安全情報確保支援士 – 用語暗記メモ

2019年3月20日SC-暗記メモ, 資格SC, 安全情報確保支援


SC(セキュリティスペシャリスト)に落ちまくり、『安全情報確保支援士』へと名前が変わってしまっても、まだ合格できない。

もうどうしていいのか判らない!

でも諦められないので、勉強の記録をこれからとっていこうと思います。

ここに要点を絞った用語をメモして暗記に役立てられれば。。。


なので、このページは安全情報確保支援士に合格するため、自分へのメモとして書き溜めていこうと思います。
そして、私が合格できたとすれば、ここのメモは合格するためのメモへと昇華されるのです。

一日でも早く”合格のための暗記メモ”と言えるようにがんばっていきます。

勉強で使っている教材

今は過去問ではなく予想問題集をメインでがんばっています。
午後問題では『こんな回答は正解か?』のように正解に近い別解や、誤った回答の説明がついていたりと、回答方法の勉強ができています。

出題用語の暗記メモ

※記載の順番に意味はありません
 下手すると重複すらするかもしれません
(というか重複していたら私的に覚えにくい用語ということになりますね。。。)


情報セキュリティ管理

情報セキュリティの特性
機密性、完全性、可用性、責任追跡性、真正性、信頼性

JIS Q 27002:情報セキュリティマネジメントの『実践
JIS Q 27001:情報セキュリティマネジメントの『要求事項
  要求する理由は? ⇒ ISMS適合性評価制度の認証基準(第三者が審査するときの指標)

暗号技術・認証技術

プリマスタシークレット(秘密情報)
 TLS(Transport Layer Security)ではクライアントとサーバ間で『共通鍵』を使う。
 クライアント側でプリマスタシークレットを作り、サーバ側の公開鍵で暗号化してサーバに送信する。
 サーバは受信した後、サーバの秘密鍵で複合し、クライアントとサーバで共通の乱数を加えて『マスターシークレット』を作成する。
 これを使ってクライアント、サーバそれぞれで共通鍵を作成する。

PSK(Pre-Shared Key:事前共有鍵)
 無線LANでアクセスポイントと無線端末にあらかじめ設定する共有鍵

認証鍵
 メッセージ認証の際、送信者と受信者が使う共有鍵

秘密鍵 = Private Key = 私有鍵

通信の制御と監視

ソルト(ハッシュにするときにPwdに1文字足す)による効果
・同じパスワードでもハッシュ値が異なる
 (例えばPwdが「apple」でハッシュが「AAA」になるとすると、ソルト「b」を加えて「appleb」のハッシュができるので「BBB」に変わる。パスワードは「apple」でもソルトが判らないとハッシュは得られない。)
・レインボーテーブル攻撃に耐性ができる

不正競争防止法
営業秘密の不正な取得や使用に対し、差し止めや損害賠償に関する措置を定めている法律。
 ⇒①秘密管理性:秘密として管理されている
  ②有用性  :有用な営業上、技術上の情報
  ③非公知性 :公然と知られていない

SPF認証(送信ドメイン認証の一つ)
受信側メールサーバが受信したメールに対し、送信側ドメインの所属するDNSサーバに『SPFレコード』を問い合わせる。
返ってきたSPFレコードに含まれるIPアドレスと、送信元IPアドレスを照合する。
不一致なら認証しない。
⇒ 送信側がドメインを詐称してメールを送ってきても送信元のIPアドレスがDNSサーバのSPFレコードと一致しないので認証は行われない。

RLO(Right to Left Overridde)
制御文字以降の左右を入れ替える。
Ex) Applexe.pdf

これは一見PDFファイルになっているが、制御文字以降が入れ替わっている。
Apple[RLO]exe.pdf これを元に戻す⇒ Apple[RLO]fdp.exe
※[RLO]は制御文字

ポイントは「pdf.exe」にならない事。意味単位ではなく、左右が完全に逆になる。

攻撃者は侵入を検知されたくない
⇒ 侵入して取得したデータを細分化し、暗号化して外部に送信する。
データを取得しただけでは意味がないので、攻撃者の元に送信することになる。
その際に、大きいファイルでは送信できないように制御されていたり、検知されることがあるので、攻撃者は送信するときに対策をしておく。