情報処理安全確保支援士への道

資格取得まで日々覚えたことを記録します

ダウングレード攻撃とは

Downgrade attack
SSL/TLS通信に対する攻撃手法
SSL/TLS通信時のサーバーとクライアントに、脆弱性のあるSSL/TLSのバージョンや、強度の弱い暗号化アルゴリズムの使用を強制することで、脆弱性を突いた通信傍受などを行う攻撃。

攻撃の種類には、FREAK、Logjam、バージョンロールバック攻撃などがある。

にほんブログ村 IT技術ブログへ 

マスタリングTCP/IP SSL/TLS編

マスタリングTCP/IP SSL/TLS編

 

リスク対応とは

Risk Treatment
リスクに関しての情報を入手、分析、評価した後に行う活動。
リスク対応は、以下の4つに分類することができる。

1.リスク回避
  リスクの要因そのものを取り除くことでリスクをなくしてしまう対策。

2.リスク移転
  リスクを自組織外に移転する対策。
  保険への加入や、業務のアウトソースなど。

3.リスク低減
  リスクの発生確率の低減や損失を最小化するための措置をとる対策。

4.リスク保有
  リスクに対して何もしない対策。
  発生頻度が低く、リスクが受け入れ可能と判断された場合の選択肢。

にほんブログ村 IT技術ブログへ 

不正リスク対応監査

不正リスク対応監査

  • 作者:田中 智徳
  • 発売日: 2020/03/13
  • メディア: 単行本
 

衝突発見困難性とは

ハッシュ値に関する指標
同じハッシュ値をとるようなメッセージの組を一つでも見つけることは非常に困難という性質。

ハッシュ値とは、元のデータからある計算式 (ハッシュ関数)によって得られる固定長の値のこと。衝突発見困難性が高いハッシュ関数ほど、セキュリティレベルが高いということになる。

ハッシュ値から元のデータを求めることが困難であることは、原像計算困難性と言う。

にほんブログ村 IT技術ブログへ 

暗号技術入門 第3版 秘密の国のアリス

暗号技術入門 第3版 秘密の国のアリス

  • 作者:結城 浩
  • 発売日: 2015/09/17
  • メディア: Kindle版
 

SOAとは

Service Oriented Architecture
サービス指向アーキテクチャ

システムを、利用者側から見たサービスという構成単位で構築する手法。

サービスの内容は、利用者側の視点から見た作業単位に対応して決められる。
業務環境の変化に柔軟に対応することができるように、個々のサービスが部品として独立しサービス間の関係が疎結合であることが重要。

サービス間の連携にはSOAPやXMLなどの標準化されたデータ形式やプロトコルが用いられる。

にほんブログ村 IT技術ブログへ 

IPスプーフィングとは

IP Spoofing
送信元のIPアドレスを偽装(なりすまし)して通信を行う攻撃手法。
DoS攻撃において、攻撃元の特定を困難にすることができる。

IPスプーフィングへの対策
・外部から入るパケットの送信元が自ネットワークと同じIPアドレスの場合は破棄する。
・外部へ出ていくパケットの送信先が自ネットワークと同じIPアドレスの場合は破棄する。
など。

にほんブログ村 IT技術ブログへ

WAFとは

Web Application Firewall
ウェブアプリケーションの脆弱性をついた攻撃を検知・遮断するソフトウェア(またはハードウェア)。

一般的なファイアウォールと異なり、データ部分をアプリケーションレベルで解析できるのが特徴。

ウェブアプリケーション自体にセキュリティの問題があっても、WAF製品を導入することによってそれを無害化できるという便利さがある。

にほんブログ村 IT技術ブログへ

徳丸浩のWebセキュリティ教室(日経BP Next ICT選書)

徳丸浩のWebセキュリティ教室(日経BP Next ICT選書)

  • 作者:徳丸 浩
  • 発売日: 2015/11/10
  • メディア: Kindle版
 

PCIデータセキュリティ基準とは

Payment Card Industry Data Security Standard
クレジットカード情報および取り引き情報を保護するために策定されたクレジット業界におけるグローバルセキュリティ基準。
クレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,American Express,Discover)により策定された。
カード会員データおよび取り引き情報を保護するための12要件が規定されている。

https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_2_1_JA-JP.pdf

にほんブログ村 IT技術ブログへ

VDIとは

Virtual Desktop Infrastructure

デスクトップ仮想化
パソコンのデスクトップ環境をサーバ上に仮想環境として用意・集約してサーバ上で稼働させる技術。

利用者がネットワークを通じてVDIサーバ上の仮想デスクトップ環境に接続し、利用者のPCにはVDIサーバからの操作結果画面のみが転送される仕組み。
クライアントPCとVDIサーバ間は画面転送プロトコルだけを利用すれば、クライアントPCへのマルウェア等の侵入やPC内のファイル流出を抑止することができる。

