推進・支援
・情報システムへの脅威を分析、開発プロジェクト管理を適切に支援
・情報システム運用におけるセキュリティ管理作業を技術的に支援
・情報セキュリティポリシの作成、利用者教育など、情報セキュリティ管理部門を支援
期待する技術水準
・情報システム・基盤のリスク分析を行い、情報セキュリティポリシに準拠し情報セキュリティ要件を抽出可能
・情報セキュリティ技術対策について基本的技術と複数の応用技術を対象システムに適用、効果を評価可能
・物理的・管理的な情報セキュリティ対策、情報セキュリティマネジメントの基本的知識をもち、評価可能
・ネットワーク、データベース、システム開発の知識をもち、情報システムの機密性、責任追跡性確保技術を選択可能
・情報システム開発管理の知識・経験をもつ
・情報セキュリティポリシの知識をもち、ポリシ策定、利用者教育に関し情報セキュリティ管理部門を支援可能
・情報セキュリティ関連の法的要求事項の知識をもち、これらを適用可能
リンク集
毎回ここからの出題が多く、必読です。
セキュリティスペシャリストの楽々合格サイトです。
スペシャリスト試験を徹底研究します。
午前問題解説が詳しいです。
合格体験記
目的:機密性確保、盗聴の防止
デメリット:正当な解析も不可
盗聴手法
・テンペスト攻撃:機器から放射される電磁波を傍受し解析、遠隔地からPC画面を再現
・ショルダーハッキング、ショルダーサーフィン:技術的手段によらず機密情報詐取
共通鍵暗号化方式
・鍵の数:n(n-1)/2
・ブロック暗号:CBC
・ストリーム暗号:同期式暗号、非同期式暗号
・RC4:IV長24bit、DESより高速、WEP(SSL・無線LAN)、WPA
・DES:IV長56bit、トリプルDES
・AES:IV長128/192/256bit、WPA2(CCMP使用)
※IV:初期ベクトル
公開鍵暗号化方式
・鍵の数:2n
・DSA:1024bit以下、デジタル署名、離散対数問題
・RSA:512/1024/2048bit、S/MIME、PGP(暗号化SW)、素因数分解の困難性
・楕円曲線:RSAより短い、ICカード
・X.509:公開鍵証明書の国際基準
ハイブリッド暗号化方式
・共通鍵を公開鍵暗号化方式で共有
例)SSL/TLS、S/MIME
ハッシュ関数
・メッセージダイジェスト:ハッシュ計算結果の固定長データ
・MD5:128bit
・SHA-1:160bit
・SHA-2(SHA-256):256bit
⇒ハッシュ値からの元データ推測が困難
※耐タンパ性:データなどの解析の困難さ
暗号化に関する攻撃
・SSLに対するバージョンロールバック攻撃
⇒脆弱な暗号化方式を強制するSSL脆弱性をつき、暗号解読し盗聴
・中間者(MITM:Man-In-The-Middle)攻撃
⇒公開鍵暗号化通信において、ディジタル証明書を使わず当事者になりすまし通信内容を横取り
・サイドチャネル攻撃
⇒暗号アルゴリズム実装デバイスから得られる処理時間、消費電流、エラーメッセージなどから機密情報獲得
⇒タイミング攻撃への対策:機密情報の違いにより処理時間に差異が出ないように演算アルゴリズムを工夫
・選択平文攻撃:何度も登録し暗号文を解読
⇒転置式暗号:前後をひっくり返す
⇒換字式暗号:アルファベットの次の文字に置換
暗号化に関する制度・規格
・JCMVP:暗号モジュール試験及び認証制度
・FIPS140-2:暗号モジュールセキュリティ要求事項
・CRYPTREC:暗号技術の安全性、実装性及び利用実績の検討・評価・リスト化
・セキュリティチップ(TPM:Trusted Platform Module):PCに搭載される鍵ペアを生成・保管するチップ
※SET:インターネット上でクレジットカード情報をやりとりするプロトコル
デジタル署名:デジタル文書の正当性を保証する為の暗号化情報
目的:なりすましの防止、真正性確保
⇒共用IDは不正特定不可
①平文を用意
②①をハッシュ化しメッセージダイジェスト生成
③②を送信者の秘密鍵で暗号化(=デジタル署名)
④①平文+③署名を受信者の公開鍵(※)で暗号化
⑤④を受信者の秘密鍵で複合化
