最新テクノロジ系「セキュリティ」の用語集

ITパスポートシラバス6対応最新テクノロジ系セキュリティの用語集分野別
スポンサーリンク

ITパスポート試験 シラバス6対応 テクノロジ系 セキュリティ についての出題傾向,学習ポイント,重要な用語を紹介します。

新しい用語については,過去問題は少ないです。

丁寧に,用語の意味を覚えていきましょう。

スポンサーリンク
目次
  1. 出題傾向
  2. 情報セキュリティ
    1. 情報セキュリティ
    2. 盗聴
    3. ビジネスメール詐欺(BEC)
    4. ダークウェブ
    5. マルウェア
    6. ファイルレスマルウェア
    7. RAT( Remote Access Tool)
    8. マクロウイルス
    9. SPAM
    10. シャドーIT
    11. 不正のトライアングル
    12. クロスサイトリクエストフォージェリ
    13. クリックジャッキング
    14. ドライブバイダウンロード
    15. ディレクトリトラバーサル
    16. 中間者(Man-in-the-middle)攻撃
    17. MITB(Man-in-the-browser)攻撃
    18. 第三者中継
    19. IPスプーフィング
    20. キャッシュポイズニング
    21. セッションハイジャック
    22. DDoS 攻撃
    23. クリプトジャッキング
    24. 攻撃の準備
    25. ポートスキャン
  3. 情報セキュリティ管理
    1. リスクマネジメント
    2. リスクアセスメント
    3. リスク特定
    4. リスク分析
    5. リスク評価
    6. リスク対応
    7. 情報セキュリティポリシ
    8. ISMS(Information Security Management System)
    9. 情報セキュリティの要素
    10. 情報セキュリティの要素(機密性を高める施策)
    11. 情報セキュリティの要素(完全性を高める施策)
    12. 情報セキュリティの要素(可用性を高める施策)
    13. プライバシーポリシ(個人情報保護方針)
    14. 安全管理措置
    15. サイバー保険
    16. 情報セキュリティ委員会
    17. SOC(Security Operation Center)
    18. コンピュータ不正アクセス届出制度
    19. ソフトウェア等の脆弱性関連情報に関する届出制度
    20. J-CSIP(ジェイシップ:サイバー情報共有イニシアティブ)
    21. サイバーレスキュー隊(J-CRAT:ジェイ・クラート)
    22. SECURITY ACTION
  4. 情報セキュリティ対策・情報セキュリティ実装技術
    1. 情報セキュリティ訓練(標的型メールに関する訓練ほか)
    2. 組織における内部不正防止ガイドライン
    3. アクセス制御
    4. WAF(Web Application Firewall )
    5. IDS ( Intrusion Detection System : 侵入検知システム)
    6. IPS( Intrusion Prevention System: 侵入防止システム)
    7. DLP(Data Loss Prevention)
    8. SIEM(Security Information and Event Management)
    9. SSL/TLS(Secure Sockets Layer/Transport Layer Security)
    10. MDM(Mobile Device Management)
    11. ブロックチェーン
    12. 耐タンパ性
    13. セキュアブート
    14. TPM ( Trusted Platform Module:セキュリティチップ)
    15. PCI DSS
    16. MACアドレスフィルタリング
    17. クリアデスク・クリアスクリーン
    18. セキュリティケーブル
    19. 遠隔バックアップ
    20. 暗号化アルゴリズム
    21. ハイブリッド暗号方式
    22. ディスク暗号化
    23. ファイル暗号化
    24. タイムスタンプ(時刻認証)
    25. 多要素認証
    26. SMS認証
    27. 静脈パターン認証
    28. 虹彩認証
    29. 声紋認証
    30. 顔認証
    31. 網膜認証
    32. 本人拒否率(FRR)
    33. 他人受入率(FAR)
    34. ルート証明書
    35. サーバ証明書
    36. クライアント証明書
    37. CA(Certification Authority:認証局)
    38. CRL(Certificate Revocation List:証明書失効リスト)
    39. セキュリティバイデザイン
    40. プライバシーバイデザイン
    41. クロスサイトスクリプティング対策
    42. SQLインジェクション対策
    43. IoTセキュリティガイドライン
    44. コンシューマ向けIoT セキュリティガイド
  5. まとめ

出題傾向

出題数

20問程度(テクノロジ系45問中)

テクノロジ系の半分はセキュリティの問題!

