-
FIPS PUB 140-3
暗号モジュールのセキュリティ要求事項 -
JIS Q 27001
情報セキュリティマネジメントシステムの要求事項 -
ITU-T X.509
ディジタル証明書や証明書失効リストの技術仕様 -
WSDL(Web Services Description Language)
Webサービスに関する情報を公開し,それらが提供する機能などを検索可能にするための仕様 -
サイバー情報共有イニシアティブ(J-CSIP)
標的型サイバー攻撃などに関する情報を参加組織間で共有し,高度なサイバー攻撃対策につなげる取組み -
XKMS
XML Key Management Specificationの略。W3Cで標準化された、PKIの機能をWebサービスとして利用するための方法が規定された仕様です。
暗号
CRYPTREC暗号リス
- 電子政府推奨暗号リスト
CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。 - 推奨候補暗号リスト
今後の電子政府推奨候補であるアルゴリズムのリスト - 運用監視暗号リスト
互換性維持目的で利用する暗号技術のリストである。
ネットワーク
新技術
量子暗号
- 量子暗号(Quantum Cryptography):量子アニーリングマシンを用いて,回路サイズ,消費電力,処理速度を飛躍的に向上させた実装性能をもつ暗号方式
- PQC(Post-Quantum Cryptography):量子コンピュータを用いた攻撃に対しても,安全性を保つことができる暗号方式
- ショアのアルゴリズム:量子コンピュータを用いて効率的に素因数分解を行うアルゴリズムによって,暗号を解読する技術
- 量子鍵配送(QKD:Quantum Key Distribution):量子通信路を用いた鍵配送システムを利用し,大容量のデータを高速に送受信する技術
プロトコル
- MPLS
Multi Protocol Label Switchingの略。IP-VPNで使用される技術で、IPルーティングによるパケット転送よりも高速な転送処理を実現します。 - PPP
Point-to-Point Protocolの略。電話回線を通じてコンピュータをネットワークに接続するダイヤルアップ接続でよく使われる、2点間を接続してデータ通信を行うための通信プロトコルです。 - PPPoE
PPPoE(PPP over Ethernet)は、電話回線やISDNでインターネットを接続する際に使われるPPPをイーサネット上で利用できるようにしたものです。 - PPTP
Point-to-Point Tunneling Protocolの略。第2層のPPPパケットをIPパケットでトンネリングする方式で、暗号化機能や独自の利用者認証機能をもちます。マイクロソフト社によって開発されました。
TCP
説明
- 確認応答がない場合は再送処理によってデータ回復を行う。
無線LAN
IEEE 802.1X
LAN内のユーザ認証の方式を定めたIEEE規格で、正当な端末以外がLANに参加することを防ぐ技術
認証を受けるクライアントである「サプリカント(supplicant)」、RADIUSなどの「認証サーバ(authentication server)」、RADIUSクライアントの機能を持ち、認証サーバ間の認証プロセスを相互に中継する認証装置(認証スイッチ)である「オーセンティケータ(authenticator)」の3つの要素
- EAP-MD5
CHAPを用いたチャレンジレスポンスによる利用者認証 - EAP-TTLS
あらかじめ登録した共通鍵によるサーバ認証と,時刻同期のワンタイムパスワードによる利用者認証 - EAP-TLS
ディジタル証明書による認証サーバとクライアントの相互認証 - EAP-PEAP
利用者IDとパスワードによる利用者認証 - RADIUS
RADIUS(Remote Authentication Dial In User Service)は、認証および利用ログの記録を単一のサーバに一元化することを目的としたプロトコルで、暗号化通信の機能はありません。 - WPA2-Enterprise
WPA2にはパーソナルモードとエンタープライズモードが規定されており、WPA2-Enterpriseは、認証にIEEE802.1Xを用いる方式です。IEEE802.1Xでは、クライアント-アクセスポイント-認証サーバの3者間で認証情報がやり取りされます。認証に成功すると、認証サーバはPMK(Pairwise Master Key)と呼ばれる暗号化鍵の種を動的に生成し、アクセスポイントと認証された端末に配布します。暗号化鍵は、このPMKから生成されるのでセッションごとに異なる仕組みになっています。 - WPA2-personal
個人や小規模企業などの認証サーバを用意できないネットワーク向けの方式で、端末に設定された事前共通鍵(PSK)を用いて認証を行います。
IPアドレス
クラス
- クラスC(192.0.0.0~223.255.255.255)
小規模なネットワークでプライベートアドレスとして使用される - クラスD(224.0.0.0~239.255.255.255)
UDPなどを用いるマルチキャスト通信で使用される。 - クラスE(240.0.0.0~255.255.255.255)
IETFでの実験用アドレスとして予約されており,一般には使用されない。
その他IPアドレス
- リンクローカルアドレス(169.254.0.0~169.254.255.255)
DHCPサーバが見つからないときの自動設定アドレスに使用される。
利用書認証
FIDO(Fast IDentity Online,ファイド)
公開鍵暗号方式を使用したクライアント認証技術の1つで、オンラインサービスがクライアントを認証する際に用いられます。FIDO Allianceにより推進されています。
