はじめに

基本情報技術者試験の勉強で私がまとめたノートを公開していきます！
基本情報の内容は応用情報でも出題されるので学習しておくべき！

関連記事

・ コンピュータ構成要素
・ 基礎理論
・ システム構成要素
・ ソフトウェアとマルチメディア
・ ネットワーク技術
・ アルゴリズムとプログラム
・ システム開発技術

目次

• はじめに
• 関連記事
• 目次
• 情報セキュリティ
  • 【1. リスク管理とセキュリティ対策】
  • 【2. マルウェアと不正ソフトウェア】
  • 【3. デバイス管理と個人端末リスク】
  • 【4. サイバー攻撃と脆弱性対策】
    • パスワードに関する攻撃手法
    • Webアプリケーションへの攻撃
    • 通信・セッションの乗っ取り系攻撃
    • セキュリティの脆弱性と対策
    • セキュリティ対策技術・仕組み
  • 【5. 認証・暗号技術】
  • 【6. セキュリティ組織・情報保護・その他】
• 関連記事

情報セキュリティ

【1. リスク管理とセキュリティ対策】

・リスクマネジメント：
　　リスクを特定・評価・対処し、損失を最小限に抑える取り組み。
・リスクアセスメント：
　　リスクを分析・評価し、対応の必要性を判断するプロセス。
　　（例：リスクの特定 → 分析 → 評価）
・セキュリティリスクアセスメントの順序：
　　情報セキュリティにおいては以下のような流れで行う。
　　脅威の特定 → 脆弱性の評価 → リスクの評価 → 対策の立案
・リスクレベルの定義：
　　リスクの大きさを「結果の重大さ」と「起こりやすさ」の組み合わせで示す。
・リスクコントロール：
　　リスクの発生確率や影響を抑えるための方法（例：予防措置の実施）。
・リスクファイナンシング：
　　損失が発生した際に備えて、資金的な対策を講じる（例：保険加入、リスク保有判断）。
　　影響が小さければリスクを許容することも検討する。＝リスク保有
・ソーシャルエンジニアリング：
　　コンピュータを使わずに人の心理や行動の隙をついて不正に情報を得る手口。
　　対策①：クリアスクリーン（離席時に画面をロック）
　　対策②：クリアデスク（書類などを机上に放置しない）

【2. マルウェアと不正ソフトウェア】

・マルウェア：
　　悪意ある不正なプログラムの総称。ウイルス、スパイウェア、ランサムウェアなどを含む。
・スパイウェア：
　　利用者の同意なしにインストールされ、個人情報などを外部に送信する不正ソフトウェア。
・キーロガー：
　　キーボードの入力内容（例：IDやパスワード）を記録し、攻撃者に送信するマルウェア。
・ランサムウェア：
　　ファイルやシステムを暗号化・ロックし、復元のために金銭を要求する不正プログラム
・C&Cサーバ：
　　攻撃者がマルウェアに感染した複数の端末を遠隔で制御するために使用するサーバ

【3. デバイス管理と個人端末リスク】

・BYOD（Bring Your Own Device）：
　　会社の許可を得て、私物のPCやスマートフォンを業務利用する取り組み。
・シャドーIT：
　　会社の許可を得ずに、私物のPCやスマートフォン、またはクラウドサービスを業務利用する取り組み。
・MDM（Mobile Device Management）：
　　企業が従業員に貸与したスマートフォンやタブレットの設定・アプリ・データを一元的に管理・制御する仕組み。
　　紛失時にはリモートワイプ（遠隔データ削除）なども可能。