狭義でのVDIは、
デスクトップ仮想化の実装方式を指す。

VDI方式・・・1ユーザーに対して1つの仮想デスクトップ環境を割り当てる(Hyper-VやVMwareなど)

SBC方式・・・複数ユーザーが1つのデスクトップ環境に接続する(WindowsのRemote Desktopなど)

にほんブログ村 IT技術ブログへ

仮想デスクトップ「VDI」「DaaS」入門 (I・O BOOKS)

仮想デスクトップ「VDI」「DaaS」入門 (I・O BOOKS)

  • 作者:西島 剛
  • 発売日: 2015/07/24
  • メディア: 単行本
 

DNSSECとは

DNS Security Extensions
DNSにおける応答の正当性を保証するための拡張仕様。
ドメイン登録情報にデジタル署名を付加することで、正当な管理者によって生成された応答レコードであることを保証する。
サーバとクライアント双方がこの拡張に対応していればDNS応答の偽装や改竄を検出することができる。

にほんブログ村 IT技術ブログへ

実践DNS DNSSEC時代のDNSの設定と運用 (アスキー書籍)

実践DNS DNSSEC時代のDNSの設定と運用 (アスキー書籍)

  • 発売日: 2014/02/20
  • メディア: Kindle版
 

AESとは

Advanced Encryption Standard
2000年にアメリカ政府が標準として策定した共通鍵暗号方式。

以前の標準暗号であったDESの時代経過による相対的な強度の低下などにより、次世代暗号方式として規格化された。

暗号化に用いるブロック長は128ビット、使用する鍵の長さは128/192/256ビットから選択が可能。
暗号化は複数の演算を連続して行うラウンドと呼ばれる処理を繰り返すことによって行われる。
128ビット鍵では10ラウンド、192ビット鍵では12ラウンド、256ビット鍵では14ラウンドを繰り返す。

にほんブログ村 IT技術ブログへ

暗号技術のすべて

暗号技術のすべて

  • 作者:IPUSIRON
  • 発売日: 2017/08/03
  • メディア: Kindle版
 

CVEとは

Common Vulnerabilities and Exposures
(共通脆弱性識別子)
一般公表されている脆弱性情報を掲載している脆弱性情報のデータベース。
米国政府の支援を受けた非営利団体のMITRE社が管理運営している。
世界各国の製品開発企業、セキュリティ関連企業、調整機関等が広く利用している。
1999年のCVE登場以前は、脆弱性に対して製品ベンダーなどが独自に名前を付けていたため、脆弱性を一意に特定することが困難だった。
現在では、主要なベンダーから脆弱性情報が公開される時には、CVEIDという番号が付与された上で公開される。

にほんブログ村 IT技術ブログへ

サンドボックスとは

Sandbox
コンピュータ上に設けられた安全なプログラム実行環境。
外部から受け取ったプログラムを保護された領域で動作させることにより、システムが不正に操作されるのを防ぎセキュリティを向上させる仕組み。

サンドボックスの例としては、
Javaアプレット
Adobe Flash
など

にほんブログ村 IT技術ブログへ

OSコマンドインジェクションとは

OS command injection
ユーザからのデータ入力を受け付けるシステムにおいて、入力値としてOSへの命令文を与えることで、サーバのファイルの不正操作やパスワードの不正取得などを行う攻撃。

コマンドインジェクションを行う攻撃への対処が不十分だと、コンピュータの乗っ取り、他のコンピュータへの攻撃の踏み台、コンピュータウイルスのばらまき、フィッシング詐欺等の悪用が起こり得る。

にほんブログ村 IT技術ブログへ

デジタル証明書とは

digital certificate
公開鍵証明書(public key certificate)とも言う。

インターネット上で行われる公開鍵暗号化方式において、公開鍵が所有者本人のものであることを確認するためのデータセットのこと。

デジタル証明書は、認証局(CA)と呼ばれる第三者機関によって発行される。

にほんブログ村 IT技術ブログへ

暗号技術のすべて

暗号技術のすべて

  • 作者:IPUSIRON
  • 発売日: 2017/08/03
  • メディア: Kindle版
 

SSL/TLSとは

Secure Sockets Layer / Transport Layer Security

インターネット上で通信データを暗号化する技術。
通信データを暗号化することで、データの盗聴や改ざんなどを防ぐことができる。

HTTP,SMTP,POP,FTPなどの通信を平文で行うプロトコルに利用されて、アプリケーション層とトランスポート層(TCP)との間で暗号化する。

TLSはSSL3.0の基本設計を引き継いだもの。
現在、SSLと呼んでいるものは、実質TLSを指していることも多いが、SSLの名称がまだ一般に広く認知されているため、「SSL/TLS」と併記されることが多い。

にほんブログ村 IT技術ブログへ

マスタリングTCP/IP SSL/TLS編

マスタリングTCP/IP SSL/TLS編