⑥⑤のうち③署名を送信者の公開鍵で複合化(=メッセージダイジェスト)
⑦⑤のうち①平文をハッシュ化しメッセージダイジェスト生成
⑧⑥と⑦を照合
デジタル証明書(デジタル署名を暗号化する為の公開鍵にさらに署名)
(※)この公開鍵を認証局に申請し認証局が署名したもの
送信者から送信要求を受けた受信者は、このデジタル証明書を返信
送信者は返信されたデジタル証明書(サーバ証明書)と、認証局から得たデジタル証明書(ルート証明書)を比較
デジタル署名に関するプロトコル
・OCSP:ディジタル証明書の失効有無を問い合わせ
・SCVP:失効検索、認証パス検証結果を返信
XMLディジタル署名
XML文書中の指定エレメントに対し署名が可能
CRL
・有効期限内に失効したディジタル証明書のシリアル番号リスト
・証明書シリアル番号、CRL発行者名、更新日、次回更新日
MAC(Message Authentication Code)
共通鍵を共有、デジタル署名より高速、改ざん検知コード
※HMAC:ハッシュ関数を用いたMAC
主体認証
ID/Pass認証、バイオメトリクス認証、二要素認証、二経路認証
・HTTPベーシック認証
⇒ID:PassをBase64エンコーディングし送信
・802.1X認証
⇒PC:サプリカント、AP:オーセンティケータ(RADIUSクライアント)
・EAP-TLS
⇒ディジタル証明書による認証サーバとクライアントの相互認証
・ゼロ知識認証:パスワードは教えないが、徐々にヒントを与え真正性証明
ワンタイムパスワード(OTP)
・トークン:OTP生成機器
・チャレンジレスポンス:認証サーバ側がクライアントに乱数送信、暗号化
※リスク:OTP通知メールを盗聴、先にログインしてしまう
シングルサインオン(SSO)
・リバースプロキシでのSSO:利用者認証パスワードの代わりにディジタル証明書を使用
・SAML:異ドメイン間の認証・属性・アクセス制御情報を安全に交換する規約・フレームワーク(標準化団体:OASIS)
・OpenID:あるサイトで登録したID/Passによって他のサイトでも相互認証
※クッキー利用:異ドメインには使用できない
タイムスタンプ機関(TSA)
・存在証明:その時刻に存在していたこと
・完全性証明:その時刻以降に改ざんされていないこと
認証に関する攻撃
・辞書攻撃:推測される単語でログイン試行
・ブルートフォース攻撃:文字を組み合わせた単語でログイン試行
・リプレイ攻撃:正常認証手順を再現し突破
認証に関する対策
・前回ログアウト日時表示:他人のアクセス把握
・パスワード有効期限表示
・パスワード変更時、旧パスワード入力
・複数回認証失敗:アカウントロック、一定時間ログイン不可
・パスフレーズ制限:過去のパスフレーズ禁止、文字数制限
・スリープ状態からの復帰時再認証
・BIOSパスワード:OS起動を抑止
⇒HDD抜き取りには効果なし:HDD暗号化、ケース施錠、サーバラック格納
※フォレンジックス:不正アクセスなどの法的証拠を保全、収集し分析
証跡削除による証拠隠滅対策が必要
アクセスコントロール方式
・MAC方式:強制
・DAC方式:自由裁量性
マルウェア:悪意あるプログラム
・ウイルス:自立動作せず静的に動作
・ワーム:自立動作し、自身をコピーして増殖
※ポリモーフィック型ウイルス:感染の度ウイルスコードを異なる鍵で暗号化、自身を変化させ検知を回避
※サンドボックス:プログラム影響がシステム全体に及ばないよう、実行機能やアクセスリソースを制限
・ランサムウェア:データを人質として身代金要求
進入・潜伏方法
・バックドア:正規ではない侵入口
・ボット:ボットネットを通じPCを外部操作させる
⇒C&Cサーバ:ボット感染PCへ命令・応答を中継するサーバ(ハーダー:C&Cサーバ経由での攻撃者)
⇒ダウンロードサーバ:更新版ボットをダウンロードするサーバ
※サーバサイドポリモフィズム:ボットダウンロード情報をもとに自身を変化させる
・トロイの木馬:一見有用なプログラムを特定条件だけ改変し実行、セキュリティ回避しバックドアを開けるなど
・ロジックボム:指定時間に自動的に動作
