情報処理安全確保支援士(情報セキュリティスペシャリスト) - SE娘の剣 -

情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

情報処理安全確保支援士の試験対策セミナーを行います。

・日時:2019年1月19日(土) 10時~16時半(時間は微調整の可能性あり)
・場所:品川駅から徒歩10分(ごめんなさい15分に訂正させてください)以内の会議室で調整中。(正確な場所は、申込み者にご連絡します。)
・定員:20名程度
・参加者:2019年春の情報処理安全確保支援士試験を受験予定の方、または同等のセキュリティ知識を身に付けたい方
・参加費:6,000円(事前支払い、税込み、peatix経由)
     https://peatix.com/event/584878/view
    ※ブラウザはIEだと調子が悪い可能性があります。Chromeでお願いします。
      7,000円(当日支払い、税込み、connpass経由) 
     https://connpass.com/event/113830/
・内容:情報処理安全確保支援士試験の合格に向けた基礎知識をざざっと復習します。「基礎」である点、ご理解ください。とはいえ、試験は基礎がとても重要です。
時間が限られていますが、セキュリティの脅威、暗号、認証、PKI、サーバセキュリティ、クライアントセキュリティなどを、時間まで講義をさせてもらいます。
・ご相談ごとは、http://sc.seeeko.com/ 右のバーにある「講演・セミナーの依頼」の問い合わせフォームに記載ください。

2019.1.14追記 カリキュラムについて

このセミナーでお話する内容のメモを作成しましたので共有します。
※セミナー時間で終わるようにしたいのですが、時間的に厳しそうです。時間をみながら、優先度を考えて解説をしたいと思います。
※カリキュラムはあくまでも予定です。大幅な変更はありませんが、多少の変更が想定されますので、ご理解をよろしくお願いします。

■Introduction
・セミナー概要・目的
・本物のマルウェアはどれ?【クイズ】
・自己紹介
・支援士試験の特徴など

■1コマ目:セキュリティとは
・機密性、完全性、可用性とは?【マンガ】
・それぞれを脅かす攻撃と、その対策を書いてみよう
ください。【演習】
・問題演習【演習】

■2コマ目:脅威
・脅威とは
・脅威の3分類
・脆弱性とは何か
・脆弱性の指標であるCVE、CWE、CVSS
・JVNでみてみよう【実演】
・問題を解いてみよう【演習】

■3コマ目:マルウェアとは
・マルウェアとは【マンガ】
・マルウェアの種類
・ランサムウェアの実際の感染の様子をみてみよう【動画】
・ウイルス対策方法
・問題を解いてみよう【演習】
・ダークネット

■4コマ目:DoS攻撃
・DoS攻撃とは
・SYN FLoodの仕組み
・対策についての問題を解いてみよう
・DNS AMPの前にDNSの仕組み
・DNSのコンテンツサーバとキャッシュサーバ
・DNS AMP
・問題を解いてみよう【演習】

■5コマ目 パスワードクラック
・パスワード攻撃の種類、パスワードリスト攻撃
・ブルートフォースアタックの実演【デモ】
 4桁のパスワードはどれくらいで突破できるか
 5桁の場合は?

■6コマ目 標的型攻撃とは
・言葉の整理
 APT、水飲み場攻撃、ドライブバイダウンロード
・C&Cサーバの解説【マンガ】
・標的型攻撃の実演【動画】
・標的型攻撃の流れ
・対策の考え方

■7コマ目 その他の攻撃
・ARPスプーフィング
・IPアドレスの偽装
・問題を解いてみよう【演習】

■8コマ目 フィッシング
・フィッシングとは
・フィッシングの事例紹介
 本物のサイトはどれ?【クイズ】
・ICE BREAK【クイズ】
・本物のドメインはどれ?【クイズ】

■9コマ 暗号
・固定電話と携帯電話、盗聴されやすいのはどっち?【クイズ】
・暗号の概要
・共通鍵暗号
・ブロック暗号とストリーム暗号(言葉だけ知っておきましょう)
・公開鍵暗号
・3つの鍵の整理
・鍵の数を求めてみよう
・問題演習。さて、どの鍵をつかう?
 ①機密性を守る、②本人かどうかを確かめる
・ハイブリット暗号
・ハッシュ関数とは。概要と特徴
・ハッシュ関数の実演【実演】
・SSLによる暗号

■10コマ 認証
・認証の3つ
・「本人認証」3つの方式
・指紋認証を突破【実演】
・問題を解いてみよう【演習】
・時刻認証の目的
・その他の認証も、ささっとみておきましょう
 チャレンジレスポンス、MAC、CAPTCHA(キャプチャ)
 
■11コマ SAML
・仕組み
・登場人物であるSP、利用者、IdP、LDAPサーバの関係を理解する問題 【演習】

■12コマ PKI
・PKIとは
・ディジタル署名
・証明書をみてみよう【実演】
・証明書の問題【演習】
・もう一問、問題を解いてみよう【演習】

■13コマ SPAM対策
・SPAMメールとは
・SPAM(迷惑)メール対策の全体像
・POP before SMTP と SMTP-AUTH
・OP25B(Outbound Port 25 Blocking)
・SPF(Sender Policy Framework)とは
・その他
 SPFとSenderID、逆引き、DKIM
 
