情報処理安全確保支援士
2023年4月16日にIPAの高度資格「情報処理安全確保支援士」を受験する。
1年前に応用情報技術者は合格済みなので、午前Ⅰ試験は免除となるみたい。
コツコツ学習を行っていき、
ここにはそのメモを記していきたい。(随時更新)
参考にするサイト・参考書
①過去問道場
午前Ⅱ対策で使用。
②情報処理教科書 情報処理安全確保支援士 2023年版
苦手なところを全般的に俯瞰するために使用する。
③2022 情報処理安全確保支援士「専門知識+午後問題」の重点対策
鬼門の午後問題を対策するために使う。結構難しそう。
学習メモ
午前対策
情報資産
セキュリティは以下の3要素が存在する場合に必要
①情報資産(守るべきもの存在)
②脅威(情報資産を脅かす存在)
③脆弱性(脅威がついてくる弱い部分の存在)
ちなみに情報セキュリティの3要素は 機密性・完全性・可用性
国の方針
①サイバーセキュリティ基本法
→サイバーセキュリティ戦略本部を内閣に設置、NISC(内閣サイバーセキュリティセンター)の設置、サイバーセキュリティ戦略の作成や実施(3年ごと)
②サイバー・フィジカル・セキュリティ対策フレームワーク(Ver1.0)
→経産省から「Society5.0」に向けてサイバー攻撃に対処する為に設けられたフレームワーク
③サイバーセキュリティ経営ガイドライン(Ver2.0)
→経産省が企業の経営者向けにつくった
→経営者の認識する「3原則」と、経営者とCISOに指示すべき「重要10項目」
④中小企業の情報セキュリティ対策ガイドライン 第3版
→IPAが中小企業等の利用想定してつくった
情報セキュリティマネジメント
①ISMS適合性評価制度
→企業の情報セキュリティ管理体制と対策を評価する為の制度。日本情報経済社会推進協会(JIPDEC)が普及活動を行い、認定作業はISMS-ACが行う
→JIS Q 27001の第二部「セキュリティ関連企画」に沿って構築されているかを評価
※JIS Q 270017:2016に関連した「ISMSクラウド認証制度」なども存在
②システム監査制度
→システム監査人が情報システムを総合的に点検及び評価し、組織体の長に助言・勧告及びフォローアップする一連の行動
→監査計画・監査実施・監査報告・フォローアップ
→本調査で監査証拠を集める。監査証跡が得られるよう監査証拠を集めるため、監査手続を行う
③情報セキュリティ監査制度
→経産省がつくった。保証型監査・助言型監査どちらにも活用できる
→2つの基準(情報セキュリティ監査基準と情報セキュリティ管理基準)と7つのガイドライン
→助言型監査はISMS認証取得レベルに到達していない企業にも有用
④プライバシーマーク制度
→個人情報の取り扱いが出来ていたらプライバシーマークを付与する
⑤内部統制報告の対応
→ITへの対応としては全般統制と業務処理統制(取引が正確に記録されるかどうかなど)
※個人情報について
・特定の個人が識別できる情報を個人情報という。第三者の手続きでは本人の同意かつオプトアウト手続きも可能にする必要がある
・要配慮個人情報(人種・犯罪歴など)はオプトインでの扱い
・匿名加工情報は第三者提供に本人の同意はいらない。仮名加工情報は第三者提供に大きな制限あり
・個人関連情報は他企業で容易照合性が認められる場合、提供には本人の同意が必要
セキュリティ規格
①JIS Q 27001(ISO/IEC 27001)
→ISMSの要求事項、JIS Q 27002はその実践のための規範・具体的な対策
②ISO/IEC 15408(JIS X 5070)
→情報システムに関連する"製品"のセキュリティを評価するための基準
→日本ではJISECが評価認証制度として利用
④PCI/DSS
→クレジットカードのセキュリティ基準
脅威(気になったやつ)
①トロイの木馬
→ワームとかとは違い、増殖が主目的ではないウイルス。特定の日時や外部からの指示で破壊活動を開始する
②ルートキット
→標的サーバに不正侵入した後に使うツール(バックドア、ログの改ざんツール、不正プログラム)をまとめたもの
③テンペスト
→ディスプレイやケーブルからの微弱な電波を傍受し、内容を観察する技術
④Main-in-the-middle攻撃
→中間者攻撃とも。通信している双方に入って情報を詐取する
⑤ポリモーフィック型ウイルス
→自らを感染のたびに変化させて、検知されにくくしているウイルス
⑥EDoS攻撃