出題傾向

年々増えている。令和3年春は20問超

Ver.○.○の表示について
 用語が初めて掲載されたときの,シラバスのバージョンです。
 表示がないのは,Ver.3以前です。

情報セキュリティ

用語がたくさんあるから,何に関する用語なのか整理して覚えるといいよ。

情報セキュリティ

情報セキュリティは,組織が持つ情報資産(顧客情報や販売情報など)を守るための包括的な保護の取り組みという概念です。

テクノロジ系セキュリティ61.情報セキュリティ

人の操作によって引き起こされる脅威です。

名称と特徴を覚えましょう。

盗聴

Ver.5.0
盗聴対策は,対象によって異なります。

パスワードの盗聴対策については,暗号化した通信でパスワードを送信する方法があります。
(ITパスポート 平成31年春 問59より)

無線LANの盗聴対策については,セキュリティの設定で,WPA3を選択する方法があります。
(ITパスポート 平成27年春 問74より)

新しい用語の問題4
新しい用語の問題9

テクノロジ系セキュリティ61.情報セキュリティ

ビジネスメール詐欺(BEC)

Ver.5.0
ビジネスメール詐欺(BEC)は,巧妙なだましの手口を駆使し,取引先になりすまして偽の電子メールを送リ,金銭をだまし取ります。
(情報セキュリティマネ 令和元年秋期午前 問1)

新しい用語の問題4

テクノロジ系セキュリティ61.情報セキュリティ

ダークウェブ

Ver.5.0
ダークウェブには,ドラッグや武器、サイバー攻撃、個人情報等の違法商品を取引するための闇市場サイトの存在し,大きく問題視されています。

アクセスには、匿名性の高い通信を担保する専用のツール(ブラウザ)が必要です。

テクノロジ系セキュリティ61.情報セキュリティ

技術的に引き起こされる脅威です。

名称と特徴を覚えましょう。

マルウェア

マルウェアは,コンピュータウイルス,ワームなどを含む悪意のあるソフトウェアの総称です。
(ITパスポート 平成25年秋 問77より)

テクノロジ系セキュリティ61.情報セキュリティ

ファイルレスマルウェア

Ver.6.0
ファイルレスマルウェアは,マルウェアの実行ファイルをパソコンに作らず,不正なコードをレジストリに保存する等の⼿法を使うことで検知を回避する攻撃です。

テクノロジ系セキュリティ61.情報セキュリティ

RAT( Remote Access Tool)

Ver.4.0
RATは,リモートでシステムにアクセスして操作することを可能にするソフトウェアの総称です。

多くの場合、トロイの木馬型(バックドア型)マルウェア注)を指します。

スキマ時間問題2-4

テクノロジ系セキュリティ61.情報セキュリティ

マクロウイルス

マクロウイルスは,Officeアプリケーションなどで動作するマクロ機能を使って作成されたコンピュータウイルスです。

テクノロジ系セキュリティ61.情報セキュリティ

スキマ時間問題1-5

SPAM

Ver.4.0
SPAMは,受信者の承諾なしに無差別に送付されるメールです。
(ITパスポート 平成21年秋 問71より)

テクノロジ系セキュリティ61.情報セキュリティ

情報システムの安全上の欠陥の用語です。

シャドーIT

Ver.4.0
シャドーIT は,IT部門の許可を得ずに,従業員又は部門が業務に利用しているデバイスやクラウドサービスです。
(情報セキュリティ 平成29年秋 午前問16より)

スキマ時間問題2-3

テクノロジ系セキュリティ61.情報セキュリティ

不正行為の発生メカニズムについての用語です。

不正のトライアングル

Ver.4.0
不正のトライアングルと呼び,次の3要素がそろったとき,企業内部で不正行為が発生すると考えられています。

「動機」・・・不正を犯す必要性。例えば、仕事のストレスや不満

「機会」・・・重要な情報を持ち出すなど、不正を行おうと思えば実施できてしまう状況

「正当化」・・・不正行為者の考え方。例えば、言い訳

テクノロジ系セキュリティ61.情報セキュリティ

情報システムへの攻撃手法です。

名称と次の点を覚えましょう。

  • どんな脅威(問題が起こる)?
  • どんな脆弱性(弱点)をついた攻撃?
  • どのように攻撃する

クロスサイトリクエストフォージェリ

Ver.5.0
クロスサイトリクエストフォージェリは,悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃です。
(情報セキュリティスペ 平成22年春期午前Ⅰ 問15より)

