セキュリティ対策 ITパスポート対策テクノロジ系技術要素編⑪
4 views
2023-12-012023-11-09
利用者認証
利用者を認証するための主な仕組みには次の3種類があります。
| 知識による認証 | パスワードなど本人のみが記憶しているはずの情報を使って認証する。 |
|---|---|
| 所有物による認証 | 鍵、身分証など本人のみが持っているはずのものによって認証する。 |
| 身体的特徴による認証 | 指紋、虹彩などそれぞれの人間に固有な身体的特徴を利用して認証する。 |
これらの要素のうち、一つだけで認証を行うのではなく、複数の要素を組合わせて認証を行う方法を多要素認証といいます。
シングルサインオン
一度利用者認証を受けてログインすれば関連するシステムでもログイン状態を保てる仕組みをシングルサインオンといいます。
SMS認証
ショートメッセージサービス(SMS)でモバイル端末にメッセージを送り、その中に含まれている認証コードを入力してもらうなどして認証を行う仕組みです。この認証コードのように一定の期間のみ有効なパスワードをワンタイムパスワードといいます。
生体認証(バイオメトリクス認証)
生体認証には次のような種類があります。
| 指紋認証 | 指紋のパターンを利用して認証を行う。 |
|---|---|
| 静脈認証 | 手や指の静脈の形状を赤外線センサーなどせ読み取り認証を行う。 |
| 虹彩認証 | 目の虹彩の模様を用いて認証を行う。 |
| 音声認証 | 声の特徴を利用して認証を行う。 |
| 顔認証 | 各パーツの形状など顔の特徴を利用して認証を行う。 |
ネットワークセキュリティ
ファイアウォール
ファイアウォールは内部ネットワークと外部ネットワークの境などに設置する機器あるいはソフトウェアで、IPアドレスなどに基づいてアクセス制御を行います。
WAF(Web Application Firewall)
通常のファイアウォールでは防ぐことのできないWebアプリケーションに対する攻撃(SQLインジェクション、クロスサイトスクリプティングなど)を検知し遮断するために使用されるアクセス制御機器(またはソフトウェア)がWAFです。
DMZ(非武装地帯)
DeMilitarized Zoneの略で、ファイアウォールなどを用いて作り出されるインターネット側からのアクセスを許可する領域を指します。Webサーバーなどは外部に公開する必要がありますが、内部ネットワーク用のサーバーと一緒に配置しておくと、これらのサーバーまで外部からアクセスされてしまう危険性があるため、分離してDMZに配置します。
IDS・IPS
IDSは、Intrusion Detection Systemの略で、侵入検知システム、IPSは、Intrusion Prevention System略で、侵入防止システムと訳されれます。どちらもサーバーやネットワークを監視して異常な挙動を検知しますが、IPSの方は自動疑わしいアクセスを遮断する機能も有しています。
ペネトレーションテスト
ネットワークやコンピュータに実際に侵入を試みてセキュリティ対策が機能しているかを確認するテスト手法をペネトレーションテストといいます。
検疫ネットワーク
外部から持ち込んだパソコンなどを接続し、マルウェアが含まれていないかなどを確認するための内部ネットワークから切り離されたネットワーク領域を検疫ネットワークといいます。
VPN
Virtual Private Networkの略で、仮想化技術などで作り出された仮想的な専用ネットワークを指します。いくつか方式がありますが、遠隔地の拠点間を社内ネットワークでつながれているかのように結び、比較的安全に通信できるのが特徴となっています。
TLS(SSL)
Transport Layer Securityの略で、デジタル証明書や通信の暗号化で安全性を高める仕組みです。TLSを利用している通信プロトコルには、
- HTTP → HTTPS(HTTP over TLS)
- SMTP → SMTPS(SMTP over TLS)
- FTP → FTPS (FTP over TLS)
- IMAP → IMAPS (IMAP over TLS)
- POP3 → POP3S (POP3 over TLS)
などがあります。
SIEM
Security Information and Event Managementの略で、様々な機器やアプリケーションのログ情報を一元的に管理、分析するためのソフトウェアを指します。