FIDOには、パスワード不要のUAF、パスワードなしに加えて二要素認証を行うCTAP1、パスワードなしに加えて多要素認証を行うCTAP2という仕様があります。本問では単純にパスワードなしの認証を行うUAFの認証処理について問うています。
FIDOの仕組みは次の通りです。
[登録時]
利用者はオンラインサービスの要求に応じ、顔認証、指紋認証及び安全なPIN入力等によってデバイスのロックを解除する
利用者のデバイスは新しい公開鍵ペアを作成する
公開鍵はオンラインサービスに登録され、秘密鍵は利用者のデバイスに格納される
[認証時]
サーバは利用者にチャレンジを送信する
利用者は登録時と同じ方法を使ってデバイスのロックを解除する
利用者のデバイスは秘密鍵でチャレンジにディジタル署名を行い、サーバに応答する
サーバは対応する公開鍵で応答を検証し、認証の可否を判断する
FIDOでは秘密鍵の所持を確認することで認証するので、利用者がID・パスワードを覚えておく必要がないという特長があります。
決済サービス
クレジットカード
- 3Dセキュア
インターネットショッピングでクレジットカード決済を行う際に、発行会社に事前登録済のパスワードの入力を求めることによって本人認証を行う方式です。オンラインでクレジットカードを使用する際には、カード番号、有効期限(月/年)、セキュリティコードの入力を求められますが、これらはすべてカード面に記載されているため、カードが第三者の手に渡った場合にはセキュリティ効果は望めません。しかし、3Dセキュアでは本人しか知り得ない情報で追加認証を行うので、クレジットカードを盗まれてしまった場面等でも第三者による不正利用を防止できます。
ガイドライン
-
テレワークセキュリティガイドライン
- 目的:ICTを活用し,場所や時間を有効に活用できる柔軟な働き方(テレワーク)の形態を示し,テレワークの形態に応じた情報セキュリティ対策の考え方を示すこと
- 発行元:総務省
-
サイバー・フィジカル・セキュリティ対策フレームワーク
- 目的:新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築し,求められるセキュリティ対策の全体像を整理すること
- 発行元:経済産業省
-
クラウドサービス利用のための情報セキュリティマネジメントガイドライン
- 目的:クラウドサービスの利用者と提供者が,セキュリティ管理策の実施について容易に連携できるように,実施の手引を利用者向けと提供者向けの対で記述すること
-
データセンターセキュリティガイドブック
- 目的:データセンタの利用者と事業者に対して"データセンタの適切なセキュリティ"とは何かを考え,共有すべき知見を提供すること
財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)
- 内部統制
- 組織内のアプリケーションシステムに,業務内容に応じた権限を付与した利用者IDとパスワードによって認証する機能を設ける。
攻撃
- サイドチャネル攻撃
暗号化装置における暗号化処理時の消費電力などの測定や統計処理によって,当該装置内部の秘密情報を推定する攻撃 - 関連平文攻撃
攻撃者が任意に選択した平文とその平文に対応した暗号文から数学的手法を用いて暗号鍵を推測し,同じ暗号鍵を用いて作成された暗号文を解読する攻撃 - ジャミング(Jamming)
無線LANのアクセスポイントを不正に設置し,チャネル間の干渉を発生させることによって,通信を妨害する攻撃
DoS
- DNSアンプ攻撃
DNSリフレクタ攻撃によってDNSサービスを停止させ,複数のPCでの名前解決を妨害する。 - マルチベクトル型DDoS攻撃
Webサイトに対して,SYN Flood攻撃とHTTP POST Flood攻撃を同時に行う。 - ボットネットを使った単体のDDoS攻撃
管理者用IDのパスワードを初期設定のままで利用している複数のIoT機器を感染させ,それらのIoT機器から,WebサイトにUDP Flood攻撃を行う。 - TCPのACKメッセージを悪用した、Optimistic Ack、Duplicate Ack、Partial Ackという3つの攻撃
ファイアウォールでのパケットの送信順序を不正に操作するパケットを複数送信することによって,ファイアウォールのCPUやメモリを枯渇させる。
防御
- DNS over TLS(DoT)
- DNS over HTTPS(DoH)
プロトコル
- SAML
認証情報に加え,属性情報と認可情報を異なるドメインに伝達するためのWebサービスの仕様 - WSDL(Web Services Description Language)
Webサービスに関する情報を公開し,Webサービスが提供する機能などを検索可能にするための仕様
TLS1.3
法律・規則
- NFV(Network Functions Virtualisation)
ETSI(欧州電気通信標準化機構)が提唱
ルータ,ファイアウォールなどのネットワーク機能を,汎用サーバを使った仮想マシン上のソフトウェアで実現する。
システム監査
- 監査調書
- 監査人が, 実施した監査のプロセスを記録したもの
- 改善計画書や改善実施状況報告書
- 監査対象部門が,監査報告後に改善提案への対応方法を記入したもの
- 個別監査計画書
- 監査人が,年度の監査計画を監査対象ごとに詳細化して作成したもの
テスト
- 探索的テスト
- テスト担当者が,ソフトウェアを動作させてその動きを学習しながら,自身の経験に基づいて以降のテストを動的に計画して進めるテストの方法はどれか。
- 実験計画法
- 実験計画法は、確認すべき複数の要因をうまく組み合わせることによって、なるべく少ない実験回数で効率的に実験を実施する手法です。
- モデルベースドテスト
- モデルベースドテストは、テスト設計モデルを用いてテストケースを設計する技術の総称です。