テクノロジ系セキュリティ61.情報セキュリティ

クリックジャッキング

Ver.5.0
WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し,WebサイトA上の操作に見せかけて標的サイトB上で操作させる攻撃です。
(情報セキュリティマネ 平成28年春午前 問22より)

新しい用語の問題5

テクノロジ系セキュリティ61.情報セキュリティ

ドライブバイダウンロード

Ver.4.0
ドライブバイダウンロードは,Webサイトを閲覧したとき,利用者が気付かないうちに,利用者の意図にかかわらず,利用者のPCに不正プログラム(マルウエアなど)がダウンロードされる攻撃です。
(情報セキュリティ H28年春 午前問25より)

テクノロジ系セキュリティ61.情報セキュリティ

ディレクトリトラバーサル

Ver.5.0
ディレクトリトラバーサルは,攻撃者がパス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する攻撃です。
(情報セキュリティマネ 平成29年春午前 問23より)

新しい用語の問題5

テクノロジ系セキュリティ61.情報セキュリティ

中間者(Man-in-the-middle)攻撃

Ver.5.0
中間者攻撃は,ディジタル証明書を使わずに,通信者同士が,通信によって交換する公開鍵を用いて行う暗号化通信において,通信内容を横取りする目的で当事者になりすます攻撃です。
(情報セキュリティスペ 平成22年春午前Ⅱ 問13より)

テクノロジ系セキュリティ61.情報セキュリティ

MITB(Man-in-the-browser)攻撃

Ver.5.0
MITB攻撃は,PCに侵入したマルウエアが,利用者のインターネットバンキングへのログインを検知して, Webブラウザから送信される振込先などのデータを改ざんする攻撃です
(応用情報 平成28年春午前 問45より)

新しい用語の問題5

テクノロジ系セキュリティ61.情報セキュリティ

第三者中継

Ver.5.0
第三者中継は,本来の利用者でない外部の利用者が、メール送信サーバ(SMTPサーバ)を使ってメールを送信する攻撃です。

また、外部の利用者が、送信先メールアドレスを自由に指定できてしまう設定になっていることです。

迷惑メールやウイルス等を送信する際に身元を隠すために使用されます。

テクノロジ系セキュリティ61.情報セキュリティ

IPスプーフィング

Ver.5.0
IPスプーフィングは,偽の送信元IPアドレスをもったパケットを送る攻撃です。
(ITパスポート 平成27年秋 問81より)

新しい用語の問題5

テクノロジ系セキュリティ61.情報セキュリティ

キャッシュポイズニング

Ver.4.0
キャッシュポイズニングは,PCが参照するDNSサーバに偽のドメイン情報を注入して,利用者を偽装されたサーバに誘導する攻撃です。
(情報セキュリティ H29年秋 午前問22より)

テクノロジ系セキュリティ61.情報セキュリティ

スキマ時間問題2-2

セッションハイジャック

Ver.5.0
セッションハイジャックは,サーパとクライアント聞の正規のセッションに割り込んで,正規のクライアントに成りすます攻撃で,サーバ内のデータを盗み出します。
(ITパスポート 平成24年春 問77より)

テクノロジ系セキュリティ61.情報セキュリティ

DDoS 攻撃

Ver.4.0
DDoS 攻撃は,インターネット上の多数の機器から特定のネットワーク、サーバに一斉にパケットを送り、過剰に負荷をかけて機能不全にする攻撃です。

出題された具体例
ある日のある時刻に,マルウェアに感染した多数のIoT機器が特定のWebサイトへ一斉に大量のアクセスを行い,Webサイトのサービスを停止に追い込んだ。
(ITパスポート 令和元年秋 問100より)

テクノロジ系セキュリティ61.情報セキュリティ

クリプトジャッキング

Ver.5.0
クリプトジャッキングは,暗号資産(仮想通貨)を入手するためのマイニングと呼ばれる作業を,他人のコンビュータを使って気付かれないように行うことです。
(ITパスポート 令和2年秋 問60より)

新しい用語の問題5
スキマ時間問題2-1

テクノロジ系セキュリティ61.情報セキュリティ

攻撃の準備

Ver.5.0
攻撃の準備として,ポートスキャンがおこなわれます。

テクノロジ系セキュリティ61.情報セキュリティ

ポートスキャン

Ver.5.0
ポートスキャンは,事前調査の段階で,攻撃できそうなサービスがあるかどうかを調査する目的で行われます。
(情報セキュリティマネ 平成28年春午前 問29より)

