情報処理安全確保支援士 用語調べ

ここでは、情報処理安全確保支援士の午後問題について、わからなかった単語、ド忘れてしていた単語などを含め用語解説等整理するページです(完全に個人の備忘用)。

こんなこともわからなかったのか!と思われても、ありのまま書きます。

 

CRTM(Core Root of Trust for Measurement)

BIOSの中で最初に起動する起動コードのこと。このCRTMが改竄されると困るので、CRTMは物理的な書き込み保護機能で守られている。

 

 

メッセージ認証コード(MAC:Message Authentication Code)

メッセージ認証コードは、通信内容の改ざんの有無を検証し、完全性を保証するために通信データから生成される固定長のビット列。メッセージが通信路の途中で改ざんされていないことを受信者がチェックできるようになる。

 

手順

①送信者は平文からハッシュ値を生成

②次にそのハッシュ値を暗号化

③平文と暗号化されたハッシュ値を受信者に送信

④受信者は送られてきた平文をハッシュ化してハッシュ値を取得

⑤ハッシュ値を共通鍵で復号

⑥④で取り出したハッシュ値と比較

画像出典:【セキュリティ】メッセージ認証コード・デジタル署名の仕組みについて解説します

 

ディジタル署名との違い

1.署名の目的は「本人性の確認」であるのに対し、MACの目的は「改ざんや破損がないこと」を保証することである。

2.署名は秘密鍵を使うのに対して、MACは共通鍵を使っている。

 

 

CBC-MAC (cipher block chaining message authentication code)

ブロック暗号で用いられるCBCモードをベースにして作られた最も基本的なMAC。

 

CBC

一つ前の暗号文ブロックと平文ブロックのXORをとって暗号化するモード。

一番最初のブロックだけは前の暗号文ブロックが存在しないので代わりに暗号ブロックと同じサイズのビット列を用意する必要があるこのビット列のことを初期化ベクトル(IV)という。初期化ベクトルは暗号化のたびに異なるランダムな値にする。

POODLEの脆弱性がみつかった。

 

POODLEに関してはこちらで解説

https://postgresweb.com/sc_h29_autumn_pm1_q3

 

 

CMAC(cipher-based message authentication code)

CMACは日本の黒沢馨氏と岩田哲氏が提案したブロック暗号ベースのメッセージ認証コード(MAC)アルゴリズム。

CBC-MACを改良したもので、データの意図的な改竄や不正な改竄も検出でき、データの信憑性をより強力に保証できる。

 

 

HMAC(Hash-based Message Authentication Code)

HMACとは、二者間でメッセージを送受信する際に、送信者の認証と本文の改竄検知が可能なメッセージ認証コード(MAC)の一つ。本文と共有鍵を元にハッシュ関数によって算出される。

 

 

平成31年度春季午後の用語解説

https://postgresweb.com/sc_h31_spring_pm1_q1

https://postgresweb.com/sc_h31_spring_pm1_q2

情報処理安全確保支援士 用語調べ

ここでは、情報処理安全確保支援士の午後問題について、わからなかった単語、ド忘れてしていた単語などを含め用語解説等整理するページです(完全に個人の備忘用)。

こんなこともわからなかったのか!と思われても、ありのまま書きます。

 

IDaaS(Identity as a Service)

IDaaSとは、ID・パスワードの認証情報を一元管理できるSaaS (Software as a Service)。クラウドサービスだけでも、クラウドサービスとオンプレミスの混合環境でも可。IDaaSに1回ログインすれば、事前に登録・連携している複数のサービスが使えるようになる。また特徴的な機能として、1.認証機能、2.ID管理、3.ID連携、4.認可、5.監査がある。

 

IDaaS登場以前のシングルサインオンシステムは何が不十分?