【4. サイバー攻撃と脆弱性対策】

パスワードに関する攻撃手法

・パスワードクラック攻撃：
　　IDやパスワードを不正に入手しようとする攻撃の総称。
・辞書攻撃：
　　よく使われる単語（辞書）を使ってログインを試す攻撃。
　　利用者IDを１つ定めて総当たり的にパスワードを試す。
・ブルートフォース攻撃：
　　英数字、記号などあらゆる文字の組み合わせを網羅的に試す総当たり攻撃。
　　利用者IDを１つ定めて総当たり的にパスワードを試す。
・パスワードリスト攻撃：
　　他サービスから漏洩したIDとパスワードの組み合わせを使用してログインを試す攻撃。
　　複数の利用者IDに対してログインを試す。
・パスワードスプレー攻撃：
　　多くの利用者IDに対して、よく使われるパスワード（「password123」など）を試す攻撃。
　　1つのIDに対して何度もログイン失敗するとロックされる仕組みを回避するための手法。
　　複数の利用者IDに対して１つのパスワードを試していく。

Webアプリケーションへの攻撃

・クロスサイトスクリプティング（XSS）：
　　悪意あるスクリプトをWebページに埋め込み、閲覧者のブラウザ上で実行させる。
　　ユーザーが正規のサイトを閲覧した際に、そのWebページ上で攻撃者のスクリプトが実行されるため、あたかもそのサイト自体が攻撃してきたように見える。
・SQLインジェクション：
　　WebフォームなどにSQL文を埋め込み、データベースを不正操作する攻撃。
・ディレクトリトラバーサル：
　　URLやパスなどを操作して、アクセス制限されたファイルに不正アクセスする攻撃。

通信・セッションの乗っ取り系攻撃

・セッションハイジャック：
　　通信中のセッションIDを盗んで、正規ユーザーになりすます攻撃。
・DNSキャッシュポイズニング攻撃：
　　DNSキャッシュサーバのキャッシュに偽の情報を登録して、そのキャッシュを参照した利用者を悪意あるサイトへ誘導する。
　　対策⇒DNS問い合わせに使用するDNSヘッダー内のIDを固定せずランダムに変更する。
・SEOポイズニング：
　　悪意あるサイトを検索結果の上位に表示させて、誘導する手法。
・ドライブバイダウンロード：
　　Webサイトを閲覧したときにマルウェアを自動ダウンロードされる攻撃。
・バッファオーバーフロー攻撃：
　　プログラムの入力用メモリ領域（バッファ）に、許容量を超えるデータを入力し、本来意図されていない命令を実行させる攻撃。

セキュリティの脆弱性と対策

・ゼロデイ攻撃：
　　ベンダーから修正パッチが提供される前の脆弱性を狙う攻撃。
・CVE（共通脆弱性識別子）：
　　JVNなどの脆弱性情報を取り扱うサイトで公開されており、ベンダーやセキュリティ期間で共通の情報を参照できる脆弱性情報を扱う。
・エクスプロイトコード：
　　ソフトウェアの脆弱性を悪用した不正な動作を再現するために作成されたスクリプト。
　　主にソフトウェアの脆弱性を悪用するコードを指すが、脆弱性の検証にも役立つ。
・ファジング：
　　システムに問題を起こしそうなデータを多様なパターンで大量に入力して挙動を観察する。
　　脆弱性を見つけるための検査手法。
・ペネトレーションテスト：
　　実際に攻撃を仕掛けることで、システムの脆弱性を評価するテスト。
　　FWや公開サーバーの脆弱性や設定ミスの有無を確認する検査手法。

セキュリティ対策技術・仕組み

・ファイアウォール：
　　インターネットと内部ネットワークの境界で外部からの不正アクセスを遮断する仕組み。
・WAFで防御できるもの：
　　Webアプリケーションの脆弱性を狙った攻撃のみ防ぐ。
　　例えば、SQLインジェクション、XSSなど
・SSL（Secure Sockets Layer）：
　　インターネット上での通信内容を暗号化し、盗聴・改ざんを防ぐ技術。
　　Webブラウザに標準搭載されており、SSLを実装したのがHTTPS（HTTP over SSL/TLS）
　　HTTPSはWebサーバーとブラウザ間の通信を暗号化する。
・DNSSEC：
　　DNSキャッシュポイズニングなどを防ぐために、DNS応答に電子署名を追加する仕組み。
　　名前解決の応答パケットにデジタル署名を付加して応答レコードが改ざんされていないことを検証する。
・UTM（Unified Threat Management）：
　　ファイアウォール、ウイルス対策、侵入検知など複数のセキュリティ機能を統合した機器。