新しい用語の問題5

テクノロジ系セキュリティ61.情報セキュリティ

情報セキュリティ管理

リスクマネジメントの順番や情報セキュリティの要素の具体例が試験に出ている。

関連する用語をセットで覚えるといいよ。

リスクマネジメントの用語です。順番も大切です。

リスク特定(リスクアセスメントの一つ)
リスク分析(リスクアセスメントの一つ)
リスク評価(リスクアセスメントの一つ)
リスク対応

リスクマネジメント

リスクマネジメントとは、リスクを特定し、評価した上で許容レベルまでリスクを低減するプロセス
のことです。

テクノロジ系セキュリティ62.情報セキュリティ管理

リスクアセスメント

Ver.4.0
リスクアセスメントは,識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断することです。

次の手順(1→2→3)で行います。

  1. リスク特定
  2. リスク分析
  3. リスク評価

テクノロジ系セキュリティ62.情報セキュリティ管理

スキマ時間問題3-1

リスク特定

Ver.4.0
リスク特定は,組織に存在するリスクを洗い出すことです。

テクノロジ系セキュリティ62.情報セキュリティ管理

リスク分析

Ver.4.0
リスク分析は,リスクの発生確率と影響度から,リスクの大きさを算定することです。

テクノロジ系セキュリティ62.情報セキュリティ管理

リスク評価

Ver.4.0
リスク評価は,リスクの大きさとリスク受容基準を比較して,対策実施の必要性を判断することです。

テクノロジ系セキュリティ62.情報セキュリティ管理

スキマ時間問題3-3

リスク対応

リスク対応は,リスクへの対処方法を選択し,具体的な管理策の計画を立てることです。

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティ管理の用語です。

情報セキュリティポリシ

情報セキュリティポリシは,企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。

情報セキュリティ基本方針は組織全体で統一させます。
(ITパスポート 平成26年秋 問61より)

テクノロジ系セキュリティ62.情報セキュリティ管理

スキマ時間問題3-2

ISMS(Information Security Management System)

ISMSは,情報セキュリティマネジメントシステムのことです。

情報の機密性や完全性、可用性を維持し,情報漏えいなどのインシデント(事故)発生を低減させるためのしくみです。

テクノロジ系セキュリティ62.情報セキュリティ管理

スキマ時間問題3-5

情報セキュリティの要素です。

名称と各要素を高める施策を覚えましょう

情報セキュリティの要素

Ver.4.0

情報セキュリティの要素は,情報セキュリティ上の重要な特性です。

機密性,完全性,可用性,真正性,責任追跡性,否認防止,信頼性があります。

テクノロジ系セキュリティ62.情報セキュリティ管理

スキマ時間問題4-1

情報セキュリティの要素(機密性を高める施策)

Ver.4.0
機密性を高める施策として,次の例が試験に出ています。

①機密情報のファイルを暗号化し,漏えいしても解読されないようにする。
(ITパスポート 平成25年秋 問75より)

②ファイルに読出し用パスワードを設定する。
(ITパスポート 平成26年秋 問67より)

③生体認証を採用する。
(ITパスポート 平成27年秋 問58より)

④外部記憶媒体の無断持出しが禁止
(基本情報技術者 平成28年秋 午前問59より)

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティの要素(完全性を高める施策)

Ver.4.0
完全性を高める施策として,次の例が試験に出ています。

①データの入力者以外の者が,入力されたデータの正しさをチェックする。
(ITパスポート 平成26年秋 問67より)

②ディジタル署名を行う。
(ITパスポート 平成27年秋 問58より)

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティの要素(可用性を高める施策)

Ver.4.0
可用性を高める施策として,次の例が試験に出ています。

①ハードウェアを二重化する。
(ITパスポート 平成27年秋 問58より)

②データを処理するシステムに予備電源を増設する。
(ITパスポート 平成326年秋 問67より)

③中断時間を定めたSLA注)の水準が保たれるように管理する。
(基本情報技術者 H28年秋 午前問59より)

注)SLA:
サービス提供者とサービス利用者との間で取り決めたサービスレベルの合意書

テクノロジ系セキュリティ62.情報セキュリティ管理

個人情報保護についての用語です。

プライバシーポリシ(個人情報保護方針)

