【基本情報】午後対策まとめ｜情報セキュリティ

この記事では、《 基本情報技術者試験 の 情報セキュリティ 》について、
学習した内容を、備忘録としてまとめています。

• 『情報セキュリティ』の概念
• 『サイバー攻撃手法』について
• 『アクセス制御（アクセスフィルタリング技術）』について
• 『暗号化・認証技術』について

こういった内容についてまとめています。

※本記事は、自分で学習したことのまとめ用として書いています。
尚、解説で誤った点があれば、スローして頂ければ喜んでキャッチしますのでお願い致します。

【概念】 『情報セキュリティ』とは…？

企業や組織における『情報セキュリティ』とは、企業や組織の情報資産（※）を…

1.  機密性
2.  完全性
3.  可用性

に関する脅威から保護すること。

※ 情報資産・・・企業や組織などで保有している情報全般のこと

① 機密性

許可された者だけが情報にアクセスできるようにすること。

② 完全性

保有する情報が正確であり、完全である状態を保持すること。

つまり・・・

情報が不正に改ざんされたり、破壊されたりしないこと。

③ 可用性

許可された者が必要なときにいつでも情報にアクセスできるようにすること。

つまり・・・

情報を提供するサービスが常に動作するということ。

参照：情報セキュリティの概念｜組織幹部のための情報 - 総務省

出題のポイント

• サイバー攻撃手法
  • 『パソコンやそのユーザー』に対する攻撃手法
  • 『サーバー』に対する攻撃手法
• アクセス制御（アクセスフィルタリング技術）
  • ファイアウォール
  • DMZ
• 暗号化・認証技術
  • 共通鍵暗号方式（秘密鍵暗号方式）
  • 公開鍵暗号方式
  • 公開鍵暗号方式と公開鍵暗号基盤（PKI）

サイバー攻撃手法

『パソコンやそのユーザー』に対する攻撃手法

① トロイの木馬

• 普通のソフトウェア（無害なアプリケーション）のように見せて、内部で不正な動作を行うプログラム。
• バックドアの構築やウイルスのダウンロードなどを行う。
• 自己増殖はしない。

参照：トロイの木馬とは？その種類から検出・駆除・対策方法を解説

② ボット

• 攻撃者の遠隔操作で動作する不正なプログラム。
• 感染すると、外部からの指示を待ち、与えられた指示に従って内蔵された処理を実行する。

参照：基礎知識 ボットとは？ - 総務省

③ スパイウェア

• コンピューターから個人情報や行動を盗み出すプログラム。

参照：スパイウェアとは？その種類別の症状、感染経路や対策を解説

④ 標的型攻撃

• 機密情報を盗み取ることなどを目的として、特定の個人や組織を狙った攻撃。
• 業務関連のメールを装ったウイルス付きメール（標的型攻撃メール）を、組織の担当者に送付する手口が知られている。

参照：標的型攻撃への対策 - 総務省

⑤ スキミング

• カード情報を、読み取り装置やカメラの録画で盗み取り、同じ情報を持つ『偽造カード（クローンカード）』を作成し、不正利用する犯罪のこと
• 他人の銀行口座から預金を引き出したり、クレジットカードを不正に使用したりする。

参照：スキミングとは？その仕組みや手口、セキュリティ対策について徹底解説

⑥ フィッシング（フィッシング詐欺）

• 送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のWebサイトに接続させたりするなどの方法で、クレジットカード番号、アカウント情報（ユーザID、パスワードなど）といった重要な個人情報を盗み出す行為。

参照：フィッシング詐欺に注意 - 総務省

『サーバー』に対する攻撃手法

① ブルートフォース攻撃

• システム利用に必要となるログインIDやパスワードを総当たりで試し、システムに不正侵入する攻撃。（総当たり攻撃とも呼ばれる）

参照：ブルートフォースアタック（総当たり攻撃）とは？そのやり方・実際にかかる時間・対策方法は？

② Dos（Denial of Service）攻撃

• サーバーに対してセキュリティ上の欠陥（セキュリティホール）を突いたり、大量のアクセスを集中させて過度の負荷を与えて、サービスの停止やシステムダウンを引き起こす攻撃。

参照：DoS攻撃・DDoS攻撃とは？攻撃の目的や種類、事例、対策方法を解説

③ クロスサイトスクリプティング

• 動的にWebページを生成するアプリケーション（例：TwitterなどのSNSや掲示板等）の入力フィールドに、不正な動作をさせるスクリプト（JavaScriptなど）を挿入する。
• このWebサイトを訪れる利用者のブラウザに不正な動作をさせるサイバー攻撃。

サービスを利用しているユーザーに及ぶ攻撃で、標的になったサイトとは別のサイトに情報を送信（クロス）することから、この名前で呼ばれるようになった。

参照：クロスサイトスクリプティングとは？仕組みと事例から考える対策

アクセス制御（アクセスフィルタリング技術）

① ファイアウォール

『ファイアウォール』の役割

『ファイアウォール』は・・・

通過しようとするパケットのIPアドレスやポートを検証し、通信を許可・拒否する機能。

ファイアウォールは、中継するパケットのヘッダ部を見て、通信の 許可／拒否 を制御することで、通信上のリスクを低減する。

ファイアウォールを適切に設定することで、外部セグメント ⇒ DMZへの特定の通信を許可し、外部セグメントから内部セグメントへの直接の通信を遮断することが可能になる。