■14コマ 以降は時間に余裕があればですが、難しいと思います。
・サーバへの攻撃を解説
 ・インジェクション攻撃
 ・クロスサイトスクリプティング
 ・過去問でみてみよう【演習】

・その他対策技術をできるだけ
 ・ログの重要性【マンガ】
 ・URLフィルタリング
   ・・・・・

資格は力 -情報処理技術者試験・IT資格試験 連勝の勉強法
左門 至峰
技術評論社
2018-10-16
この本は、ネットワークスペシャリストや安全確保支援士などの情報処理技術者試験を軸にしながらも、ベンダ試験やその他ベンダニュートラルな試験も含めて、IT資格の勉強法の全般について書かせてもらいました。
これまでネスペシリーズなどで、IT資格の勉強法などについても少しずつ書いてきましたが、私の資格取得に対するノウハウを1冊にまとめた本になります。

冒頭には、ハッカージャパンでも連載経験があるモリ淳史さんのマンガがあります。これは、私の若いころの失敗談および、資格を目指した経緯などを私のプロフィール代わりとして紹介したものです。

情報処理技術者試験などのIT資格取得を目指す方の指針として、またモチベーションアップのためにも、ぜひ読んでいただきたい一冊です。

出版社さんのサイトに、サンプルページや詳しい目次などが記載されています。
https://gihyo.jp/book/2018/978-4-297-10176-3

情報セキュリティの3大要素を、それぞれ「〇〇性」で答えよ
情報セキュリティスペシャリスト試験を目指す女性SE 
3大要素ですか・・・
東野圭吾さんの「歪笑小説 (集英社文庫)」にあった、「編集者は必要なのは三つのG」「ゴルフ、銀座、ゴマすり」みたいなものですよね。 
で、そもそも、「3大要素」ってどういう観点の3大要素ですか?
セキュリティの目的と考えればいいだろう。試験センターのシラバスには、情報セキュリティの目的と考え方が掲載されている。
情報セキュリティの目的と考え方
 情報の機密性(Confidentiality),完全性(Integrity),可用性(Availability)を確保,維持することによりさまざまな脅威から情報システム及び情報を保護し,情報システムの信頼性を高めることを理解する。
(試験センターの応用情報シラバスより引用)
「機密性」「完全性」「可用性」は情報セキュリティの3大要素とも言われ、情報セキュリティの目的は、この3つを守ることと考えてよいだろう。
 ・機密性は、データを暗号化するなどして、第三者に盗まれたり盗聴されたりしないようにすること。
 ・完全性は、データの改ざんなく正確な状態に保つこと。過去問では、「完全性を脅かす攻撃」の例として、「Webページの改ざん(H21AP秋午前40)」と述べられている。
 ・可用性は、サービス妨害攻撃などに対処し、利用したいときに使用できる状態になっていること。

さて、この問題の正解は、機密性、完全性、可用性である。
情報セキュリティの3大要素_情報セキュリティスペシャリスト

「機密性」「完全性」「可用性」に加え、以下の4つも理解しておきましょう。ただ、試験にはほとんど出ませんので、さらりと確認するレベルでいいでしょう。

信頼性(Reliability)
 セキュリティの要素というよりは、やや一般的な内容です。たとえば、セキュリティのシステムが正しく動作していなければ、不審者を侵入させてしまったり、認証を間違えたりしてしまいます。セキュリティのシステムそのものが信頼性できる状態である必要があります。

責任追跡性(Accountability)
 ユーザがシステムにアクセスした記録を追跡できるようにすること。Accountabilityの関連語でAccountingという言葉をよく耳にすると思う。Accountingという言葉は、ITの世界では「課金」を意味する。課金をするには、「誰が」「いつ」「どのシステム」にアクセスしたかを正確に記録しておく必要がある。

真正性
詳しくは以下を参照してください。
http://sc.seeeko.com/archives/4064030.html


否認防止性(Non Repudiation)
 「やっていません」と否認する人に対し,証拠を見せます。過去問(H28春AP午前問39)では、「否認防止の特性」に関して「ある利用者がシステムを利用したという事実を証明可能にする」と述べられています。
情報セキュリティスペシャリスト試験を目指す女性SE 

どうやって証拠を見せるのですか?
単純な例として、認証およびその記録を取ることです。深夜のサーバ室に誰が侵入して盗難を働いたとします。IDパスワード認証や生体認証での入室の記録があれば、その本人が間違いないく侵入したという証拠になります。結果として、やっていないという否認を防止します。

さてここで、以下の過去問の、空欄を考えましょう。
問 以下のb,cに当てはまる字句を答えよ(H20SV午後2問2より抜粋)
IDは英語でidentifier (識別子)というくらいだから利用者の識別が主な目的ではあるが,もう一つ大事な目的として[ b ]制御がある。つまり,どの利用者に,どのリソースに対して,どのようなアクセスを許可するのかということだ。個別に利用者IDを割り当てないと,権限の管理が適切に行えないおそれがある。また,最近は内部統制の観点から[ c ]性という要素も重視されるようになってきている。
今回は、責任追跡性に関する内容です。。
穴埋めの正解は以下である。
b 許可
c 責任追跡
情報セキュリティの責任追跡性と否認防止性と真正性

↑このページのトップヘ