【5. 認証・暗号技術】

・シングルサインオン：
　　一度のログインで、複数のサービスやシステムにアクセスできる仕組み。
　　認証情報（トークンなど）がバックエンドで共有されるため、各サービスは「認証済み」と判断する。
・チャレンジレスポンス認証：
　　サーバーから送られた「ランダムな文字列」と「利用者が入力したパスワード」をクライアント側で演算子し、その結果をサーバーに送信する認証方法。
・メッセージ認証符号（MAC）：
　　通信データの改ざんを受信側で検査する。
　　送信された符号が一致すれば改ざんなし、不一致の場合は改ざんあり。
・共通鍵暗号方式：
　　送信者は「共通の秘密鍵」で暗号化し、受信者は「共通の」秘密鍵で復号する。
　　通信相手ごとに鍵を作成する必要がある。
　　公開鍵暗号方式に比べて処理が早い。⇒暗号化・復号化が比較的容易。
・公開鍵暗号方式：
　　送信者は「受信者の公開鍵」で暗号化、受信者は「受信者の秘密鍵」で復号する。
・デジタル署名：
　　公開鍵暗号方式で電子文書の正当性を保証する。
　　電子文書の作成者が本人であること、電子文書が改ざんされていないことを検知する。
　　デジタル署名は「送信者の秘密鍵」で署名、「送信者の公開鍵」で検証する。
・認証局：
　　デジタル署名を発行し、公開鍵の正当性を保証する。

【6. セキュリティ組織・情報保護・その他】

・SOC：
　　サイバー攻撃の検知や分析などを専門とする組織。
　　事前の対策や検知に重点。
・CSIRT：
　　インシデント発生時の対応などセキュリティ対策を専門とする組織。
　　事後の対応が中心。
・パターンマッチング法：
　　ウィルスやワームを検知する方法。
　　ウィルスが持つ特徴的なコードをパターン（シグネチャコード）としてDB化。
　　検査対象のファイルを比較することでウィルスの検出を試みる。
　　未知のウィルスや未定義のウィルスは検知不可。
・デジタルフォレンジックス：
　　不正アクセスなど、コンピュータに関する犯罪の証拠となる情報を保全、収集、分析する。
・共連れ：
　　入室許可された人と許可されていない人が一緒に入室する行為。
　　対策⇒カメラ設置、セキュリティゲート設定、アンチパスバックの利用、従業員の教育。
・アンチパスバック：
　　入室時の記録がない場合、退室許可しない仕組み。
・耐タンパ性：
　　ハードウェアやソフトウェアが外部からの攻撃にどの程度耐えられるかの性能。
　　具体例⇒チップ内部を物理的に解析しようとした場合、内部回路を破壊するなど。
・個人情報保護：
　　１．利用目的を本人に明示し、本人の了承を得ること。
　　２．流出・盗難・紛失を防ぐこと。
　　３．本人が閲覧可能であること。
　　４．本人申し出により訂正できること。
　　５．同意のない目的外利用は本人の申し出で停止できること。
・匿名加工情報：
　　個人の識別ができないように加工し復元できないようにした情報。
・仮名加工情報：
　　他の除法と照合すれば識別できる情報。
・マッシュアップ：
　　公開されている複数のサービスを利用して、新しいサービスを提供する。

関連記事

・ コンピュータ構成要素
・ 基礎理論
・ システム構成要素
・ ソフトウェアとマルチメディア
・ ネットワーク技術
・ アルゴリズムとプログラム
・ システム開発技術