Ver.4.0
プライバシーポリシは,個人情報の利用目的や管理方法の考え方を文章に示し公表したものです。

テクノロジ系セキュリティ62.情報セキュリティ管理

安全管理措置

Ver.4.0
安全管理措置は,個人データの漏えい防止など,個人データの安全管理のために必要かつ適切な措置のことです。

次のようなれ具体例が試験に出ています。

①データを暗号化して保存する。
(ITパスポート 平成30年春問98より)

②住所録のデータを書き込んだCD-ROMを破棄するときには破砕する。
(ITパスポート 平成28年春 問65より)

テクノロジ系セキュリティ62.情報セキュリティ管理

サイバー保険

Ver.4.0
サイバー保険は,サイバー事故(個人情報漏洩など)により企業に生じた第三者に対する「損害賠償責任」,事故時に必要となる「費用」,自社の「喪失利益」などが契約によって補償されます。

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティ組織・機関についての用語です。

次の点を確認して覚えましょう。

  • なんのための制度,組織?
  • 対象?
  • どんなことをする?

情報セキュリティ委員会

Ver.4.0
情報セキュリティ委員会は,ISMS(情報セキュリティマネジメントシステム)を推進する社内に置かれる組織です。

構成:複数の部門の代表者

役割:自部門の課題の提出や、部門指導と管理、相互理解

テクノロジ系セキュリティ62.情報セキュリティ管理

SOC(Security Operation Center)

Ver.4.0
SOCは,民間企業のサーバに対するセキュリティ攻撃を監視,検知する組織です。
(情報セキュリティマネジメント H29年秋午前 問4より)

SOCは自分の会社で構築・運用する場合と、外部の会社が提供するサービスを利用する場合があります。

テクノロジ系セキュリティ62.情報セキュリティ管理

コンピュータ不正アクセス届出制度

Ver.4.0
コンピュータ不正アクセス届出制度は,国内の不正アクセス被害をIPA(情報処理推進機構)に届け出る制度です。

目的:IPA(情報処理推進機構)は,ウイルス感染被害の拡大防止や再発防止に役立てます。

テクノロジ系セキュリティ62.情報セキュリティ管理

ソフトウェア等の脆弱性関連情報に関する届出制度

Ver.4.0
ソフトウェア等の脆弱性関連情報に関する届出制度は,ソフトウェア等の脆弱性関連情報をIPA(情報処理推進機構)に届け出る制度です。

目的:脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防する。

テクノロジ系セキュリティ62.情報セキュリティ管理

J-CSIP(ジェイシップ:サイバー情報共有イニシアティブ)

Ver.4.0
J-CSIPは,参加組織及びそのグループ企業において検知されたサイバー攻撃などの情報を,IPAが情報ハブになって集約し,参加組織間で共有する取組です。
(情報セキュリティR元年秋 午前問2より)

テクノロジ系セキュリティ62.情報セキュリティ管理

サイバーレスキュー隊(J-CRAT:ジェイ・クラート)

Ver.4.0
サイバーレスキュー隊は,標的型サイバー攻撃の被害低減と攻撃連鎖の遮断を支援する活動を行います。
(IPA(情報処理推進機構)に設置)

テクノロジ系セキュリティ62.情報セキュリティ管理

SECURITY ACTION

Ver.5.0
SECURITY ACTIONは,中小企業の情報セキュリティ対策普及の加速化に向けて,情報セキュリティ対策に取り組むことを自己宣言する制度です。
 (ITパスポート 令和3年春 問79より)

スキマ時間問題4-4

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティ対策・情報セキュリティ実装技術

”実装”は,”機能を組み込むこと”だよ。

次の点を確認して覚えるといいよ。

・対象は何か?

・どんな脅威のための対策?

・どんな方法?

人的なセキュリティ対策です。

情報セキュリティ訓練(標的型メールに関する訓練ほか)

Ver.5.0
情報セキュリティ訓練は,サイバー攻撃に対する『防災訓練』です。

(目的)インシデントが発生した際の対応力を高めます。

(標的型メールに関する訓練の例)

  • 対象の社員に訓練であることは伝えず、偽の標的型メールを送信する。
  • どれだけ標的型メールを開いてしまったか、または、適切に対処できたかを測定する。
  • 結果を、今後のサイバーセキュリティ教育に活かす。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

組織における内部不正防止ガイドライン

Ver.4.0
作成:IPA(情報処理推進機構)