→従量課金制で契約しているクラウドサービス利用者に対して、攻撃者が大量にリソースを消費するなどして経済的損失を与えるDoS攻撃
⑦Webビーコン
→利用者のアクセス情報を収集するために、Webページ等に含まれた画像
暗号
■共通鍵暗号方式
→高速処理が可能、鍵の管理が複雑、鍵の配送が難しい
・AES
→DESの後継としてNISTが採用。ブロック長は128bit、共通鍵の長さは128/192/256bitで暗号化の段数は鍵長に依存する
・Camellia
→2000年にNTTと三菱電機で開発した共通鍵ブロック暗号。AESよりも高い攻撃態勢と高速処理が可能
・KCipher2
→九州大学とKDDIが開発したストリーム暗号。AESに比べ7~10倍の高速処理が可能で、軽量なため、スマホの動画配信などでの利用が期待される
■公開鍵暗号方式
→処理に時間がかかる、一組の鍵で複数の相手と送受信が可能
・RSA
→デファクトスタンダード。素因数文化の難しさを利用
・DSA
→離散対数問題の難しさを利用
※楕円曲線暗号(ECC)
→楕円曲線状の離散対数問題の安全性の根拠とする暗号方式の総称。ECRSAとか「EC」がついている場合は大体こいつ
※Diffie-Hellman鍵共有(DH鍵共有)プロトコル
→インターネットなど安全でない通信路を用いても安全に鍵を交換できる。公開鍵暗号の概念を生み出したらしい
暗号に関連する知識
■規格など
・CRYPTREC
→暗号技術を評価する日本の組織で、推奨リストなどを策定・公表している
・JCMVP
→暗号モジュール及び認証制度。IPAが運営している
・FIPS140
→米国政府における暗号モジュールの認定基準及び認定を受けた製品のリスト。JIS X 19790はFIP140を元に作成された暗号モジュールのセキュリティ要求事項
■ハッシュ関数
●特徴
①一方向性
②衝突回避性
③元データに関係なく固定長になる
④計算早い
●困難性
①現像計算困難性
→元の値を求めるのが困難
②衝突発見困難性
→同じハッシュ値になる2つの値を求めるのが困難
③第二現像計算困難性
→既知の値とハッシュ値があっても、異なる値から同じハッシュ値をもとめるのが困難
●規格
・SHA
→SHA-1はダメ、SHA-2は現在の主流で、224/256/384/512bitで出力を選べる。SHA-3は今後の普及が見込まれており、224/256/384/512bitで出力を選べる。採用されたのはKeccaKという方式
・MD5
→128bitのメッセージダイジェストを求める。安全ではない
午前Ⅱフィードバック
■R4春 正答率:20/25
量子コンピュータ:
・量子暗号
→共通鍵暗号方式であり、復号に必要な鍵情報を光子を用いて配送する技術。送信に必要なビット情報を光子のスピン方向で表す
・PQC(Post-Quantum Cryptography
→量子コンピュータを用いた攻撃に対しても,安全性を保つことができる暗号方式
・量子鍵配送(QKD:Quantum Key Distribution)
→量子通信路を用いた鍵配送システムを利用し,大容量のデータを高速に送受信する技術
・ショアのアルゴリズム
→量子コンピュータを用いて効率的に素因数分解を行うアルゴリズムによって,暗号を解読する技術
メールのプロトコル:
・APOP
→メール受信前の認証におけるパスワード送信を暗号化(MD5ハッシュ化)することで安全性を高めたプロトコル
・IMAPS
→MAPSは認証やメール本文の受信など、IMAP通信の全てをTLSによって暗号化するプロトコル
・POP3
→認証やメール本文の通信を平文で行うメール受信プロトコル
・SMTP Submission
→メール送信を専門に受け付けるサブミッションポート(587/TCP)を用意し、SMTP-AUTH認証を経たユーザからのメールだけを送信する仕組み
・SECURITY ACTION(セキュリティアクション)は、IPAが推進する制度で、中小企業自らが情報セキュリティ対策に取組むことを自己宣言するもの
・ステートフルパケットインスペクション
→過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる
・ディジタルフォレンジングス
→調査対象となったPCやスマートフォンに保存されている電子情報の解析により事実解明を行うための技術
→証拠を収集する際には、証拠の滅失を避けるために原則として揮発性の高い情報から順に処理
例)レジスタ、ルーティングテーブル、ディスクファイル、アーカイブ用メディア