情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。

02.セキュリティと脅威

情報セキュリティの3大要素

1.情報セキュリティの3大要素 (1)機密性(Confidentiality) (2)完全性(Integrity) (3)可用性(Availability) 2.拡張要素 (1)信頼性(Reliability) (2)責任追跡性(Accountability) (3)真正性(Authenticity) (4)否認防止性(Non Repudiation) 3.…

情報セキュリティ対策の全体像

1.情報セキュリティ対策の全体像 2. Top 4 security controls 1.情報セキュリティ対策の全体像 情報処理安全確保支援士試験では、脅威を理解するだけではなく、その対策が重要である。古い文献ではあるが、以下が整理されたセキュリティ対策の全体像だと思う…

様々な脅威

1.ARPスプーフィング(ARPポイズニング) (1)攻撃の概要 (2)ARPスプーフィングはなぜ成功するのか 2.不正取得の脅威 サラミ法 3.テンペスト(Tempest:電磁波盗聴) 4.IPアドレスの偽装について(TCPとUDP) 5.Gumblar 6.中間者攻撃① 7.中間者攻撃② HTTPS通…

脅威について

1.そもそも脅威とは何か? (1)脅威とは (2)脅威の分類 2.不正アクセスについて (1)不正アクセスとは (2)不正アクセスの被害 (3)不正アクセスの原因 (4)不正アクセス対策 3.STIX 4.不正のトライアングル 5.ハッカーおよび攻撃者について (1)ハッカーとホワイ…

攻撃ツール

1.RLO(Right-to-Left Override)を利用した手口 2.Exploitコード 3.バックドア 4.ルートキット(rootkit) 5.C&Cサーバ 6.その他の攻撃ツール 1.RLO(Right-to-Left Override)を利用した手口 過去問(H26SC春午前2問1)には、「RLO(Right-to-Left Override)を…

ソーシャルエンジニアリング

1.ソーシャルエンジニアリング 2.産業スパイ 3.スキャベンジング(scavenging)なんて本当にできるの? 1.ソーシャルエンジニアリング 「緊急事態を装う不正な手段によって組織内部の人間からパスワードや機密情報を入手する行為(H19FE秋午前問68参照)」を…

パスワードクラック

1.パスワードの不正取得方法(辞書攻撃、スニッフィング、ブルートフォース攻撃) 2.パスワードクラックへの対策 3.リバースブルートフォース攻撃 4.ロギングツール(キーロガー) 5.IPSでパスワードクラックは防げるか? 6.パスワードリスト攻撃 1.パスワー…

DoS攻撃

1.DoS攻撃 2.IPスプーフィング(spoofing) 3.SYN Flood 4.SYN Flood攻撃への対策 5.Smurf攻撃 6.ICMP Flood攻撃 7.DNS reflection(DNS amp) 8.NTPリフレクション攻撃 9.EDoS(Economic DoS) 10.DNS水責め攻撃(ランダムサブドメイン攻撃) 11.DoS攻撃は…

標的型攻撃

1.標的型の攻撃が流行ってる? 2.標的型攻撃とAPT 3.水飲み場型攻撃(Watering Hole Attack)とドライブバイダウンロード 4.標的型攻撃の対策 5.標的型攻撃のシナリオ 6.Facebookの友達申請は本当に友達? 7.標的型攻撃は巧みである 1.標的型の攻撃が流行っ…

セキュリティ事件

1.情報漏えいとその経済的損失 2.日本年金機構の標的型攻撃 3.相次ぐWebサイトの改ざん 4.衆議院へのサイバー攻撃事件 1.情報漏えいとその経済的損失 中小企業の情報セキュリティ対策ガイドライン(https://www.ipa.go.jp/security/fy20/reports/sme-guide/…