ITパスポート/シラバス5.0 新しい用語と攻略ポイント~セキュリティ

セキュリティ分野 ITパスポート

シラバス5.0での「セキュリティ」分野の新しい用語と攻略を紹介します。

セキュリティ分野 重要度指数 660

シラバス5.0の新しい用語の中で、セキュリティ分野は、重要度指数 660で、ITパスポート全部分野で飛びぬけて高い値です。

重要度指数が高いことは、出題率が高く、新しい用語が多いことを意味しています。

令和元年秋、令和2年秋、令和3年春の平均出題数は、20問です。

そして、シラバス5.0の新しい用語は、全部で33語です。

(内訳)
 情報セキュリティ     14語
 情報セキュリティ管理    1語
 情報セキュリティ対策・
 情報セキュリティ実装技術 18語 

この分野から新しい用語が多く出やすいです。

セキュリティ分野を理解しないでは、合格はあり得ません。

デジ猫
デジ猫

しっかり覚えないと、いけないね。

「情報セキュリティ」の新しい用語

出題の考え方に変更はありません。
「脅威と脆弱性」の用語(1~3)と「攻撃手法」の用語(4~14)が追加になっています。

1盗聴 パスワードの盗聴対策:暗号化した通信でパスワードを送信する。
(ITパスポート 平成31年春 問59より)
無線LANの盗聴対策:セキュリティの設定で, WPA2を選択する。
(ITパスポート 平成27年春 問74より)
2ビジネスメール詐欺
(BEC)
巧妙なだましの手口を駆使し,取引先になりすまして偽の電子メールを送リ,金銭をだまし取る。
(情報セキュリティマネジメント 令和元年秋期午前 問1)
3ダークウェブアクセスに、匿名性の高い通信を担保する専用のツール(ブラウザ)が必要なサイト
ドラッグや武器、サイバー攻撃、個人情報等の違法商品を取引するための闇市場サイトの存在が大きく問題視されている。
4クロスサイトリクエストフォージェリ悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃
(情報セキュリティスペシャリスト 平成22年春期午前Ⅰ 問15より)
5クリックジャッキングWebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し,WebサイトA上の操作に見せかけて標的サイトB上で操作させる。
(情報セキュリティマネジメント 平成28年春午前 問22より)
6ディレクトリトラバーサル攻撃者が,パス名を使ってフ ァイルを指定し,管理者の意図していないファイ ルを不正に閲覧する。
(情報セキュリティマネジメント 平成29年春午前 問23より)
7中間者
(Man-in-the-middle)攻撃
ディジタル証明書を使わずに,通信者同士が,通信によって交換する公開鍵を用いて行う暗号化通信において,通信内容を横取りする目的で当事者になりすます攻撃
(情報セキュリティスペシャリスト 平成22年春午前Ⅱ 問13より)
8MITB
(Man-in-the-browser)攻撃
PCに侵入したマルウエアが,利用者のインターネットバンキングへのログインを検知して, Webブラウザから送信される振込先などのデータを改ざんする攻撃。
(応用情報技術者 平成28年春午前 問45より)
9第三者中継本来の利用者でない外部の利用者が、メール送信サーバ(SMTPサーバ)を使ってメールを送信すること。また、外部の利用者が、送信先メールアドレスを自由に指定できてしまう設定になっていること。
迷惑メールやウイルス等を送信する際に身元を隠すために使用される。
10IP スプーフィング偽の送信元IPアドレスをもったパケットを送ること
(ITパスポート 平成27年秋 問81より)
11セッションハイジャックサーパとクライアント聞の正規のセッションに割り込んで,正規のクライアントに成りすますことで,サーバ内のデータを盗み出す。
(ITパスポート 平成24年春 問77より)
12クリプトジャッキング暗号資産(仮想通貨)を入手するためのマイニングと呼ばれる作業を,他人のコンビュータを使って気付かれないように行うこと
(ITパスポート 令和2年秋 問60より)
13攻撃の準備ポートスキャンなどがある。
14ポートスキャン 事前調査の段階で,攻撃できそうなサービスがあるかどうかを調査する。
(情報セキュリティマネジメント 平成28年春午前 問29より)
デジ猫
デジ猫

新しい「脅威と脆弱性」「攻撃手法」覚えなきゃ!

