-
- いいね!0
kidooom
@kidooom
情報セキュリティスペシャリストの試験勉強始めた。とりあえず買ったのは翔泳社の参考書。過去10年間の試験問題がWebからダウンロードできるのは嬉しい。
2010-08-06 11:14:27
kidooom
@kidooom
【情報セキュスペ勉メモ1】情報セキュリティの主な特性は、機密性・完全性・可用性の3つ。ISO/IEC 27001では、ISMS: Information Security Management System (情報セキュリティマネジメントシステム)を定義。
2010-08-06 11:21:16
kidooom
@kidooom
【情報セキュスペ勉メモ2】日本国内ではISO/IEC 27000シリーズをJIS化するとともに、従来のISMS適合性評価制度を国際的なISO/IEC 27001の審査登録制度へ移行。2006年5月にJIS Q 27001/JIS Q 27002を発行した。
2010-08-06 11:27:08
kidooom
@kidooom
【情報セキュスペ勉メモ3】ISO/IEC 27002は、組織がISMSを実践するための規範となる文書(ガイドライン)であり、「セキュリティ基本方針」から「コンプライアンス」までの11のカテゴリについて、必要な管理策が示されている。
2010-08-06 11:30:33
kidooom
@kidooom
【情報セキュスペ勉メモ4】ポートスキャンとは、ターゲットとなるホスト上で開いているポートスキャンをスキャンすること。また、稼働しているアプリの種類や、ターゲットホストの振る舞いからOSの種類やバージョンまでを特定することをスタックフィンガープリンティングとも呼ぶ。
2010-08-06 11:42:17
kidooom
@kidooom
【情報セキュスペ勉メモ5】バッファオーバーフロー(BOF)攻撃とは、CやC++言語で開発されたOSやアプリケーションプログラムの入力データの処理に関するバグを突いてコンピュータのメモリに不正なデータを書き込み、システムへの侵入や管理者権限の取得を試みる攻撃手法。
2010-08-06 11:45:20
kidooom
@kidooom
【情報セキュスペ勉メモ6】セッションハイジャックとは、クライアントとサーバの正規のセッションの間に割り込んで、そのセッションを奪い取る行為。セッションハイジャックに成功した後は、サーバになりすます、クライアントになりすます、両者になりすます、などして不正行為を働く。
2010-08-06 11:50:13
kidooom
@kidooom
【情報セキュスペ勉メモ7】DNSサーバに対する攻撃としては、次の4つが代表的。ゾーン転送要求による登録情報の収集、DNSキャッシュポイズニング攻撃、不正なリクエストによるサービス不能状態を引き起こす攻撃、DNSリフレクション攻撃。
2010-08-06 11:53:24
kidooom
@kidooom
【情報セキュスペ勉メモ8】DoS攻撃とは、ターゲットサイトに対して意図的に不正なパケットや膨大なパケットを送りつけることで、特定のサービスやターゲットサイトのネットワーク全体が正常動作できない状態に陥れる行為。特にDRDoS攻撃は防ぐことが非常に困難。怖い。
2010-08-06 11:57:24
kidooom
@kidooom
【情報セキュスペ勉メモ9】XSS(クロスサイトスクリプティング)は、Webサイトのアプリケーションプログラムの脆弱性をついた攻撃。例えば、入力フォームのデータチェックが緩いと、任意のスクリプト実行を許してしまう。これを悪用すれば他サイトのクッキー情報を盗むことができる。
2010-08-15 16:05:00
kidooom
@kidooom
【情報セキュスペ勉メモ10】コンピュータウイルスやワームなどの検出する手法にも様々な種類がある。オリジナルと比較するコンペア法、特徴的なパターンを検出するパターンマッチング法、チェックサムやディジタル署名を用いる方法、振舞いを検知するビヘイベア法などなど。
2010-08-15 16:27:30
kidooom
@kidooom
【情報セキュスペ勉メモ11】スパムメールが横行している原因として、古いメールサーバソフトウェアが抱えるSTMPの脆弱性がある。例えば、誰からのメール投稿を受け付けたりユーザ認証をしないなど。対策としては設定によるアクセス制限やSMTPーAUTHによる認証などがある。
2010-08-15 17:27:57
kidooom
@kidooom
【情報セキュスペ勉メモ12】メール受信に用いるPOP3では、メールサーバとの間でユーザ認証を行う仕組みになっているが、その仕様において脆弱性が指摘されている。例えば認証情報やメール本文が平文でネットワークを流れる。対策としてはAPOPによるユーザ認証や、SSL、SSHを使う。
