20200825/20200827/20200902
花了三天时间做了三套过去问
然后把AM的题目要点整理了一下
算是2020年情報セキュリティマネジメント 秋試験向け的把
不知道csdn上有没有一起考试的小伙伴,算是我的一点点公开笔记吧☺️
情報セキュリティマネジメント
H30 秋
H31 春
R1秋
JIS Q 27000:2014
情報セキュリティマネジメントシステムー用語
トップマネジメント:組織を指揮し、管理する人々の集まりとして複数名で構成されていてもいい
リスク分析:リスクの特性を理解し、リスクレベルを決定するプロセス
リスク所有者:リスク運用管理のアカウンタビリティ及び権限をもつ人または主体のこと
リスクレベル:結果とその起こりやすさの組み合わせとして表現されるリスクの大きさ
⇒JIS Q 27000:2019
是正処置:不適合が発生した場合にその原因を除去し、再発を防止するためのものとして定義されている
JIS Q 27001:2014
情報セキュリティマネジメントシステムー要求事項
マネジメントレビューで考慮すべき事項 前回までのマネジメントレビューの結果とった処置の状況内部監査の結果発生した不適合及び是正処置の状況情報セキュリティ目的を達成するための計画 実施事項責任者達成期限必要な資源結果の評価方法リスクを受容するプロセス リスク所有者の承認が求められる。適用宣言書の作成 付属書Aと比べた結果を元に、適用宣言書を作成する。ISMS内部監査を行った結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきもの:リスクアセスメントを実施した後に、リスク受容基準を決めた。JIS Q 27002:2014
情報セキュリティ管理策の実践のための規範
サポートユーティリティ:サーバ室の空調
JIS Q 27017:2016⇒
2016よりクラウドサービス固有の情報セキュリティ管理策が添加された。 管理策及び実施の手引きの適用に関して:外部のクラウドサービスを利用する事業者と、クラウドサービスを他者に提供する事業者とのどちらにも適用できるJIS Q 27014:2015
情報セキュリティガバナンス
情報セキュリティガバナンスの範囲はITガバナンスの範囲と重複する場合があります。
組織
内閣:セキュリティ基本法において定められたサイバーセキュリティ戦略本部機関
JPCERT/CC
CSIRTマテリアル:JPCERT/CC が組織的なインシデント対応体制の構築や運用を支援する目的に作成したもの
CSIRTガイド⇒その他のcsirtのインシデント対応中で、CSIRT間の情報連携、調整を行う。
CRYPTRECの役割:電子政府での利用を推奨する暗号技術の安全性を評価、監視する。
J-CSIP:IPAが情報ハブになってサイバー攻撃などの情報を集約し、参加組織間で共有する取り組み。
IPA
組織における内部不正防止ガイドライン:退職関際に重要情報の不正な持ち出しが行われやすいので、重要情報へのアクセスや媒体の持ち出しの監視を強化する
IPAの中小企業の情報セキュリティ対策ガイドライン
情報セキュリティポリシー⇒基本方針、対策基準、実施手順から成る。 組織の規模が小さい場合は、対策基準と実施基準をあわせて1階層年、基本方針を含めて2階層の文書構造として策定してもいい。 SECURITY ACTION:IPAの中小企業の情報セキュリティ対策ガイドラインに沿った情報セキュリティ対策に取り組むこと経営者が発揮すべきリーダーシップ:①情報セキュリティ対策の有効性を維持するために、対策を定期または随時に見直す。②情報セキュリティ対策を組織的に実施する意思を明確に示すために、方針を定める。③情報セキュリティの新たな脅威に備えるために最新動向を収集する。金融庁
財務報告にかかわる内部統制の評価及び監査に関する実施基準におけるITの統制目標の一つである信頼性とは:情報が組織の意思、意図に沿って承認され、漏れなく正確に記録・処理されること
信頼性設計
フェールセーフ:システムの一部が故障しても、危険が生じないような構造やし組みを導入する設計のこと
データベースのログを取得目的:問題のあるデータベース操作を事後に調査する
外部委託管理の監査:請負契約の場合、アクセス管理が妥当かどうかを委託側が監査できるように定める。
割れ窓理論:軽微な不正や犯罪を放置することによって、大きなミスを誘導される理論
情報管理ラベル付け:持ち出し禁止、知らなかったという言い訳をさせないために
不正アクセス禁止法:助長する行為⇒正当な理由なく他人の利用者IDとpWを第三者に提供する