ガイドラインの推奨事項①
重大な不正を犯した内部不正者に対しては組織としての処罰を検討するとともに,再発防止の措置を実施する。
(ITパスポート 令和元年秋 問61より)

ガイドラインの推奨事項②
内部不正対策は経営者の責任であり,経営者は基本となる方針を組織内外に示す“基本方針”を策定し,役職員に周知徹底する。
(ITパスポート 令和元年秋 問61より)

ガイドラインの推奨事項③
退職間際に重要情報の不正な持出しが行われやすいので,退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。
(情報セキュリティ H30年春午前 問4より)

ガイドラインの推奨事項④
インターネット上のWebサイトへのアクセスに関しては,コンテンツフィルタ(URLフィルタ)を導入して,SNS,オンラインストレージ,掲示板などへのアクセスを制限する。
(情報セキュリティ 平成28年春午前 問 7より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

技術的なセキュリティ対策です。

アクセス制御

アクセス制御は,ユーザがコンピュータシステムの資源(データ等)にアクセスすることができる権限・認可をコントロールすることです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

スキマ時間問題6-5

WAF(Web Application Firewall )

Ver.5.0
WAFは,Webアプリケーションへの攻撃を検知し,阻止します。
(応用情報 平成31年春午前 問45より)

新しい用語の問題5

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

IDS ( Intrusion Detection System : 侵入検知システム)

Ver.5.0
IDSは,サーバやネットワークを監視し,侵入や侵害を検知した場合に管理者へ通知します。
(基本情報 平成30年秋午前 問42より)

新しい用語の問題5

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

IPS( Intrusion Prevention System: 侵入防止システム)

Ver.5.0
IPSは,サーバやネットワークへの侵入を防ぐために,不正な通信を検知して遮断する装置です。
(情報セキュリティマネ 平成31年春午前 問15より)

新しい用語の問題5

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

DLP(Data Loss Prevention)

Ver.4.0
DLPは,情報システムにおいて,秘密情報を判別し,秘密情報の漏えいにつながる操作に対して警告を発令したり,その操作を自動的に無効化します。
(情報セキュリティ H29年秋午前 問13より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SIEM(Security Information and Event Management)

Ver.5.0
SIEMは,複数のサーバやネットワーク機器のログを収集分析し,不審なアクセスを検知します。
(応用情報 平成29年秋 午前問38より)

また,様々な機器から集められたログを総合的に分析し,管理者による分析と対応を支援します。
(基本情報技術者 令和元年秋期午前 問43より)

新しい用語の問題5

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SSL/TLS(Secure Sockets Layer/Transport Layer Security)

Ver.4.0
SSL/TLSは,HTTPSで接続したWebサーバとブラウザ間の暗号化通信に利用されるプロトコルです。
(ITパスポート H30年秋 問71より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

MDM(Mobile Device Management)

Ver.4.0
MDMは,モバイル端末の状況の監視,リモートロックや遠隔データ削除ができるエージェントソフトの導入などによって,企業システムの管理者による適切な端末管理を実現することです。
(ITパスポート 平成30年秋 問72より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ブロックチェーン

Ver.4.0
ブロックチェーンは,複数の取引記録をまとめたデータを順次作成するときに,そのデータに直前のデータのハッシュ値を埋め込むことによって,データを相互に関連付け,取引記録を矛盾なく改ざんすることを困難にすることで,データの信頼性を高める技術です。
(ITパスポート 令和元年秋 問59より)
利用例:仮想通貨 など

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

耐タンパ性

Ver.4.0
耐タンパ性は,ハードウェアなどに対して外部から不正に行われる内部データの改ざんや解読,取出しなどがされにくくなっている性質です
(ITパスポート 令和2年秋期 問90より)

ICカードの耐タンパ性を高める対策として,次のような例があります。

信号の読出し用プロープの取付けを検出するとICチップ内の保存情報を消去す
る回路を設けて, ICチップ内の情報を容易に解析できないようにする。
(応用技術者 H29年秋午前 問44より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

スキマ時間問題6-4

セキュアブート

Ver.5.0
セキュアブートは,PCの起動時にOSやドライパのディジタル署名を検証し,許可されていないものを実行しないようにすることによって, OS起動前のマルウェアの実行を防ぐ技術です。
(情報セキュリティマネ 平成30年秋午前 問17より)

新しい用語の問題6

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

TPM ( Trusted Platform Module:セキュリティチップ)