「情報セキュリティ管理」の新しい用語

中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度が追加になりました。

1SECURITY ACTION      中小企業の情報セキュリティ対策普及の加速化に向けて,情報セキュリティ対策に取り組むことを自己宣言する制度
 (ITパスポート 令和3年春 問79より)

「情報セキュリティ対策・情報セキュリティ実装技術」の新しい用語

出題の考え方に変更はありません。
主な特徴は、以下の用語が追加になったことです。
①技術的セキュリティ対策の用語(2~8)
②公開鍵基盤の用語(10~14)
③アプリケーションセキュリティの対策の種類,特徴の用語(17~18)

1情報セキュリティ訓練(標的型メールに関する訓練ほか)
2WAF(Web Application Firewall )Webアプリケーションへの攻撃を検知し,阻止する。
(応用情報技術者 平成31年春午前 問45より)
3IDS ( Intrusion Detection System : 侵入検知システム)サーバやネットワークを監視し,侵入や侵害を検知した場合に管理者へ通知する。
(基本情報技術者 平成30年秋午前 問42より)
4IPS( Intrusion Prevention System
: 侵入防止システム)
サーバやネットワークへの侵入を防ぐために,不正な通信を検知して遮断する装置
(情報セキュリティマネジメント 平成31年春午前 問15より)
5SIEM(Security Information and Event Management)様々な機器から集められたログを総合的に分析し,管理者による分析と対応を支援する。
(基本情報技術者 令和元年秋期午前 問43より)
複数のサーバやネットワーク機器のログを収集分析し,不審なアクセスを検知する。
(応用情報技術者 平成29年秋 午前問38より)
6セキュアブートPCの起動時にOSやドライパのディジタル署名を検証し,許可されていないものを実行しないようにすることによって, OS起動前のマルウェアの実行を防ぐ技術
(情報セキュリティマネジメント 平成30年秋午前 問17より)
7TPM ( Trusted Platform Module:
セキュリティチップ)
IoT機器やPCに保管されているデータを暗号化するためのセキュリティチップ
暗号化に利用する鍵などの情報をチップの内部に記憶しており,外部から内部の情報の取出しが困難な構造をもつ

(ITパスポート 令和元年秋 問73より)
8PCI DSSクレジットカードなどのカード会員データのセキュリティ強化を目的として制定され,技術面及び運用面の要件を定めたもの
(情報セキュリティマネジメント 令和元年秋午前 問27より)
9SMS 認証携帯電話宛てに送信されたSMSに記載のある確認コードを入力してログインする仕組み
10ルート証明書ルート認証局が発行するディジタル証明書
11サーバ証明書認証局が発行する。
役割
①SSL/TLSによる通信内容の暗号化を実現させるために用いる
(ITパスポート 平成30年春 問57より)
②Webサイトの運営者・運営組織の実在証明する。
12クライアント証明書システムのユーザのデバイスに証明書をインストールし、そのユーザが正規の利用者であることを認証するためのディジタル証明書
13CA(Certification Authority:認証局)PKI(公開鍵基盤)において、利用者やサーバの公開鍵を証明するディジタル証明書を発行する。
(基本情報技術者 平成28年秋午前 問39より)
14CRL(Certificate Revocation List:
証明書失効リスト)
何らかの理由で有効期間中に失効したディジタル証明書の一覧を示すデータ
(情報セキュリティマネジメント 平成29年春午前 問25より)
15セキュリティバイデザインシステムの企画・設計段階からセキュリティを確保する方策のこと
(基本情報技術者 平成30年春午前 問42より)
16プライバシーバイデザインシステム開発の上流工程において,システム稼働後に発生する可能性がある個人情報の漏えいや目的外利用などのリスクに対する予防的な機能を検討し,その機能をシステムに組み込むもの
(基本情報技術者 令和元年秋午前 問64より)
17クロスサイトスクリプティング対策“スクリプト”=ウェブブラウザ上で実行される命令
アンケート、掲示板のように、ユーザからの入力内容をウェブページに表示するウェブアプリケーションで、悪意を持ったスクリプト(命令)を埋め込まれてしまい、偽ページの表示などが可能になってしまうこと
対策:Webページに入力されたデータの出力データが, HTMLタグとして解釈されないように処理する。