・パスワードマネージャーは個人向けの機能で、企業での管理には機能が不十分

・ActiveDirectoryは、クラウドサービスに対応することができない

 

IDaaSのデメリット

・1つパスワードが漏れるだけで数多くのシステムを操作できる

・IDaaSの障害が発生すると、すべてのシステムにログインできなくなる可能性がある

・システムによっては、IDaaSによるシングルサインオンに対応ができないものがある

 

連携(フェデレーション)とは

IDaasの機能の一つ。フェデレーションとは、一度認証を通れば、その認証情報を使って、許可されている全てのサービスを使えるようにする仕組み。フェデレーションを使うことで、異なるクラウドサービス、異なる拠点、異なる企業がそれぞれのID管理基盤や認証基盤に手を加えることなくIDを連携し、共通のID管理基盤や認証基盤を実現することができる。ちなみに、このフェデレーション際に利用される認証プロトコルがSAML。

 

オーセンティケータとは

IEEE802.1.xにおいて、 サプリカントからの要求を受けて、 RADIUSサーバとやり取りし、 サプリカントの接続可否を決める要素を、 オーセンティケータという。

画像出典:IEEE802.1Xとは(その1) - @network Cisco・アライド実機で学ぶ

 

 

平成31年度春季午後の用語解説

https://postgresweb.com/sc_h31_spring_pm1_q1

情報処理安全確保支援士 用語調べ

ここでは、情報処理安全確保支援士の午後問題について、わからなかった単語、ド忘れてしていた単語などを含め用語解説等整理するページです(完全に個人の備忘用)。

こんなこともわからなかったのか!と思われても、ありのまま書きます。

 

 

同一生成元ポリシー(Same Origin Policy)

あるオリジンから読み込まれた文書やスクリプトについて、そのリソースから他のオリジンのリソースにアクセスできないようにするもの。

 

 

オリジンとは

オリジン = スキーム名 + ドメイン名 + ポート番号

 

ドメイン名とFQDNの違い

問題では「オリジン=スキーム名+FQDN+ポート番号」となっている。ドメイン名、FQDNどちらもドメイン名ではありますが、省略できるものを省略して書いたドメイン名に対し、省略せずに全部きちんと書いたのがFQDN。わかりやすいサイトはこちら(外部サイト)。

 

 

JSONP(JSON with Padding)

クロスドメインでデータの受け渡しを実現するためのデータ形式(同一生成元ポリシーの抜け道的なやり方)。

JSONPの詳細に関してはこちらのサイト(というかPDF)が一番わかりやすかった。

 

 

CORS、XMLHttpRequest、プリフライトリクエスト

これもすでに説明されているサイトのリンクをはる。説明は他のサイトでも数多くあったがここが一番わかりやすかった。

 

withCredential

リクエストにクッキーを付与するため.withCredentialsプロパティをtrueにする。

 

 

平成31年度春季午後の用語解説

https://postgresweb.com/sc_h31_spring_pm1_q2

https://postgresweb.com/sc_h31_spring_pm1_q3

情報処理安全確保支援士 用語調べ

ここでは、情報処理安全確保支援士の午後問題について、わからなかった単語、ド忘れてしていた単語などを含め用語解説等整理するページです(完全に個人の備忘用)。

こんなこともわからなかったのか!と思われても、ありのまま書きます。

 

 

syslog

① ログメッセージをIPネットワーク上で転送するためのプロトコルのこと。テキスト形式のログ情報を(syslogサーバーへ)送信する。

② UNIX系のOS(Mac、Linux)でシステムのログを取るためのプログラム。

 

 

ステートフルパケットインスペクション

ステートフルパケットインスペクションについてはこちらの記事で解説しています。

https://postgresweb.com/sc_h30_spring_pm1_q2

 

 

WAF(Web Application Firewall)

WAFとはウイルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防御するセキュリティの一種。

出典:BOXIL「WAFとは - 仕組み | ファイアウォール・IPS/IDSとの違い、種類」

 

 

FQDN

ホスト名とドメイン名をつなげた文字列のこと。

 

なぜwwwがホスト?

