【新ITパスポート】シラバス5.0 新しい用語と注意ポイント(セキュリティ)

ITパスポート

シラバス5.0での「セキュリティ」分野の変更点と注意すべきポイントを紹介します。
また、シラバスから新しい用語を抜き出しました。
どんな用語が追加になったか確かめて、早めの対策が必要です。

デジ猫
デジ猫

先に、全体について下の記事を読んでからの方がわかるよ。

セキュリティ分野の概要

シラバス5.0追加用語数(テクノロジ系)

「セキュリティ」分野は、テクノロジ系で「基礎理論」に並んで新しい用語が極めてたくさんあります。全部で33語です。
(内訳)
 情報セキュリティ     14語
 情報セキュリティ管理    1語
 情報セキュリティ対策・
 情報セキュリティ実装技術 18語 

デジ猫
デジ猫

多いよね。

「情報セキュリティ」の新しい用語

出題の考え方に変更はありません。
「脅威と脆弱性」の用語(1~3)と「攻撃手法」の用語(4~14)が追加になっています。

1盗聴
2ビジネスメール詐欺(BEC)
3ダークウェブ
4クロスサイトリクエストフォージェリ
5クリックジャッキング
6ディレクトリトラバーサル
7中間者(Man-in-the-middle)攻撃
8MITB(Man-in-the-browser)攻撃
9第三者中継
10IP スプーフィング
11セッションハイジャック
12クリプトジャッキング
13攻撃の準備
14ポートスキャン                    
デジ猫
デジ猫

新しい「脅威と脆弱性」「攻撃手法」覚えなきゃ!

「情報セキュリティ管理」の新しい用語

中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度が追加になりました。

1SECURITY ACTION                  

「情報セキュリティ対策・情報セキュリティ実装技術」の新しい用語

出題の考え方に変更はありません。
主な特徴は、以下の用語が追加になったことです。
①技術的セキュリティ対策の用語(2~8)
②公開鍵基盤の用語(10~14)
③アプリケーションセキュリティの対策の種類,特徴の用語(17~18)

1情報セキュリティ訓練(標的型メールに関する訓練ほか)
2WAF(Web Application Firewall )
3IDS ( Intrusion Detection System : 侵入検知システム)
4IPS( Intrusion Prevention System : 侵入防止システム)
5SIEM(Security Information and Event Management)
6セキュアブート
7 TPM ( Trusted Platform Module:セキュリティチップ)
8PCI DSS
9SMS 認証
10ルート証明書
11サーバ証明書
12クライアント証明書
13CA(Certification Authority:認証局)
14CRL(Certificate Revocation List:証明書失効リスト)
15セキュリティバイデザイン
16プライバシーバイデザイン
17クロスサイトスクリプティング対策
18SQL インジェクション対策
デジ猫
デジ猫

ポイントはセキュリティ対策公開鍵基盤のしくみだね。

注意すべきポイント

この分野から新しい用語が出やすい。

直前2回(令和元年秋、令和2年秋)公開問題では、「セキュリティ」分野から平均19問も出題されています。
新しい用語が33語あることから、この分野から新しい用語が多く出ることが予想されます。

デジ猫
デジ猫

対策しないとやばいよ。

他の脅威、攻撃手法との違いを確認する。

セキュリティ分野では、下に示すような問題が出ています。
脅威、脆弱性、攻撃手法の名称だけを覚えておくだけでは、正解を得られません。
シラバスに追加になった各脅威、漸弱性、攻撃手法について、従来からシラバスにあったものとの違いを覚えましょう。
視点としては、対象や方法に視点を置くと覚えやすいです。

ITパスポート 令和2年秋 問58

受信した電子メールに添付されていた文書ファイルを聞いたところ, PCの挙動がおかしくなった。疑われる攻撃として,適切なものはどれか。

ア SOLインジェクション
イ クロスサイトスクリプティング
ウ ショルダーハッキング
エ マクロウイルス

                                    

正解  エ

デジ猫
デジ猫

違いが大切!

他の試験区分の情報処理試験の問題で演習する。

例えば「クロスサイトスクリプティング対策」があります。
ITパスポート試験の過去問題(公開問題)には、出題がありません。
しかし、情報セキュリティスペシャリスト試験では、 平成27年秋期 午前Ⅱ問12に出題されています。

情報セキュリティスペシャリスト試験 平成27年秋期 午前Ⅱ問12

クロスサイトスクリプティングによる攻撃を防止する対策はどれか。

ア WebサーバにSNMPエージェントを常駐稼働させ, Webサーバの負荷状態を監視する。
イ WebサーバのOSのセキュリティパッチについて,常に最新のものを適用する。
ウ Webサイトへのデータ入力について,許容範囲を超えた大きさのデータの書込みを禁止する。
エ Webサイトへの入力データを表示するときに, HTMLで特別な意味をもっ文字のエスケープ処理を行う。                                     

正解 エ

このように、他の試験区分の問題を使って、追加になった用語について問題演習することができます。
現在、みちともデジタルでは、問題の抽出作業を行っています。

デジ猫
デジ猫

セキュリティの参考問題が下の記事にあるよ。

まとめ

シラバス5.0での「セキュリティ」分野の新しい用語と注意すべきポイントを紹介しました。
主な内容は、以下の通りです。

新しい用語

情報セキュリティ   14語
情報セキュリティ管理  1語
情報セキュリティ対策・情報セキュリティ実装技術  18語 
        合計 33語

注意すべきポイント

この分野から新しい用語が出やすい。早めに取り掛かる。
他の脅威、攻撃手法との違いを確認する。
他の試験区分の情報処理試験の問題で演習する。

デジ猫
デジ猫

次回は、テクノロジ系「基礎理論」分野だよ。

コメント

タイトルとURLをコピーしました