(応用情報技術者 平成30年秋午前 問41より)
18SQL インジェクション対策“SQL”=Structured Query Language
“インジェクション”=“挿入する(injection)”の意味
SQLインジェクション:ウェブアプリケーションへ宛てた要求に、悪意を持って細工されたSQL文を埋め込まれて(Injection)、データベースを不正に操作されてしまう問題
被害:秘密情報、個人情報等の漏えい
    重要情報の改ざん、破壊
デジ猫
デジ猫

ポイントはセキュリティ対策公開鍵基盤のしくみだね。

攻略ポイント

他の脅威、攻撃手法との違いを確認する。

セキュリティ分野では、下に示すような問題が出ています。
脅威、脆弱性、攻撃手法の名称だけを覚えておくだけでは、正解を得られません。
シラバスに追加になった各脅威、漸弱性、攻撃手法について、従来からシラバスにあったものとの違いを覚えましょう。
視点としては、対象や方法に視点を置くと覚えやすいです。

ITパスポート 令和2年秋 問58

受信した電子メールに添付されていた文書ファイルを聞いたところ, PCの挙動がおかしくなった。疑われる攻撃として,適切なものはどれか。

ア SOLインジェクション
イ クロスサイトスクリプティング
ウ ショルダーハッキング
エ マクロウイルス

                                    

正解  エ

デジ猫
デジ猫

違いが大切!

他の試験区分の情報処理試験の問題で演習する。

例えば「クロスサイトスクリプティング対策」があります。
ITパスポート試験の過去問題(公開問題)には、出題がありません。
しかし、情報セキュリティスペシャリスト試験では、 平成27年秋期 午前Ⅱ問12に出題されています。

情報セキュリティスペシャリスト試験 平成27年秋期 午前Ⅱ問12

クロスサイトスクリプティングによる攻撃を防止する対策はどれか。

ア WebサーバにSNMPエージェントを常駐稼働させ, Webサーバの負荷状態を監視する。
イ WebサーバのOSのセキュリティパッチについて,常に最新のものを適用する。
ウ Webサイトへのデータ入力について,許容範囲を超えた大きさのデータの書込みを禁止する。
エ Webサイトへの入力データを表示するときに, HTMLで特別な意味をもっ文字のエスケープ処理を行う。                                     

正解 エ

このように、他の試験区分の問題を使って、新しい用語の問題演習できます。

用語を暗記しても、実際に問題を解いたことがあるかないかでは、大きな差が出るものです。

デジ猫
デジ猫

セキュリティの新しい用語の問題が下の記事にあるよ。

まとめ

シラバス5.0での「セキュリティ」分野の新しい用語と攻略ポイントを紹介しました。
主な内容は、以下の通りです。

新しい用語

情報セキュリティ   14語
情報セキュリティ管理  1語
情報セキュリティ対策・情報セキュリティ実装技術  18語 
        合計 33

注意すべきポイント

この分野から新しい用語が出やすい。早めに取り掛かる。
他の脅威、攻撃手法との違いを確認する。
他の試験区分の情報処理試験の問題で演習する。

以上、セキュリティのシラバス5.0新しい用語と攻略ポイントでした。

他の項目のシラバス5.0の新しい用語については、こちらからが便利です。

デジ猫
デジ猫

項目別に重要度を比較できるよ!

あなたの今のやり方より、もっと効率がいい方法があるかもしれません。

下の記事で、確かめてみませんか?

コメント

タイトルとURLをコピーしました