無線LANのセキュリティ対策
無線LANは電波の届く範囲であれば傍受や接続が容易であるためセキュリティに特別気を配る必要があります。無線LAN関連の技術や機能いは以下のようなものがあります。
WPA2
WEP(Wired Equivalent Privacy)、WPA(Wi-Fi Protected Access)の後継となる無線LAN通信用の暗号化の規格です。
MACアドレスフィルタリング機能
無線LANルータに実装されている機能で、MACアドレスに基づいて特定の端末にのみ接続を許可することができます。
ESSIDステルス機能
無線LANルータは、接続に必要となるESSID(SSID)をビーコン信号によって定期的に周囲に発信していますが、ステルス機能ではこれを停止することができます。
その他セキュリティ対策関連用語
セキュアブート
コンピュータを安全に起動(ブート)するために、OSや起動する各種ソフトウェアをデジタル署名で検証する仕組みを指します。
セキュリティパッチ
ソフトウェアに脆弱性が発見された際に配布される修正用のプログラムをセキュリティパッチといいます。
デジタルフォレンジックス
不正アクセスやデータ改ざんなどのサイバー犯罪が行われた際、ログなどを収集分析して、その行為の証拠を明らかにする作業をデジタルフォレンジックスといいます。
電子透かし
画像などのデータに目では見えない著作者情報などを埋め込む技術を電子透かしといい、著作権保護などに活用されています。
TPM
Trusted PlatformModuleの略で、暗号やデジタル署名に関する処理機能を持った半導体チップを指します。セキュリティチップと呼ばれることもあります。
耐タンパ性
外部から無理やりデータを読み出すことが難しくなっている状態のことを耐タンパ性といいます。ICチップなどでは耐タンパ性を高める仕組みが実装されており、無理やり読み出そうとするとデータが自動で消去される場合もあります。
PCI DSS
Payment Card Industry Data Security Standardの略で、クレジットカード情報を取り扱う際に事業者が守るべき基準を定めた規格です。
ブロックチェーン
取引情報などのデータを相互に関連付けて連結し、複数のコンピュータで分散管理しながら改ざんを困難にする技術で、仮想通貨(暗号資産)などで利用されています。
ペアレンタルコントロール
親が子とものPCやスマートフォンの利用時間、アクセスなどをコントロールすること、あるいはそのための仕組みを指す言葉です。
セキュリティバイデザイン
システムや製品の設計段階からセキュリティ対策機能を組み込んでおくことで、セキュリティを高めようという考え方です。
プライバシーバイデザイン
システムや製品の設計段階からプライバシー対策機能を組み込んでおくことで、プライバシー保護を図ろうという考え方です。
人的セキュリティ対策
セキュリティ対策に関してのマニュアル整備や研修、トレーニングなどを人的セキュリティ対策といいます。
人的セキュリティ対策では、次のようなことを行います。
- 情報セキュリティに関する教育・訓練
- 情報セキュリティポリシー・マニュアルの策定
- ルールが順守されているかの監視
- アクセス権の設定などのアクセス管理
IPAが公表している人的セキュリティに関連する文章に「組織における内部不正防止ガイドライン」があります。
物理的セキュリティ対策
物理的セキュリティ対策では、ICカードによる入退室管理、施錠管理、監視カメラによる警戒などにより権限のない人が施設に侵入したり、機器に触れるのを防止します。
セキュリティケーブル
コンピュータの盗難や不正持ち出しを防止するために使用する固定器具をセキュリティケーブル(セキュリティワイヤー)といいます。
クリアデスク・クリアスクリーン
席を離れる際に書類などを机の上の放置しておかないことをクリアデスク、PCから離れる際に、他人が画面を見たり操作したりできない状態にしておくことをクリアスクリーンといいます。
遠隔バックアップ
施設が大規模災害などにより物理的に破壊さることに備え、地理的に離れた場所にバックアップデータを保管しておくことを遠隔バックアップといいます。
確認問題(過去問)
ITパスポート試験平成30年春問57
SSL/TLSによる通信内容の暗号化を実現させるために用いるものはどれか。