ページを提供するコンピュータの名前を慣習的にwwwとつけているだけで(=wwwは別名で使っているだけで)、本当のホスト名は別にある。

 

ホスト名が他と重複しているのはいいの?という疑問があるかもしれないが、「www+ドメイン名」で一つのIPが特定されるためwwwだけで重複することは問題ない。

 

 

平成30年度秋季の用語解説

https://postgresweb.com/sc_h30_autumn_pm1_q2

 

情報処理安全確保支援士 用語調べ

ここでは、情報処理安全確保支援士の午後問題について、わからなかった単語、ド忘れてしていた単語などを含め用語解説等整理するページです(完全に個人の備忘用)。

こんなこともわからなかったのか!と思われても、ありのまま書きます。

 

 

半二重通信(Half Duplex))、全二重通信(Full Duplex)

双方向の通信には半二重通信と全二重通信があり、大きくは通信路の数が異なる。

 

半二重通信は、1本の通信路で双方向の通信を行うため、送信と受信を同時に行うことができない。

全二重通信は通信路を2組使用するため、片方が送信中でも、もう片方で受信することができる。

 

イメージ的には2人で通信する時に、半二重通信はトランシーバーをお互いに1台ずつ持って通信を行う。つまり片方がしゃべっている時、もう片方はしゃべることができない。全二重通信はトランシーバーを2台ずつ持ち、聞くのと話すのを同時にすることができるというイメージ。

 

 

IEEE802.1Q

IEEEが決めたVLANの規格のこと。各VLANグループに固有の識別番号(VLAN-ID)をやりとりするVLANタギング(tagging)の方法について規定している。

 

VLANタギングとは、ネットワークを流れるパケットに、そのパケットが属するVLAN-IDをタグヘッダという形で付与するもの。

 

 

ウェルノウンポート

問題文の図2に出現したものを抜粋。

ポート番号 TCP/IP プロトコル
445 TCP SMB(Server Message Block)
80 TCP http
443 TCP https
587 TCP SMTP
53 TCP/UDP DNS
123 UDP NTP

 

SMB(Server Message Block)とは

Windowsを中心とした環境でLANを通じてファイル共有やプリンタ共有などに使用される通信プロトコル

 

 

インディケータ

脅威の可能性がある攻撃などを把握したり判断したりするためのデータや情報のこと。

 

 

NOC( Network Operations Center )

ネットワークオペレーションセンター( Network Operations Center )の略称。IT チームが通信ネットワークのパフォーマンスと健全性を常時監視する集中管理・運用する施設のこと。

 

 

STIX(Structured Threat Information eXpression)

STIX(Structured Threat Information eXpression):脅威情報構造化記述形式。

サイバー攻撃の情報を、防護側の側面からまとめるための記述方法のこと。XML形式。

 

 

TAXII(Trusted Automated eXchange of Indicator Information)

TAXII(Trusted Automated eXchange of Indicator Information):検知指標情報自動交換手順。

サイバー攻撃の情報を、交換するための方法を規定。

※ STIXが記述の仕方。TAXIIが情報交換の仕方を決めている。

 

 

TLP(Traffic Light Protocol)

T機密性のある情報を、企業や組織のセキュリティ対応チーム(CSIRTなど)が共有するために使われる目印のこと。

 

 

平成30年度秋季の用語解説

https://postgresweb.com/sc_h30_autumn_pm1_q3

 

情報処理安全確保支援士 用語調べ

ここでは、情報処理安全確保支援士の午後問題について、わからなかった単語、ド忘れてしていた単語などを含め用語解説等整理するページです(完全に個人の備忘用)。

こんなこともわからなかったのか!と思われても、ありのまま書きます。

 

 

JIS Q 31000:2010、JIS Q 31010:2012

『JIS Q 31000:2010』は、規格名称『リスクマネジメント-指針』

『JIS Q 31010:2012』は、規格名称『リスクマネジメント-リスクアセスメント技法』

 

JIS Q 31000とは、ISO 31000を基に作成されたリスクマネジメントに関する原則及び一般的な指針を示したJIS規格。リスクマネジメントの一般的手順や関連用語が定義されている。