Ver.5.0
TPMは,IoT機器やPCに保管されているデータを暗号化するためのセキュリティチップです。

暗号化に利用する鍵などの情報をチップの内部に記憶しており,外部から内部の情報の取出しが困難な構造をしています。
(ITパスポート 令和元年秋 問73より)

新しい用語の問題6
スキマ時間問題5-3

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

PCI DSS

Ver.5.0
PCI DSSは,クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され,技術面及び運用面の要件を定めたものです。
(情報セキュリティマネ 令和元年秋午前 問27より

新しい用語の問題6

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

MACアドレスフィルタリング

Ver.6.0
MACアドレスフィルタリングは,無線LANのセキュリティにおいて,アクセスポイン卜がPCなどの端末からの接続要求を受け取ったときに,接続を要求してきた端末固有の情報を基に接続制限を行う仕組みです。

テクノロジ系情報セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

物理的なセキュリティ対策です。

クリアデスク・クリアスクリーン

Ver.4.0
クリアスクリーンは,離席する際に,パソコンの画面を第三者が見たり、操作できる状態で放置しないことです。

クリアデスクは,離席する際に,机の上に書類や記憶媒体などを放置しないことです。

出題された具体例:
帰宅時,書類やノートPCを机の上に出したままにせず,施錠できる机の引出しなどに保管する。
(情報セキュリティH28年春午前 問2より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

セキュリティケーブル

Ver.4.0
ノートPCの盗難を防止するために,机等とつなぐワイヤーです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

遠隔バックアップ

Ver.4.0
大規模災害によるデータ損失や災害復旧に備えて,重要なシステムやデータを遠隔地に複製することです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

暗号技術の用語です。

暗号化アルゴリズム

Ver.6.0
暗号化アルゴリズムは,暗号化を行う手順です。

WPA3などによる無線LAN の暗号化に使われています。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ハイブリッド暗号方式

Ver.4.0
公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって,鍵管理コストと処理性能の両立を図る暗号化方式
(情報セキュリティ 平成31年春 午前問28より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ディスク暗号化

Ver.4.0
情報漏えいを防ぐことが出来ます。
(基本情報技術者 平成26年秋午前 問38より)

ウイルス感染は防げません。
(ITパスポート 平成26年春 問82より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ファイル暗号化

Ver.4.0
情報漏えいを防ぐことが出来ます。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

認証技術の用語です。

タイムスタンプ(時刻認証)

Ver.4.0
タイムスタンプは,電子データが,ある日時に確かに存在していたこと,及びその日時以降に改ざんされていないことを証明します。

目的:ファイルの完全性 注)を確保するためです。

注)完全性:
正確かつ最新の状態であること

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

利用者認証技術の用語です。

多要素認証

Ver.4.0
次の例が試験に出ています。

①虹彩とパスワードで認証する。
(基本情報技術者 平成27年秋午前 問45より)

②ICカード認証と指紋認証で認証する。
(情報セキュリティ 平成28年春午前 問18より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SMS認証

Ver.5.0
SMS認証は,携帯電話宛てに送信されたSMSに記載のある確認コードを入力してログインする仕組みです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

静脈パターン認証

Ver.4.0
静脈パターン認証は,指静脈の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

虹彩認証

Ver.4.0
虹彩認証は,目の虹彩の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

声紋認証

Ver.4.0
声紋認証は,声紋の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

顔認証

Ver.4.0
顔認証は,顔の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

網膜認証

Ver.4.0
網膜認証は,目の網膜の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

本人拒否率(FRR)

Ver.4.0
FRR (False Rejection Rate)

本人拒否率は,認証しようとしている人が本人であるにもかかわらず、認証がエラー(Rejection=拒否)になる確率です。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

他人受入率(FAR)

Ver.4.0
FAR (False Acceptance Rate)

他人受入率は,認証しようとしている人が他人で認証(Acceptance=受け入れ)されてしまう確率です。

FRR(本人拒否率)と FAR(他人受入率)の関係が試験に出ています。

FRRを減少させると,FARは増大します。
(基本情報技術者 平成20年春午前 問64より)

FRRとFARは、シーソーのような関係(トレードオフの関係)です。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

公開鍵基盤の用語です。

お互いに関係するので,一緒に覚えましょう。

ルート証明書

Ver.5.0
ルート証明書は,ルート認証局が発行するディジタル証明書です。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

サーバ証明書

Ver.5.0
サーバ証明書は,認証局が発行します。

次の役割があります。

①SSL/TLSによる通信内容の暗号化を実現させるために用いる。
(ITパスポート 平成30年春 問57より)

