ITパスポート/シラバス5.0 新しい用語と攻略ポイント~セキュリティ

セキュリティ用語説明

ITパスポート試験 テクノロジ系 セキュリティ について,シラバス5.0の新しい用語と攻略ポイントを紹介します。

セキュリティは,出題数が多い分野です。

アルファベットやカタカナの覚えにくい用語が増えました。

学習は早めに取り掛かるべきです。

出題傾向

「セキュリティ」全体についての攻略ポイント

ポイント

よく出る分野で,しかも,新しい用語も多いので,早めに学習に取り掛かる。

「セキュリティ」分野は、新しい用語が極めてたくさんあります。全部で33語です。

(内訳)
 情報セキュリティ14語
 情報セキュリティ 1語
 情報セキュリティ対策・情報セキュリティ実装技術18語 

デジ猫
デジ猫

セキュリティって重要なんだね。

ポイント

それぞれの用語の違いを覚える。

試験で大切なのは、”4つの選択肢の中から一つ選べること”です。

用語説明を暗記しようとするより,それぞれの用語の違いを覚える努力の方が効果的です。

例えば,次のような問題では,対象や方法を覚えておくと答えられます。

受信した電子メールに添付されていた文書ファイルを聞いたところ, PCの挙動がおかしくなった。疑われる攻撃として,適切なものはどれか。

ア SOLインジェクション
イ クロスサイトスクリプティング
ウ ショルダーハッキング
エ マクロウイルス

(ITパスポート 令和2年秋 問56)

ア SOLインジェクションの対象は、データベース
イ クロスサイトスクリプティングの対象は、ウェブブラウザ
ウ ショルダーハッキングの対象は、人
エ マクロウイルスの対象・方法は、電子メール

”電子メールに添付されていた文書ファイルを聞いた”ことで起きたので,正解は エ です。

「情報セキュリティ」の新しい用語と攻略ポイント

次の視点で用語の説明を見ると覚えやすく,また,得点につながり易いです。

用語を覚えるポイント

・どんな脅威(問題が起こる)か?

・どんな脆弱性(弱点)をついた攻撃か?

・どのように攻撃するか?

盗聴

Ver.5.0
盗聴対策は,対象によって異なります。
パスワードの盗聴対策:暗号化した通信でパスワードを送信する。
(ITパスポート 平成31年春 問59より)
無線LANの盗聴対策:セキュリティの設定で, WPA2を選択する。
(ITパスポート 平成27年春 問74より)

新しい用語の問題4
新しい用語の問題9

テクノロジ系セキュリティ61.情報セキュリティ

ビジネスメール詐欺(BEC)

Ver.5.0
巧妙なだましの手口を駆使し,取引先になりすまして偽の電子メールを送リ,金銭をだまし取る。
(情報セキュリティマネ 令和元年秋期午前 問1)

新しい用語の問題4

テクノロジ系セキュリティ61.情報セキュリティ

ダークウェブ

Ver.5.0
アクセスに、匿名性の高い通信を担保する専用のツール(ブラウザ)が必要なサイト
ドラッグや武器、サイバー攻撃、個人情報等の違法商品を取引するための闇市場サイトの存在が大きく問題視されている。

テクノロジ系セキュリティ61.情報セキュリティ

クロスサイトリクエストフォージェリ

Ver.5.0
悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃
(情報セキュリティスペ 平成22年春期午前Ⅰ 問15より)

テクノロジ系セキュリティ61.情報セキュリティ

クリックジャッキング

Ver.5.0
WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し,WebサイトA上の操作に見せかけて標的サイトB上で操作させる。
(情報セキュリティマネ 平成28年春午前 問22より)

新しい用語の問題5

テクノロジ系セキュリティ61.情報セキュリティ

ディレクトリトラバーサル

Ver.5.0
攻撃者が,パス名を使ってフ ァイルを指定し,管理者の意図していないファイ ルを不正に閲覧する。
(情報セキュリティマネ 平成29年春午前 問23より)

新しい用語の問題5

テクノロジ系セキュリティ61.情報セキュリティ

中間者(Man-in-the-middle)攻撃

Ver.5.0
ディジタル証明書を使わずに,通信者同士が,通信によって交換する公開鍵を用いて行う暗号化通信において,通信内容を横取りする目的で当事者になりすます攻撃
(情報セキュリティスペ 平成22年春午前Ⅱ 問13より)