JIS Q 31010については、ISO31000の補完を目的としたもの。リスクマネジメントの規格であるJIS Q 31010:2012では、リスクアセスメントを「リスクアセスメントは,リスク特定,リスク分析及びリスク評価の全般的なプロセスである。」と定義しています

 

JISとは

JISは、Japanese Industrial Standards の略で、『日本工業規格』といい、工業標準化法に基づき制定される、日本の国家規格のこと。 JISは多数の部門に分類されており、土木及び建築、一般機械、電気・電子、管理システムなどそれぞれ分野に応じてアルファベットと数字が付与されている。

 

JIS Qとは

JISには分野別にA〜Zまであり、Qは「管理システム」の分野の規格のこと

分野についてはこちら

 

 

平成30年度春季の用語解説

https://postgresweb.com/sc_h30_spring_pm1_q2

情報処理安全確保支援士 用語調べ

ここでは、情報処理安全確保支援士の午後問題について、わからなかった単語、ド忘れてしていた単語などを含め用語解説等整理するページです(完全に個人の備忘用)。

こんなこともわからなかったのか!と思われても、ありのまま書きます。

 

 

CONNECTメソッド

CONNECTメソッドとは、HTTPプロキシサーバーに接続して、SSL等の通信を行う際のメソッド。

つまり、プロキシサーバーに「xxxxx.co.jpに、443ポートで通信してよ」とお願いするメソッド。この処理を受けて、プロキシサーバが(自身を経由しつつ)、HTTPS通信を透過的に転送するようになる(TLS や https 通信の中身には一切触れず、IP ヘッダと TCP ヘッダを変更して Web サーバへ転送するのみになる)。結論的にはプロキシは通過するだけのものとなってしまい、やりたい放題になってしまうのが問題ということなのだろうか。

 

悪用例

(今回の問題ではなかったが)このようなCONNECTメソッドが利用できる環境では、マルウェアが外部のC&Cサーバとのバックドアを開設しやすい。また大量の通信ログとなるためマルウェア通信の発見や事後分析が困難になる恐れがある。

対策としては、CONNECTメソッドはHTTPS(ポート443)に代表される特定のプロトコルに限定されて使用されるケースが多い。一方でマルウェアの通信は独自プロトコルやランダムなポートへのアクセスが多く、業務を阻害しない範囲で不要なCONNECTメソッドの通信を制限することでバックドアの遮断につなげることができる。

 

 

ステートフルパケットインスペクション(=ダイナミックパケットフィルタ)

ダイナミックパケットフィルタ方式とも呼ばれ、ファイアウォールを通過する個々のセッションの状態を管理し、その情報に基づき動的にポートを開閉することで詳細なアクセス制御を行うファイアウォール。

 

必要以上のポートを開放するように設定しなくてもよくなる(青枠の例を参照)。個々のセッションごとに過去の通信を保持しているため「順序の矛盾した攻撃パケットを遮断することができる」等が可能(つまり脈絡のない話は遮られるけど、一連の流れとして関係する会話は続けられるといった動作)。

 

デメリットとしては、全ての通信のコンテキスト(=文脈)を記録管理しておく必要があることや、(コンテキストを記録する関係上)大量のアクセスを主体とするサイバー攻撃であるDoS攻撃には弱いことが挙げられる。

例えば、社内のクライアントPCからインターネット上のDNSサーバーへ名前解決リクエストを投げる場合、行きのパケットを通過させるには,単純に,あて先ポート番号が53のパケットを通過許可としてルールを設定すればよい。

問題は,DNSサーバーからの戻りパケットのルールである。送信元ポート番号が53の通信を許可してしまうと,送信元ポートが53で通信するように作成したアプリケーションからの通信は,悪意のあるものも含めてすべてファイアウオールを通過し,社内LANに達してしまう。あて先ポート番号でフィルタリングしようと思っても,1024以上のポート番号の通信をすべて許可する必要があり,大きく口を開けることになってしまう。

ステートフルインスペクションの機能を使えば,通過するパケットの状態を監視し,行きのパケットの通過を許可した時点で,戻りのルールを動的に設定,許可することができる。なお,この戻りパケット用のルールは一定時間で無効となる。