・ルートキット:不正進入し組み込む行為を隠蔽するツール郡
・中間者攻撃:PC-サーバ間で通信内容を横取り
・ゼロデイウイルス:脆弱性対策前の攻撃
収集方法
・スパイウェア:PCのユーザ情報をネット経由で収集
・アドウェア:広告目的のSW(悪意のないもの)
・キーロガー(ロギングツール):キー入力を監視し記録
・ショルダーハッキング(ソーシャルエンジニアリング):キーボード入力とディスプレイを盗み見る
・スキャベンジング(トラッシング):ゴミ箱あさり
感染時対応:NW隔離、ロック(他への拡大、不正遠隔操作防止)
⇒しかし電源OFFは追跡不可となる
予防対応:最新状態にする、不要な設定削除漏れをなくす
攻撃(スパムメール)手法
・ディレクトリハーベスト攻撃:送信メールエラーのないアドレスを収集
・HTMLメール不足情報問い合わせログにより、メールが開かれたことを確認
・標的型攻撃:特定メンバのみに特定情報を送信、警戒心を回避
・イメージスパム:画像で送りキーワードマッチング回避
※添付ファイル偽装
・ステガノグラフィ(電子透かし)
⇒画像データなどにメッセージを埋め込み、メッセージの存在そのものを隠す
・RLO (Right-to-Left Override)
⇒文字の表示順を変える制御文字を利用し、ファイル名の拡張子を偽装する
攻撃(スパムメール)検知
・キーワードにより検知
・誘導先URLにより検知
※ベイジアンフィルタリング:利用者の迷惑メール振り分けを学習、統計解析し判定
攻撃(スパムメール)対策
・FWで自ドメイン宛のみ透過
・IP25B:自ISP以外から自ISPメールサーバ宛を遮断(SMTP Port=25)
・OP25B:自ISPから自ISP以外のメールサーバ宛を遮断(SMTP Port=25)
⇒自ISPからのスパムメール送信抑止
⇒送信したい場合サブミッションポート(Port=587)申請:SMTP-AUTH
・DKIM:送信メールサーバでディジタル署名付加、受信側メールサーバで検証
⇒電子メールヘッダのDomainKey-Singnatureフィールド付加
・SPF:受信メールサーバでMAIL FROMコマンドにより送信元ドメイン名取得、DNS TXTレコードIPアドレスと比較
・グリーティングポーズ:外部メールに限りレスポンスポーズ時間を長めに設定しあきらめさせる
※メールエンベロープ:MAIL FROM:送信元、RCPT TO:送信先
※ヘッダフィールド「Received」:電子メール転送時の経由MTA IPアドレス、時刻など
※ヘッダと本体区別:最初に現れる空行前後
POP3(暗号化なし)の対策
・SSLブラウザメール
・APOP:POP3パスワード暗号化
・POP3S(TCP Port=995):POP3 over TSL/SSL
・IMAPS(TCP Port=993):IMAP4 over TSL/SSL
※メール暗号化:S/MIME(MIME:添付ファイル処理)
⇒サーバはCA公開鍵証明書使用、クライアント証明書の妥当性確認
SMTP(認証なし)の対策
・SMTP-AUTH:SMTPサーバアクセス時に認証、送信時は認証不要
・POP before SMTP:POP3認証後一定時間だけSMTP送信許可
※EHLO(拡張版HELO):対応認証方式確認コマンド
攻撃手法
・クロスサイトスクリプティング:Web入力により悪意あるプログラムを実行
⇒対策:サニタイジング(&<>"'のエスケープ処理、メタキャラクタ置換)
・クロスサイトリクエストフォージェリ:ブラウザ操作で意図しないリクエストが送信
⇒対策:HTTP GET時に乱数値をCookie及びform hidden値として発行、HTTP POST時に同一性を検証
・クエリストリング:URLの?以降の部分、GETメソッドでURLから漏えい
⇒対策:POSTメソッドの使用、 hidden(ブラウザ非表示、但し送信されている)
・SQLインジェクション(別名:ダイレクトSQLコマンドインジェクション)
⇒対策1:サニタイジング(&<>"'のエスケープ処理、メタキャラクタ置換)