②Webサイトの運営者・運営組織の実在証明する。

新しい用語の問題6

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

クライアント証明書

Ver.5.0
クライアント証明書は,システムのユーザのデバイスに証明書をインストールし、そのユーザが正規の利用者であることを認証するためのディジタル証明書です。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

CA(Certification Authority:認証局)

Ver.5.0
CAは,PKI(公開鍵基盤)において、利用者やサーバの公開鍵を証明するディジタル証明書を発行します。
(基本情報 平成28年秋午前 問39より)

新しい用語の問題6

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

CRL(Certificate Revocation List:証明書失効リスト)

Ver.5.0
CRLは,何らかの理由で有効期間中に失効したディジタル証明書の一覧を示すデータです。
(情報セキュリティマネ 平成29年春午前 問25より)

新しい用語の問題6

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

セキュリティ対策の考え方です。

セキュリティバイデザイン

Ver.5.0
セキュリティバイデザインは,システムの企画・設計段階からセキュリティを確保する方策のことです。
(基本情報 平成30年春午前 問42より)

新しい用語の問題6

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

プライバシーバイデザイン

Ver.5.0
プライバシーバイデザインは,システム開発の上流工程において,システム稼働後に発生する可能性がある個人情報の漏えいや目的外利用などのリスクに対する予防的な機能を検討し,その機能をシステムに組み込むものです。
(基本情報 令和元年秋午前 問64より)

新しい用語の問題6

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

アプリケーションソフトウェアのセキュリティ対策です。

クロスサイトスクリプティング対策

Ver.5.0
クロスサイトスクリプティングは,アンケート、掲示板のように、ユーザからの入力内容をウェブページに表示するウェブアプリケーションで、悪意を持ったスクリプト(命令)を埋め込まれてしまい、偽ページの表示などが可能になってしまうことです。

“スクリプト”=ウェブブラウザ上で実行される命令

クロスサイトスクリプティング対策として,Webページに入力されたデータの出力データが, HTMLタグとして解釈されないように処理します。
(応用情報 平成30年秋午前 問41より)

新しい用語の問題6

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SQLインジェクション対策

Ver.5.0
SQLインジェクション:ウェブアプリケーションへ宛てた要求に、悪意を持って細工されたSQL文を埋め込まれて(Injection)、データベースを不正に操作されてしまう問題です。

“SQL”=Structured Query Language

“インジェクション”=“挿入する(injection)”の意味

次のような被害があります。

  • Webサイトからのクレジットカード番号や個人情報の漏えい
  • ウイルス感染などを引き起こすウェブサイトの改ざん

SQLインジェクション対策として,次のような方法があります。

  • プレースフォルダを利用する。
  • データベースアクセス権限を必要最小限にする。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

IoTシステムのセキュリティ対策のガイドラインです。

IoTセキュリティガイドライン

Ver.4.0
IoTセキュリティガイドラインは,IoT 機器やシステム、サービスに対してリスクに応じた適切なサイバーセキュリティ対策を検討するための考え方です。

作成:経済産業省と総務省
対象:IoT 機器やシステム、サービスの供給者、利用者

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

コンシューマ向けIoT セキュリティガイド

Ver.4.0
コンシューマ向けIoT セキュリティガイドは,IoT利用者を守るために、IoT製品やシステム、サービスを提供する事業者が考慮しなければならない事柄をまとめたものです。

作成:日本ネットワークセキュリティ協会 (JNSA)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

まとめ

これまで,テクノロジ系「セキュリティ」について,出題傾向,学習ポイント,最新の重要な用語について解説しました。

まとめ

【出題傾向】
 これまでは,20問程度(テクノロジ系45問中)
 テクノロジ系の半分はセキュリティです!

【学習ポイント】

  • 情報セキュリティ
    →何に関する用語なのか整理して覚えましょう。
  • 情報セキュリティ管理
    →リスクマネジメントや情報セキュリティの要素など,それぞれセットで覚えましょう。
  • 情報セキュリティ対策・情報セキュリティ実装技術
    →対象は何か?,どんな脅威のための対策,どんな方法?などを確認しながら用語を覚えましょう。

【重要用語】
 新しい用語がたくさんあります。
 過去問題が少ないので,用語の学習が大切です。 

以上,テクノロジ系「セキュリティ」について解説しました。

コメント

タイトルとURLをコピーしました