ITパスポート試験令和元年問88
バイオメトリクス認証の例として,適切なものはどれか。
ITパスポート試験令和2年問66
バイオメトリクス認証で利用する身体的特徴に関する次の記述中の a, b に入れる字句の適切な組合せはどれか。
バイオメトリクス認証における本人の身体的特徴としては,aが難しく,bが小さいものが優れている。
ITパスポート試験令和4年問74
サーバ室など、セキュリティで保護された区画への入退室管理において,一人の認証で他者も一緒に入室する共連れの防止対策として,利用されるものはどれか。
ITパスポート試験平成28年春問93
シングルサインオンの説明として, 適切なものはどれか。
ITパスポート試験令和4年問64
a~d のうち,ファイアウォールの設置によって実現できる事項として,適切なものだけを全て挙げたものはどれか。
- 外部に公開する Web サーバやメールサーバを設置するための DMZ の構築
- 外部のネットワークから組織内部のネットワークへの不正アクセスの防止
- サーバルームの入り口に設置することによるアクセスを承認された人だけの入室
- 不特定多数のクライアントからの大量の要求を複数のサーバに動的に振り分けることによるサーバ負荷の分散
ITパスポート試験平成28年秋問79
WPA2による暗号化を設定したアクセスポイントがある。 このアクセスポイントを経由して,図のように PC をインターネット上の Web サーバに接続するとき, WPA2による暗号化の効果が及ぶ範囲として, 適切なものはどれか。
ITパスポート試験平成30年春問68
企業のネットワークにおいて, DMZ(非武装地帯)ではなく、企業内LANに設置すべきサーバはどれか。
ITパスポート試験令和5年問67
ネットワーク環境で利用される IDS の役割として,適切なものはどれか。
ITパスポート試験平成30年春問97
ディジタルフォレンジックスの目的として,適切なものはどれか。
ITパスポート試験平成28年秋問73
インターネット経由で行うペネトレーションテストで見つけられる脆弱性の例として適切なものはどれか。
ITパスポート試験令和3年問85
無線 LAN のセキュリティにおいて,アクセスポイントが PC などの端末からの接続要求を受け取ったときに,接続を要求してきた端末固有の情報を基に接続制限を行う仕組みはどれか。
ITパスポート試験令和2年問78
通信プロトコルとしてTCP/IPを用いる VPNには,インターネットを使用するインターネットVPNや通信事業者の独自ネットワークを使用するIP-VPNなどがある。インターネットVPNではできないが,IP-VPNではできることはどれか。
ITパスポート試験令和元年問73
IoT 機器や PC に保管されているデータを暗号化するためのセキュリティチップで あり,暗号化に利用する鍵などの情報をチップの内部に記憶しており,外部から内部の情報の取出しが困難な構造をもつものはどれか。
ITパスポート試験令和3年問63
PC やスマートフォンのブラウザから無線 LAN のアクセスポイントを経由して,インターネット上の Web サーバにアクセスする。このときの通信の暗号化に利用する SSL/TLS と WPA2 に関する記述のうち,適切なものはどれか。
ITパスポート試験平成27年秋問56
無線LANのセキュリティを向上させるための対策はどれか。
ITパスポート試験令和5年問61
IoT システムなどの設計, 構築及び運用に際しての基本原則とされ, システムの企画、設計段階から情報セキュリティを確保するための方策を何と呼ぶか。
ITパスポート試験令和2年問90
ハードウェアなどに対して外部から不正に行われる内部データの改ざんや解読,取出しなどがされにくくなっている性質を表すものはどれか。
ITパスポート試験令和3年問97
複数のコンピュータが同じ内容のデータを保持し,各コンピュータがデータの正当性を検証して担保することによって,矛盾なくデータを改ざんすることが困難となる,暗号資産の基盤技術として利用されている分散型台帳を実現したものはどれか。
ITパスポート試験令和5年問90
情報セキュリティにおける物理的及び環境的セキュリティ管理策であるクリアデスクを職場で実施する例として, 適切なものはどれか。
これだけで受かるITパスポート
https://ja.mondder.com