⇒対策2:バインド機構(プレースホルダにエスケープ処理後の値を代入)
⇒対策3:権限最小化(GRANT文で適切な権限付与):必要以上の権限付与は不正行為リスク大
・SEO(Search Engine Optimization)ポイズニング:順位付けアルゴリズム悪用、検索サイト上位に悪意サイト表示
・ディレクトリトラバーサル:ファイル名入力アプリに対し「..」で非公開ファイルにアクセス
⇒対策:デフォルトディレクトリでインストールしない
・OSコマンドインジェクション:部分プログラム呼出しを可能にする関数を利用、不正スクリプト実行
・OSバージョン情報漏洩:「xxは使用中」と表示し存在を漏洩
⇒対策:デフォルトのエラーメッセージを変更
・クリックジャッキング:透明な別ブラウザ画面を誤ってクリックさせ誘導
※ルートキット(rootkit):不正進入してOSなどに不正に組み込んだものを隠蔽する機能をまとめたツール
・バッファオーバーフロー:配列サイズ以上の書き込み
⇒対策1:スタック領域:カナリアコード(確認用コード)で改ざん検知
⇒対策2:ヒープ領域:ガーベジコレクションが容易なJavaの採用
・finger:サーバログインユーザを調べるプロトコル
・ドライブバイダウンロード:Web閲覧時、秘密裏にダウンロード
攻撃対策
・WAF(Web Application Firewall):Webアプリ用FW、ヘッダだけでなくデータ中身もチェック
⇒サーバ側ですぐに修正できないときに有効
⇒SSLで暗号化されていると検知できない
・アプリケーションゲートウェイ
⇒アプリ層データをプロキシエージェントが検査した上で中継
・プロキシ接続
⇒GET/POSTの前にCONNECTコマンドを使用
※プロキシ経由にならない抜け道注意
・クッキー
⇒cookieにSecure属性、HTTPS通信時だけそのcookieを送信
・ハニーポット:わざと侵入しやすいよう設定されたサーバやネットワーク機器
⇒VMなら問題発生時に即停止可能、スナップショットでの観察も容易
検知と防御
・IDS:検知※のみ
・IPS:防御も
※検知方式
・ホスト型:コンピュータ上で異常検知
・ネットワーク型:ネットワーク上で異常検知
※検知方法
・シグネチャ型:パターンマッチング(*)
・アノマリ型:プロトコル仕様をチェック、通常とは違う振る舞いを監視
(*)ビヘイビア法:振る舞いの怪しさを判定
※検知誤り
・フォールスポジティブ:過剰検知(まだマシ)
・フォールスネガティブ:検知漏れ(ダメ)
攻撃手法
・DNSスプーフィング:DNSキャッシュを汚染
・DNSキャッシュポイズニング:DNSのドメインやIPアドレスを改ざん、偽装Webサーバへ誘導
⇒対策1:あまりに早い応答は却下
⇒対策2:広範囲な送信元Port(Source port randomization)
⇒対策3:キャッシュDNSサーバへのアクセス可能ホスト限定
⇒対策4:DNSSEC(権威サーバからの応答にデジタル署名付与)
⇒対策5:Webサーバ誘導時にSSL接続
・DNS Amp攻撃:名前解決要求時に送信元IPアドレスを詐称、攻撃先へパケット返答
⇒対策:名前解決要求範囲を自社内に制限
・512byte超応答
⇒対策1:EDNS0:OPTレコードを使い正常返答orエラー返答
⇒対策2:TCPフォールバック:TCbit=ONとし、TCP Port=53での問い合わせを促す
・hostsファイル書換:DNSより高優先、不正サイトへアクセスさせる
その他
・ダイナミックDNSで頻繁にIPアドレス変更
⇒IPアドレスフィルタリング効果をなくす
・マルチホーミングでの送信元メールサーバアドレス登録
⇒経由しうるISPの全IPアドレスをPTRレコードへ登録必要
・サイバースクワッティング:紛らわしいドメインを不正転売
攻撃手法
・ポートスキャン:空きポートを調査
・スニッフィング:平分パスワードを盗聴
・DOS攻撃
⇒SYNフラッド:TCP SYN大量送信
※LAND:SYNフラッドにより無限ループさせる
⇒UDPフラッド:UDP大量送信
⇒Ping of Death:65536byte以上のping