 

 

オープンリゾルバ

オープンリゾルバ(英:open resolver)とは、アクセス制限を行わず、インターネット上のどこからでも名前解決の問い合わせに応答する状態になっているキャッシュDNSサーバーのこと。

 

オープンリゾルバは、攻撃の踏み台に利用されるリスクが高く「DNSリフレクター攻撃」などのDDos攻撃に利用される場合がある。

 

 

平成30年度春季の用語解説

https://postgresweb.com/sc_h30_spring_pm1_q3

 

情報処理安全確保支援士 用語調べ

ここでは、情報処理安全確保支援士の午後問題について、わからなかった単語、ド忘れてしていた単語などを含め用語解説等整理するページです(完全に個人の備忘用)。

こんなこともわからなかったのか!と思われても、ありのまま書きます。

 

 

危たい化

PKI技術分野においては秘密鍵が漏えい等により機密性を失った場合を指して「鍵の危殆化」と呼んでいる(IPA 「暗号の危殆化に関する調査 報告書」による)

 

暗号の危殆化に関する調査 報告書

暗号の危殆化に関する調査 報告書はこちらのページ参照

 

 

証明書署名要求(CSR:Certificate Signing Request)

CSRとは、SSL/TLSサーバー証明書の発行を認証局に請求するための証明書要求(メッセージ)のこと

 

 

暗号スイート ※スイート(suite):組

暗号通信に使われる各種アルゴリズムの組み合わせのこと。

 

TLS1.2の場合

TLS_鍵交換_WITH_暗号化_ハッシュ

 

TLS1.2の場合

TLS_認証付暗号_ハッシュ

 

鍵交換

・RSA ・DH_RSA ・DH_DSS DHE_RSA ・DHE_DSS

・ECDH_RSA ・ECDH_DSS ・ECDH_ECDSA

・ECDHE_RSA ・ECDHE_DSS ・ECDHE_ECDSA

・PSK ・PSK_RSA ・DHE_PSK ・ECDHE_PSK

・SRP ・SRP_RSA ・SRP_DSS ・DH_anon

※ DHE = ディフィーヘルマン鍵共有

※ ECDHE = 楕円曲線ディフィーヘルマン鍵共有

 

暗号化

・3DES_EDE_CBC ・AES_128_CBC ・AES_256_CBC …

・AES_128_GCM ・AES_256_GCM ・CAMELLIA_128_CBC ・CAMELLIA_256_CBC

・SEED_CBC ・RC4_128

 

ハッシュ

・MD5 ・SHA ・SHA256、SHA384

 

 

POODLE攻撃

POODLE攻撃(Padding Oracle On Downgraded Legacy Encryption)。

SSL 3.0のブロック暗号のCBCモードにおける「パディングの最終1バイト分だけをチェックして正しければメッセージ全体が正しいと判断する」という欠陥を突いて、通信内容の解読を試みる攻撃。暗号通信の内容を解読される恐れがある。最新の暗号化通信に対応しているサーバーでも、古い暗号化通信の方式による通信のリクエストを受けると、ダウングレードして通信する仕組みがあり、SSL3.0を強制され攻撃を受ける可能性がある。

※ちなみにOracleとはDBのことではなく、神のお告げ的な意味らしい

 

バージョンロールバック攻撃

強度の弱い暗号化アルゴリズムや鍵交換方式を使用するように仕向け、通信内容の解読を試みること。

 

対策

Webサーバーの設定でSSL3.0を無効化する

 

 