電子署名法:民事訴訟法における押印と同様な効力がみどめられる。
著作権:⇒フリーウェアとして公開した場合、守られない
⇒特定の分野のWEBページのURL集は守られる。
公開鍵認証方式:サーバの公開鍵⇒クライアントの秘密鍵
デジタル署名:秘密鍵⇒デジタル署名の作成に用いる鍵
公開鍵⇒デジタル署名の検証に用いる鍵
AES暗号化アルゴリズム:共通鍵(暗号化キーと複合化キーは同じ鍵)
ハッシュ関数SHA-256:暗号後同じハッシュ値=暗号前は同じ内容
共通鍵:対称キー、暗号化キーと複合化キーは同じ鍵
公開鍵:非対称キー、暗号化キーと複合化キーは違う鍵
⇒鍵が多くなり、管理が複雑になる
⇒複号キーを公開しない、公開キーを公開する
公開鍵証明書の有効期間:取得日⇒検証日までの間
楕円曲線暗号の特徴:RSA暗号と比べて、短い鍵長で同じレベルの安全性が実現
ハイブリッド暗号方式の特徴:公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって鍵管理コストと処理性能の両立を図る
DMZ上にVDIサーバを利用目的:内部ネットワークのPCへのマルウェアのダウンロードを防ぐ
S/MIMEの利用目的:
送信したメールの内容が署名されている、第三者による改ざんは無いことを確認できる第三者に不正閲覧されないように利用できるトークンの利用目的:マルウェア感染による秘密鍵の漏洩リスクを減低するため
DNS:通信相手のIPアドレスを問い合わせる仕組み
SPFの利用目的:メール送信者のドメインの成りすましを検知する
XML署名の特徴:文書全体に対する単一の署名だけではなく、一部に対する署名、もしくは多重署名など複雑な用件に対応できる
MITB攻撃の対策として用いられるトランザクション書名:マルウェアの影響が及ばないハードウェアトークンで生成したワンタイムパスワードを認証情報として使用する方法で、増加するMITB(Man-in-the-Browser)の被害を防止するために効果的です。⇒他のデバイスで認証情報を生成すること
デジタル署名の目的:改ざんを利用者が検知できるようにする
メッセージ承認符号の利用目的:内容が改ざんされているかを確認
メッセージ承認符号:改ざんされないように、メッセージからブロック暗号を用いて生成することができる
IPS:サーバやネットワークへの侵入を防ぐために、不正な通信を検知して遮断する装置
WEBサーバの検査におけるポートスキャナの利用目的:WEBサーバで稼動しているサービスをあげて、不要なサービスが稼動しているかを確認
カードセキュリティコード(クレカの裏面の三桁の数字)の取り扱い:保管しないこと
★PCI DSS(午後問題にも出た):クレカなどの会員データのセキュリティ強化を目的として設定され、技術面及び運用面の要件を定めたもの。
アンチパスバック:入室しないと退室できない、退室しないと入室できない
セキュアブート:PCの起動時にOSやドライバのディジタル署名を検証し、強化されていないものを実行しないようにすることによって、OS起動前のマルウェアの実行を防ぐ技術。
CVSS(共通脆弱性評価システム)の特徴:情報システムの脆弱性の深刻度に対するオープンで
ディジタルディバイド:数字鸿沟⇒IT知識を従業員に教育するしかない
バックドア:アクセスする際にパスワード認証などの正規の手続きが必要なWEBサイトに、当該続きを経由せずにアクセス可能なURL
DNSキャッシュボイズニング:PCが問合せを行うDNSキャッシュサーバに偽のDNS応答を送ることによって、偽のドメイン情報を注入する
CAPTCHAの利用目的:アクセスした者に応答を求め、人であるかを検知する仕組み
WAP2-PSKの利用目的:無線LANを利用できるものを限定する、第三者のアクセスを防止するように十分に共有鍵を事前に設定する
WAP3:無線LANのセキュリティ規格
ペネトレーションテスト:公開WEBサーバや組織のネットワークの脆弱性を検索し、サーバに実際に進入できるるかどうかを確認する。
リスクファイナンシング:システム被害のリスクを想定し、保険を掛けること
リスクのベース認証:利用者のIPアドレスの環境を分析し、いつもと異なるネットワークからのアクセスに対して追加の認証を行う。
情報資産管理の台帳記入方法:クラウドサービスに保存している情報資産を含める。
IPマスカレード:社内PCのプライベートPCアドレスを隠す。流れ⇒パケット中にある社内PCのプライベートIPアドレスとポート番号の組み合わせを、FWのインターネット側のIPアドレスとポート番号の組み合わせに変更する。