⇒TEAR DROP:IPオフセット値を重複させIP組み立てでエラー
※EDos攻撃
⇒クラウド利用企業の経済的損失を目的に、リソースを大量消費
・セッションハイジャック
⇒ブラインドハイジャック:クライアント・サーバ間に入り不正コマンドを挿入
⇒セッション盗用:タイムアウト前のセッションを盗む
・ARPスプーフィング
⇒不正ノードがいち早くARP Replyを返しARPキャッシュ汚染
⇒IPv6では、ICMPv6(NDP)NSに対し悪意あるノードがNAを返す
・DMZ「から」のTCPコネクション要求
⇒ありえない為マルウェア感染の疑いあり
攻撃対策
・ファイアウォール:パケットフィルタリング
※ダイナミックパケットフィルタリング:リクエストパケットに対応した戻りパケットだけ透過
※フィルタリングルール漏洩:防御対象が漏洩
・プロキシ機能
⇒アプリケーションゲートウェイ:アプリケーション層で制御
⇒サーキットゲートウェイ:トランスポート層で制御
⇒リバースプロキシ:外部から内部へのプロキシ
※UTM(Unified Threat Management)
ファイアウォールやIDS/IPS、SPAM、アンチウイルスなどの対策機能統合製品
※APT(Advanced Persistent Threats):特定組織を標的に複数手法を組み合わせ執拗に攻撃
※IPv4-v6トランスレータ
⇒Version変換
⇒IPv6はヘッダチェックサム廃止、再計算しIPv4化
⇒IPv6ジャンボパケットをIPv4フラグメント
⇒ToS値変換
⇒IPアドレス変換
※IPv6アドレスはMACアドレスを推測されやすい
⇒CGA:SENDの公開鍵・乱数のハッシュ値を使用
脆弱性、攻撃手法
・MACアドレス非暗号化
・SSID
最長32byteのネットワーク識別子
・ESS-ID非暗号化
・WEP:PC-AP間共通鍵通信、RC4脆弱性
⇒IEEE802.11i:TKIP+AESで暗号化、WPA2:IEEE802.1x認証、動的暗号鍵通信、CCMP(暗号化プロトコル)
・ウォードライビング:車で接続可能なAPを探しまわる
・OECD8原則
収集制限の原則
データ内容の原則
目的明確化の原則
利用制限の原則
安全保護の原則
公開の原則
個人参加の原則
責任の原則
・リスクコントロール:リスク損失の最小化
損失予防
損失軽減
リスク回避
リスク分離
リスク結合
リスク移転:予想されるリスクをより少ないところへ移動・分散
・リスクファイナンス:リスク管理のための資金調達
リスク保有
リスク移転
・ISO27000:ISMS
情報セキュリティ基本方針、情報セキュリティ対策基準
監査:助言型、保障型
脆弱性:リスク源に対する敏感さ
ハザード:潜在的な危害の源、脆弱性となりうる
・ISO15000:個人情報保護MS(Pマーク)
・CVSS:セキュリティ脆弱性の深刻さを評価
基本評価基準
現状評価基準
環境評価基準
※CWE(Common Weakness Enumeration):ソフトウェアの脆弱性の一覧
・ILM:情報ライフサイクル管理
HWの最適化とコスト削減を目指す
・不正競争防止法
デッドコピー:他人の許可なく模倣、知的財産権にも違反
※抑止:禁止事項を監視対象である旨明示
・SPOF(Single Point Of Failure)
・RAID
RAID0:複数ディスクに分散書込、並列アクセスで高速化(ストライピング)
RAID1:同データを複数ディスクに書込、高信頼性化(ミラーリング)
RAID2:ハミングコードで修復、ビット単位でストライピング
RAID3:パリティ方式で修復、ビット単位でストライピング
RAID4:パリティ方式で修復、ブロック単位でストライピング
RAID5:パリティ方式で修復、パリティを別データディスクで管理
・BCP:遠隔地バックアップ
当サイトはリンクフリーです。承諾確認連絡も不要です。
内容により生じた損害等について一切責任をもちません。
Copyright(C) 2002-2020 ネットワークエンジニア資格まとめサイト all right reserved.