PFS(Perfect Forward Secrecy) secrecy=秘密

サーバーの秘密鍵が暴露された場合でも、過去に暗号化によって通信されたデータの安全性を守ろうとする考え方

この方法では、データの暗号化の際、サーバーの秘密鍵・公開鍵を利用するのではなくクライアントとサーバーそれぞれに秘密鍵を持たせるようにする。公開されている二つのデータとクライアントとサーバーそれぞれの秘密鍵から作成したデータをもとに、相手の秘密鍵を知ることなく暗号化した通信が可能。第三者がこの方式で暗号化されたデータの復号を行うためには、クライアントとサーバー両方の秘密鍵を知る必要があるため、仮に一方の秘密鍵が露呈したとしてもデータの安全性は守られる。しかもDHE(ディフィー・ヘルマン鍵共有)とECDHE(楕円曲線ディフィー・ヘルマン鍵共有)では秘密鍵は固定ではなく随時変更されるので、事実上、第三者による解読は不可能とされている。

 

 

ルート証明書

デジタル署名を発行する認証局(CA:Certificate Authority)が自らの正当性を証明するために自ら署名して発行した自己署名証明書のうち、ブラウザ等に直に組み込まれたもの

 

確認方法

IE > インターネットオプション > コンテンツ > 証明書 > 信頼されたルート証明書

 

 

平成29年度秋季の用語解説

https://postgresweb.com/sc_h29_autumn_pm1_q1

https://postgresweb.com/sc_h29_autumn_pm1_q2

 

 

情報処理安全確保支援士 用語調べ

ここでは、情報処理安全確保支援士の午後問題について、わからなかった単語、ド忘れてしていた単語などを含め用語解説等整理するページです(完全に個人の備忘用)。

こんなこともわからなかったのか!と思われても、ありのまま書きます。

 

 

SQLインジェクション

Web サイトの入力エリアに脆弱性があり、攻撃者がSQL文を含んだ文字を入力しそのままSQL が実行されること。データベース情報の窃取、コンテンツの改ざんなどを行う。※インジェクションとは英語で「注入」「挿入」を表す。

 

発生しうる脅威

・データベース情報の窃取、コンテンツの改ざんなど

 

対策

・シングルクオーテーションやダブルクオーテーションといった記号や文字をエスケープする

 

その他

・実例としてはこのサイトが一番わかりやすかった 

 

 

XSS(クロスサイトスクリプティング)

Webアプリケーションの脆弱性を利用して悪意のあるデータを埋め込みスクリプトを実行させる攻撃手法。サイトをまたいでスクリプトが移転・実行されることが「クロスサイト」の名称の由来となっているが、現在では攻撃者が用意したスクリプトを標的サイトのものとして実行させられてしまう攻撃全般をクロスサイトスクリプティングと呼んでいる。

(画像出典):IPA 安全なウェブサイトの作り方 - 1.5 クロスサイト・スクリプティング

 

発生しうる脅威

・本物サイト上に偽のページが表示され、フィッシング詐欺にあう

・ブラウザが保存しているCookieを取得される(セッションハイジャック)

・ウェブサイトの改ざん

 

対策

・入力値の制限

・サニタイジング(エスケープ)

より詳細な対策はIPAを参照(こちら

 

その他

・イメージをつかむだけならこのサイトがおすすめ

XSS攻撃体験サイト

 

 

オープンリダイレクター

あるURLを開くと自動的に他のページにジャンプするリダイレクト機能が、攻撃者によって外部ページへのリダイレクトとして使われてしまうこと。

 

上記の例では書き換えがされており、遷移先のページ(http://example.com)が元のサイトと見た目を全く同じに装いかつ、「ID、パスワードが間違っています」等のメッセージを表示しておけば再度入力させることができる(IDとパスワードを入手できる)→フィッシング詐欺

 

対策

・外部パラメータを使ってリダイレクトをしないようにする

・ホワイトリストを作成しそこにあるものにしか飛ばないようにする

 

 

HttpOnly属性

httponly属性を指定すると、JavaScriptからCookieをアクセスできなくなる。※ Secure属性の反対の意味(httpでしか送信されないCookie)という意味ではない点に注意。

 

Secure属性

Secure 属性をつけた場合、そのクッキーは接続が https で保護されている場合のみに送信される

 

 

平成29年度秋季の用語解説

https://postgresweb.com/sc_h29_autumn_pm1_q1

https://postgresweb.com/sc_h29_autumn_pm1_q2