情報セキュリティマネジメント(午前編)
4月 1日 @ 20:00 ~ 21:00 主催:めぐみ (hutegmin)
資料
スライド
音声
https://drive.google.com/open?id=1bN1EhXKJQ3d5o88xF19VoLyzxsU8pYPO
講演
セキュリティマネジメント試験に向けて、とりあえず買った/読んだ本
- 『短集中!情報セキュリティマネジメント試験』『情報セキュリティマネジメント試験対策テキスト&過去問題集平成29年度』FOM出版(当時100円)
- 内閣サイバーセキュリティーセンター(2017)『情報セキュリティハンドブック』→用語集良い
- 沢渡あまね・山田達司(2016)『新入社員と学ぶオフィスの情報セキュリティ入門』シーアンドアール研究所 →セキュリティが身近に感じられる
公式の情報
-
IPA 独立行政法人 情報処理推進機構:過去問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html -
IPA 独立行政法人 情報処理推進機構:試験要綱・シラバス など
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_hanni_skill.html -
過去問は平成28(2016)年春期秋期と平成29年(2017)年春期秋期の4回分
勉強してみた(過去問といてみた)
- しかし…カタカナ語アレルギーすぎて全然言葉が入ってこない…
- 丸暗記になるのは良くないし言葉を知っておこう
- 今回は午前問題に出てくるカタカナ語と略語を解説します
- 略語は参考書や問題集並びに過去問題でも
()
で書かれているので省略。
略語、書いてくれているが…カタカナ語の語源が書いてくれてない!頭に入らない!
攻撃シリーズ
-
クラッカー cracker 破壊する人
-
スクリプトキディ scriptkiddy プログラム言語+幼い子ども
-
マルウェア mal (soft)ware悪質なソフトウェア
-
ワーム worm 這い回る虫→自己増殖する、広義のウイルス
-
ボット robot
-
ボットハーダー bot herder robot+牛羊飼い
-
ボットネット robot network
-
スパイウェア spy software
感染した時に勝手に情報を収集する「スパイ」のため、そのまま。 -
アドウェア advertisement software
advertisement = 広告。
無償でつけとくけど・・・という感じ。 -
ランサムウェア ransomware ransom + ware : ransomは身代金の意
パソコンを使えなくして、その復旧の代金、つまり身代金としてお金を要求する。 -
キーロガー key logger
-
ルートキット root kit 管理者権限+プログラム集
-
ブルートフォース攻撃 brute force
フォース自体が攻撃なんだが・・・
総当たり攻撃のこと。全部何かしら試せばいけるやん!という攻撃。 -
フットプリンティング foot printing
-
スニッフィング sniffering においを嗅ぐ
-
バックドア back door 裏口
一度侵入したシステムに、次回以降平易に侵入可能なように裏口を作成しておく -
ウォードライビング War Driving 自動車で探し回る
-
テンペスト Transient Electromagnetic Pulse Surveiliance Technology
電磁気をつかって情報を盗み取る -
サイドチャネル side channel 副+経路
-
MITM man in the middle
中間者攻撃 -
IPスプーフィング IP spoofingなりすまし 送信元のIPアドレスを偽装する攻撃、自身を偽装するこでpingをブロードキャストして 偽装したIPアドレス宛に応答の通信を発生させるDoS攻撃などが存在する。
-
セッションハイジャック Session hijacking
-
リプレイ攻撃 replay
-
DoS攻撃 Denial Of Service サービス妨害攻撃 サービスを妨害するというものであり、必ずしも過負荷を与える攻撃をさすものではない。
-
DDoS攻撃 Distributed Denial of Service
-
メールボム mail bomb 爆弾
-
フィッシング fishing →phishing
-
ファーミング farming →pharming
-
クリックジャッキング click jacking 持ち上げ
-
Webビーコン Web beacon 標識
-
ドライブバイダウンロード Drive-by Download
-
スミッシング SMSphishing
-
SEO ポイズニング SEO poisoning Search Engine Optimization poisoning
-
クロスサイトスクリプティング Cross Site scripting (XSS) Webブラウザ上
-
クロスサイトリクエストフォージェリ Cross Site Request forgery(CSRF)Webサイト/サーバー上
-
SQLインジェクション SQL injection
-
ディレクトリトラバーサル directory traversal(横断)
-
サニタイジング sanitize無害化
-
DNSキャッシュポイズニング DNS cache(一時保管) poisoning
-
ショルダーハッキング shoulder hacking 肩越しに情報を盗み見る攻撃、ディスプレイを盗み見るなどして情報を窃取する攻撃 対策としてはスクリーンフィルターなどが考えられる。
-
スキャベンジング scavenging ごみあさり scavenge:ゴミ箱の中から集めるの意
-
ゼロデイ攻撃 ZeroDay 0日目 脆弱性情報が発表された直後にその攻撃手法を利用して攻撃をすること 対策を行うにしても企業側としては、検討時間などがありその間隙を縫った攻撃
-
バッファオーバフロー buffer緩衝 overflowあふれ
セキュリティ対策シリーズ
- ステガノグラフィ steganos graphein 覆われた 書く
- ディジタルフォレンジックス digital forensics 捜査鑑識
- ビヘイビア法 behavior 振る舞いによって悪性のある通信か検出する方法
- ハニーポット honey pot
- サンドボックス sandbox
- ファイアウォール firewall 防火壁
- パケット packet 小包
- ルータ route er
- DMZ DeMilitarized Zone (非武装地帯)
- 耐タンパ性 tamper(改ざんする) resistant(抵抗力のある 耐える)
- SSLアクセラレータ SSL accelerator(加速する)
- プロキシサーバ proxy(代理) server(提供者)
システムシリーズ
- シンクライアント thin client うすい よわい
- ピアツーピア peer to peer 対等なものから対等なものへ
- フォールトアボイダンス fault avoidance 故障 回避
- フォールトトレラント fault tolerant 故障 抵抗力のある
- フェールセーフ fail safe 障害 安全
- フェールソフト fail soft 障害 やわらかい
- フールプルーフ foolproof 誰にでも使える
参加者の声
- セキュリティスペシャリストの試験の、維持費は高い
- scriptkiddyのscriptはプログラミング言語のほか、台本という意味もあって 台本通りのことしかできない無能野郎みたいな意味になることもある
- スクリプトキディ=パクリ野郎
- kiddyは子供のほかレベルの低いやつって意味もあります
- マルウェアのマル(mal)は以下のこと
mal - 接頭語 悪/不全/異常 malnutrition : 栄養不良 maladjusted : 環境に適応できない
- bruteには獣みたいな意味があって物理で殴るって感じです。