テクノロジ系セキュリティ61.情報セキュリティ

MITB(Man-in-the-browser)攻撃

Ver.5.0
PCに侵入したマルウエアが,利用者のインターネットバンキングへのログインを検知して, Webブラウザから送信される振込先などのデータを改ざんする攻撃。
(応用情報 平成28年春午前 問45より)

新しい用語の問題5

テクノロジ系セキュリティ61.情報セキュリティ

第三者中継

Ver.5.0
本来の利用者でない外部の利用者が、メール送信サーバ(SMTPサーバ)を使ってメールを送信すること。また、外部の利用者が、送信先メールアドレスを自由に指定できてしまう設定になっていること。
迷惑メールやウイルス等を送信する際に身元を隠すために使用される。

テクノロジ系セキュリティ61.情報セキュリティ

IP スプーフィング

Ver.5.0
偽の送信元IPアドレスをもったパケットを送ること
(ITパスポート 平成27年秋 問81より)

新しい用語の問題5

テクノロジ系セキュリティ61.情報セキュリティ

セッションハイジャック

Ver.5.0
サーパとクライアント聞の正規のセッションに割り込んで,正規のクライアントに成りすますことで,サーバ内のデータを盗み出す。
(ITパスポート 平成24年春 問77より)

テクノロジ系セキュリティ61.情報セキュリティ

クリプトジャッキング

Ver.5.0
暗号資産(仮想通貨)を入手するためのマイニングと呼ばれる作業を,他人のコンビュータを使って気付かれないように行うこと
(ITパスポート 令和2年秋 問60より)

新しい用語の問題5

テクノロジ系セキュリティ61.情報セキュリティ

攻撃の準備

Ver.5.0
ポートスキャンなどがある。

ポートスキャン

Ver.5.0
事前調査の段階で,攻撃できそうなサービスがあるかどうかを調査する。
(情報セキュリティマネ 平成28年春午前 問29より)

新しい用語の問題5

テクノロジ系セキュリティ61.情報セキュリティ

デジねこ
デジねこ

つ,疲れたぁ

「情報セキュリティ管理」の新しい用語と攻略ポイント

シラバスには,情報セキュリティ組織・機関がたくさんあります。

次の視点で区別して覚えましょう。

用語を覚えるポイント

・なんのための制度,組織?

・対象?

・どんなことをする?

SECURITY ACTION

Ver.5.0
中小企業の情報セキュリティ対策普及の加速化に向けて,情報セキュリティ対策に取り組むことを自己宣言する制度
 (ITパスポート 令和3年春 問79より)

テクノロジ系セキュリティ62.情報セキュリティ管理

スキマ時間問題4-4
デジねこ
デジねこ

シラバス5の試験になった最初の試験に出たんだ。

「情報セキュリティ対策・情報セキュリティ実装技術」の新しい用語と攻略ポイント

とらねこさん
とらねこさん

実装って何?

簡単に言うと,”機能を組み込むこと”です。

用語を覚えるポイント

・対象?

・どんな脅威(こと)のための対策?(目的が大切!)

・どんなことをする?(方法)

出題の考え方に変更はありません。
主な特徴は、以下の用語が追加になったことです。
①技術的セキュリティ対策
②公開鍵基盤
③アプリケーションセキュリティの対策の種類,特徴

情報セキュリティ訓練(標的型メールに関する訓練ほか)

Ver.5.0
サイバー攻撃に対する『防災訓練』
(目的)インシデントが発生した際の対応力を高める。
(標的型メールに関する訓練の例)
①対象の社員に訓練であることは伝えず、偽の標的型メールを送信する。
②どれだけ標的型メールを開いてしまったか、または、適切に対処できたかを測定する。
③結果を、今後のサイバーセキュリティ教育に活かす。

WAF(Web Application Firewall )

Ver.5.0
Webアプリケーションへの攻撃を検知し,阻止する。
(応用情報 平成31年春午前 問45より)

新しい用語の問題5

IDS ( Intrusion Detection System : 侵入検知システム)

Ver.5.0
サーバやネットワークを監視し,侵入や侵害を検知した場合に管理者へ通知する。
(基本情報 平成30年秋午前 問42より)

新しい用語の問題5

IPS( Intrusion Prevention System: 侵入防止システム)

Ver.5.0
サーバやネットワークへの侵入を防ぐために,不正な通信を検知して遮断する装置
(情報セキュリティマネ 平成31年春午前 問15より)