WEBシステムの性能指標の中の応答時間:WEBブラウザに表示された問合せボタンが押されてから、WEBブラウザが結果を表示し始めるまでの時間。
ボリュームライセンス契約:企業などソフトウェアの大量購入者向けに、インストールできる台数をあらかじめ取り決め、マスタが提供される契約。
マルウェア Wanna CRYPTOR:SMBvlの脆弱性を悪用するなどで、PC内のデータを暗号化し、金銭を要求する、または他のPCを感染する
マルウェアの動的解析:検体をサンドボックス上で実行し、その動作や外部との通信を観察する。
マルウェアがTCPポート番号80を利用する理由:Webサイトの閲覧に使用されることから,通信がファイアウォールで許可されている可能性が高い。
IoT機器でTCPポート番号23への攻撃が多い理由:操作用プロトコルのため、初期パスワードをつかって不正ログインが容易に成功し、不正操作ができることが多い。
ハニーポット:意図的に脆弱性をもたせたシステム・ネットワーク
クライアントサーバシステムの特徴:クライアントとサーバが協調し、目的の処理をすいこうする分散処理形態であり、サービスという概念で機能を分割し、サーバがサービスを提供する。
C&C(コマンド&コントロール)サーバの役割:攻撃者がマルウェアに対して指令となるコマンドを送信し、マルウェアが仕掛けられたコンピュータの動作を制御するために用いられる外部の指令サーバです。(指令を出すためのサーバ)
C&C(コマンド&コントロール)サーバの役割:侵入して乗っ取ったPCに対して、他のPCへ攻撃したり、不正な操作をして、外部から命令をだしたり応答を受け取ったりする。
ブラックリスト:同じデータパターンを定義し、遮断する。
ホワイトリスト:入れたパターンのみ通信を許可する。
排他制御:二つの異なるトランザクションの更新と参照の結果を矛盾させないようにする機能
データベースのトランザクション:複数のトランザクション間でデッドロックが発生したので、トランザクションをロールバックする機能
WAFにおけるフォールスポジティブ:悪意のある通信を正常な通信とみせかけ、HTTPリクエストを分割して送信されたとき、WAFが遮断しない。
SMTP:送信プロトコル
IMAP4:受信プロトコル
NTP:(UDPポート番号123)時刻同期プロトコル
SSH:リモートログインやリモートファイルコピーのセキュリティを強化したプロとコル、及びそのプルトコルを実装したコマンド
ボート番号:TCPやUDPにおいてアプリケーションを識別する情報
シャドーIT:許可を得ずに、従業員が利用するデバイスやクラウドサービス
シャドーIT:会社の情報システム部門の許可を得ずに個人ディバイスを業務に持ち込み、使用すること。
BYOD:従業員が個人のデバイスを利用すること。
ステガノグラフィ:画像などのデータの中に、秘密にしたい情報を他者に気付かれること無く埋め込む。
ステガノグラフィ:伝達したいメッセージを画像データなどのコンテンツに埋め込み、埋め込んだメッセージの存在を隠す技術のこと。
SLA:維持するべき側はサービス提供者である。
エスカレーション:段階的取り扱い
データサイエンティストの役割:情報科学についての知識を有し、ビジネス課題を解決するためにビッグデータを意味する形で使えるように分析システムを実装・運用し、課題の解決を支援する。
WBSの目的:作業を階層的に詳しくすることで、管理可能な大きさに細分化する
要件定義:システムに係わり合いをもつ利害関係の種類を識別し、利害関係のニーズ及び要望並びに課せられる制約条件を識別する。
リーダシップスタイル:仕事本位×人間関係本位
BEC:取引先になりすまして偽の電子メールを送り、金銭を騙し取る。
攻撃
パスワードリスト攻撃:他のサービスから流出した認証情報を用いて、複数のサービスでログインを試みる
リバースブルートフォース攻撃:パスワードを1つ選び、利用者IDとして次々に総当りにログインを試行する。
ランダムサブドメイン攻撃:オープンリゾルバが応答すると、管理用DNSサーバに対して負荷がかかる。
ソーシャルエンジニアリング攻撃:人間の脆弱性を狙う、盗聴など、ごみから拾う、なりすましなど
総当り攻撃:サーバに大量なデータを送ったり、負荷をかける
レインボー攻撃:ハッシュ値からパスワードを特定するための逆引き表を用いて、パスワードを高速に解読する手法です。
ゼロディ攻撃:パッチが提供される前の脆弱性をあくようして攻撃すること。
Edos攻撃:従量課金制のクラウドサービスに置けて、クラウドサービス利用者の経済的な損失を目的に、リソースを大量消費させる攻撃のこと