2010-08-15 17:34:32
kidooom
@kidooom
【情報セキュスペ勉メモ13】DNSの脆弱性への対策。ゾーン転送機能によって第三者に登録情報が不正利用されるのを防ぐため、外部向けゾーン情報を登録する公開DNSサーバと、内部向けゾーン情報を登録する内部DNSサーバとに分ける。
2010-10-10 11:30:35
kidooom
@kidooom
【情報セキュスペ勉メモ14】ホストの要塞化とは、OSをはじめソフトウェアに内在するバグや設定ミスなどのセキュリティーホールを塞ぎ、堅牢な状態にすること。実際にやることは、OSやアプリケーションのバージョン最新化、パッチの適用、不要なサービスやコマンドの停止。
2010-10-10 12:07:03
kidooom
@kidooom
【情報セキュスペ勉メモ15】アクセス制御について。ファイルやシステム資源などの所有者が、読み取り・書き込み・実行などのアクセス権を設定する方式を任意アクセス制御(Discretionary Access Control : DAC)という。
2010-10-10 12:17:50
kidooom
@kidooom
【情報セキュスペ勉メモ16】保護する対象と、それを操作する物に対してそれぞれセキュリティのレベルを付し、それを比較することによって強制的にアクセス制限を行う方式を強制アクセス制御(Mandatory Access Control : MAC)という。
2010-10-10 12:20:46
kidooom
@kidooom
【情報セキュスペ勉メモ17】SELinuxのセキュリティアーキテクチャはFlask (Flux Advanced Security Kernel) と呼ばれる。特徴としては、セキュリティコンテキストによる強制アクセス制御・TE・RBAC・セキュリティサーバなどの機能がある。
2010-10-10 12:27:05
kidooom
@kidooom
【情報セキュスペ勉メモ18】侵入検知システム(Intrusion Detection System : IDS) とは、ネットワークやホストで発生している事象をリアルタイムに監視して侵入や攻撃を検知し、管理者に通知するなどのアクションを実行するシステムである。
2010-10-10 16:55:46
kidooom
@kidooom
【情報セキュスペ勉メモ19】侵入防御システム(Intrusion Prevention System : IPS)とは、従来からのNIDSをインライン接続することで、NIDSと同等の侵入検知機能と、NIDSよりも強力な防御機能を備えた製品である。
2010-10-10 17:09:37
kidooom
@kidooom
【情報セキュスペ勉メモ20】Webアプリケーションファイアウォール(WAF)とは、XSS、SQLインジェクション、OSコマンドインジェクションなど、Webアプリケーションに対する攻撃を検知・排除することでセキュアなWebアプリケーション運用を実現する製品。
2010-10-10 17:51:37
kidooom
@kidooom
【情報セキュスペ勉メモ21】RADIUS (Remote Authentication Dial-In User Service) はネットワーク利用者の認証と利用記録を一元的に行うシステムであり、RFC2865, 2866に規定されている。
2010-10-10 22:19:58
kidooom
@kidooom
【情報セキュスペ勉メモ22】Kerberosは「Trusted Third Party Authentication」という考え基づいており、realmと呼ばれる管理領域を、Principalsと、信頼される第三者であるKDC で構成する。
2010-10-10 22:23:53
kidooom
@kidooom
【情報セキュスペ勉メモ23】クッキーを用いたSSOシステムは、エージェント型SSOとも呼ばれる。認証が必要なWebサーバにプラグインソフトウェア(エージェント)をインストールし、認証の際にはこのエージェントが認証サーバにアクセスして認証プロセスを代行する方式。
2010-10-10 22:33:23
kidooom
@kidooom
【情報セキュスペ勉メモ24】リバースプロキシ型SSOシステムは、すべてのWebサーバへのアクセスを、認証サーバを兼ねたリバースプロキシサーバに集約し、ユーザ認証を行う方式。クライアントがログインに成功すると、認証サーバは目的のサーバに代理アクセスする。
2010-10-10 22:35:26