『ファイアウォール』の限界

ファイアウォールの導入のだけでは、ネットワーク経由の全ての脅威を防ぐことはできない。

ファイアウォールは、拒否設定した通信以外は全て通すため、

例えば・・・

• Dos攻撃
• Webサーバーのバッファオーバーフロー

といった脅威については、防ぐことができない。

② DMZ

『DMZ（DeMilitarized Zone：非武装セグメント）』は・・・

外部セグメント（インターネットなど外部ネットワーク）と内部セグメント（社内LANなどの内部ネットワーク）の間に設定される緩衝地帯。

通常は、DMZにWebサーバーやメールサーバーなど、社外に公開する必要のあるサーバー群を設置する。

• 外部セグメントとDMZ
• 内部セグメントとDMZ

に適切なファイアウォール設定を行うことで、仮に…

" DMZ内の公開サーバーにウィルスを埋め込まれる "

などの被害があった場合でも、被害を最小限にできる。

利用者向けのサービスをインターネットに公開する場合、インターネットからの不正なアクセスから重要なデータを保護するためには…

• WebサーバーをDMZ
• データベースサーバーを内部セグメント

に設置すれば良い。

暗号化・認証技術

暗号化とは、内容が分からないようにデータを変換すること。

データを変換する方法を暗号化アルゴリズムといい、『鍵』と呼ばれる変換用情報を使って暗号化や復号をする。

① 共通鍵暗号方式（秘密鍵暗号方式）

『共通鍵暗号方式』は・・・

暗号化と復号に同じ鍵を使う暗号方式。

当然ながら、『情報を送る人』と『情報を受け取る人』以外には鍵を秘密にしておく必要がある。

そのため・・・

『秘密鍵暗号方式』とも呼ばれる。

例： DES、AES

『情報を送る側』と『情報を受け取る側』が同じ鍵を使用するので、相手ごとに異なる秘密鍵が必要となる。
また、鍵そのモノを相手に送る必要があるので、鍵の管理が複雑になる。

② 公開鍵暗号方式

『公開鍵暗号方式』は・・・

データの受信者が『暗号化鍵』とペアになる『復号鍵』を別に作り、データの送信者が使用する暗号化鍵を公開（公開鍵）し、復号鍵を自分だけの秘密（秘密鍵）にする方式。

例： RSA

鍵の管理は、復号鍵だけを他人に知られないように管理するだけで良い。（暗号化鍵は他人に知られても良い）

③ 公開鍵暗号方式と公開鍵暗号基盤（PKI）

『公開鍵暗号方式』は・・・

『公開鍵を配布する』ため、鍵の配布が共通鍵暗号方式と比べて簡単に行える。

しかし、その反面・・・

その公開鍵が正当な人が発行したモノかどうかを検証する必要がある。

そのための仕組みが、PKI（public key certificate：公開鍵暗号基盤）。

PKIでは、認証局（CA：Certificate Authority）という組織が、各公開鍵の証明書を発行し、公開鍵の正当性を保証する。

この証明書を『公開鍵証明書』と言う。

参照：PKIとは？｜GMOグローバルサイン【公式】

④ ハッシュ関数とハッシュ値

『ハッシュ関数』は・・・

与えられたデータをあるアルゴリズムによって『ハッシュ値』と呼ばれる固定長の値を出力する。

ハッシュは、英語で『散らす』という意味。

『ハッシュ関数』は、下記のような特徴を持つ。

• 元データが１ビットでも異なれば、全く異なるハッシュ値が出力される。
• 元データのサイズに関わらず、ハッシュ値は固定長。
• 『ハッシュ値』と『ハッシュ関数』が分かっても、元データは特定できない。

『ハッシュ値』のことをメッセージダイジェストと呼ぶこともある。

『ハッシュ関数』のアルゴリズムとしては…

• SHA-1
• SHA-256
• MD5（Message Digest Algorithm 5）

などが一般的。

⑤ SSL／TLS

『SSL（Secure Sockets Layer）』は・・・

データを安全に送受信するためのセキュリティプロトコルで、次のような機能がある。

• サーバーとブラウザ間のTCP通信を暗号化し、『データの盗聴』や『データの改ざん』を防止する。
• PKIの仕組みを利用し、認証局の公開鍵証明書によって通信相手のなりすましを防止する。

参照：【図解】SSL/TLSとは何か？仕組みや導入方法をわかりやすく解説します

⑥ ディジタル署名

『ディジタル署名』は・・・

紙の書類に捺印やサインをする機能を電子的に行う方式で、本人が情報を生成したことを証明する方式。

仕組みとしては・・・

送信側でハッシュ関数を使って、メッセージからメッセージダイジェスト（ハッシュ値）を作成し、受信者に送信。

そして・・・

受信側で同じ処理（メッセージからメッセージダイジェストを作成）を行い…

• 送られてきたメッセージダイジェスト
• 作成したメッセージダイジェスト

を比較することで、メッセージが改ざんされていないことを確認する。

参照：デジタル署名の仕組み - ネットワークエンジニアとして

リスク管理（リスクマネジメント）

参照：リスクマネジメントとは、リスクアセスメントとの違いや具体的プロセスついて徹底解説

リスク分析

• リスクの潜在箇所を洗い出し、発生確率・被害の大きさを分析。

リスク評価

• リスクの発生確率・影響度を定量的に評価。

リスク対策

• 各リスクに対する適切な対応策を検討。