新しい用語の問題5

SIEM(Security Information and Event Management)

Ver.5.0
様々な機器から集められたログを総合的に分析し,管理者による分析と対応を支援する。
(基本情報技術者 令和元年秋期午前 問43より)
複数のサーバやネットワーク機器のログを収集分析し,不審なアクセスを検知する。
(応用情報 平成29年秋 午前問38より)

新しい用語の問題5

セキュアブート

Ver.5.0
PCの起動時にOSやドライパのディジタル署名を検証し,許可されていないものを実行しないようにすることによって, OS起動前のマルウェアの実行を防ぐ技術
(情報セキュリティマネ 平成30年秋午前 問17より)

新しい用語の問題6

TPM ( Trusted Platform Module:セキュリティチップ)

Ver.5.0
IoT機器やPCに保管されているデータを暗号化するためのセキュリティチップ
暗号化に利用する鍵などの情報をチップの内部に記憶しており,外部から内部の情報の取出しが困難な構造をもつ
(ITパスポート 令和元年秋 問73より)

新しい用語の問題6

PCI DSS

Ver.5.0
クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され,技術面及び運用面の要件を定めたもの
(情報セキュリティマネ 令和元年秋午前 問27より

新しい用語の問題6

SMS 認証

Ver.5.0
携帯電話宛てに送信されたSMSに記載のある確認コードを入力してログインする仕組み

ルート証明書

Ver.5.0
ルート認証局が発行するディジタル証明書

サーバ証明書

Ver.5.0
認証局が発行する。
役割
①SSL/TLSによる通信内容の暗号化を実現させるために用いる。
(ITパスポート 平成30年春 問57より)
②Webサイトの運営者・運営組織の実在証明する。

新しい用語の問題6

クライアント証明書

Ver.5.0
システムのユーザのデバイスに証明書をインストールし、そのユーザが正規の利用者であることを認証するためのディジタル証明書

CA(Certification Authority:認証局)

Ver.5.0
PKI(公開鍵基盤)において、利用者やサーバの公開鍵を証明するディジタル証明書を発行する。
(基本情報 平成28年秋午前 問39より)

新しい用語の問題6

CRL(Certificate Revocation List:証明書失効リスト)

Ver.5.0
何らかの理由で有効期間中に失効したディジタル証明書の一覧を示すデータ
(情報セキュリティマネ 平成29年春午前 問25より)

新しい用語の問題6

セキュリティバイデザイン

Ver.5.0
システムの企画・設計段階からセキュリティを確保する方策のこと
(基本情報 平成30年春午前 問42より)

新しい用語の問題6

プライバシーバイデザイン

Ver.5.0
システム開発の上流工程において,システム稼働後に発生する可能性がある個人情報の漏えいや目的外利用などのリスクに対する予防的な機能を検討し,その機能をシステムに組み込むもの
(基本情報 令和元年秋午前 問64より)

新しい用語の問題6

クロスサイトスクリプティング対策

Ver.5.0
“スクリプト”=ウェブブラウザ上で実行される命令
クロスサイトスクリプティング :アンケート、掲示板のように、ユーザからの入力内容をウェブページに表示するウェブアプリケーションで、悪意を持ったスクリプト(命令)を埋め込まれてしまい、偽ページの表示などが可能になってしまうこと
対策:Webページに入力されたデータの出力データが, HTMLタグとして解釈されないように処理する。
(応用情報 平成30年秋午前 問41より)

新しい用語の問題6

SQL インジェクション対策

Ver.5.0
“SQL”=Structured Query Language
“インジェクション”=“挿入する(injection)”の意味
SQLインジェクション:ウェブアプリケーションへ宛てた要求に、悪意を持って細工されたSQL文を埋め込まれて(Injection)、データベースを不正に操作されてしまう問題
被害:秘密情報、個人情報等の漏えい、重要情報の改ざん、破壊

以上,ITパスポート試験 テクノロジ系 セキュリティ について,シラバス5.0の新しい用語と攻略ポイント を説明しました。

他分野の新しい用語は、こちらから
重要度を比較できるので便利です。
次の取組み
ITパスポートテクノロジ系よく出る用語
 よく出る用
ITパスポートテクノロジ系基礎理論シラバス5の新しい用語
 次に重要度大

コメント

タイトルとURLをコピーしました