2019-01-01から1年間の記事一覧
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「IoT機器」を題材にした「IoT機器内部情報の不正利用」を解説していきます。
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「IoT機器」を題材にした「IoT機器と複数サーバ間での認証連携」を解説していきます。
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「IoT機器」を題材にした「HMAC」を解説していきます。
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「クラウドサービスの利用における認証方式の強化」を題材にした「FIDO」を解説していきます。
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「クラウドサービスの利用における認証方式の強化」を題材にした「ワンタイムパスワード認証方式でも攻撃者に悪用される」を解…
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「クラウドサービスの利用における認証方式の強化」を題材にした「サーバ証明書」を解説していきます。
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「クラウドサービスの利用における認証方式の強化」を題材にした「攻撃者が用意した無線アクセスポイントに誘導される仕組み」…
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「Webサイト間の情報連携」を題材にした「CORS」を解説していきます。
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「Webサイト間の情報連携」を題材にした「CSRF(クロスサイト・リクエスト・フォージェリ」を解説していきます。
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「Webサイト間の情報連携」を題材にした「Same-Originポリシ」を解説していきます。
現在、情報処理安全確保支援士で必須となる講習を受講しています。 毎年、オンラインまたは集合講習が義務付けられていて、改めて情報処理安全確保支援士として気持ちを引き締めるいい機会になっていると感じます。 情報処理安全確保支援士になってみて、そ…
オレオレ詐欺や詐欺商法など、「なぜ騙されるのか」と被害者の方に非があるような風潮があります。 ではビジネス上のやりとりで大手企業が多額の被害にあっているとしたら、どう思うでしょう。 ビジネスメール詐欺による被害が後を断ちません。 ビジネスメー…
サイバー攻撃の具体的な統計情報をみると衝撃を受けます。 例えば、NICT(国立研究開発法人情報通信研究機構)が2019年2月に公開した「NICTER観測レポート2018」によると、2018年に観測されたサイバー攻撃関連の通信は2,121億パケットとのことです。前年は1,…
サイバー攻撃を仕掛ける攻撃者の目的って、そもそも何なんでしょう。 自分の技術力の高さを知らしめる愉快犯的なものから、ターゲットへの恨みから情報を盗んで評判を落としたり、金銭を要求したりするようなもの、そして、ここ最近では、広く一般ユーザから…
誰もが自分が詐欺に引っ掛かるなんて思っていませんよね。それでもインターネットショッピングなどを利用する時は、ほんの少しリスクを感じながら、怪しそうなWebサイトは注意深く確認するようにしている人が多いことでしょう。 新しいWebサイトを訪問する場…
無線LANは電波を使ってデータをやり取りします。当然ながら盗聴の危険性に常にさらされています。 無線LANで使われてるセキュリティプロトコルは、過去に脆弱性が見つかり盗聴されやすい状況になり、新しい方法にとって変わった経緯があります。 無線LANのセ…
IoT機能をうたうスマート家電市場が活況を浴びています。 手軽にスマートフォンのアプリからリモートでモニタリングやコントロールができる機能は、うまく生活パターンに取り入れることで時間や空間を節約してくれ、気分も上がりますよね。 ただ、ネットワー…
毎日のように個人情報漏洩やサイバー攻撃などセキュリティの話題に事欠かなくなっています。 セキュリティ対策と聞くと、収益をあげる戦略のベクトルではなく、どちらかというと後ろ向きな対策のイメージですよね。 サイバー攻撃が避けられない現状において…
パスワード規則の古い常識に従うと逆に攻撃者に見破られてしまうという、そんな話です。 パスワード規則は失敗だった? パスワード推測攻撃の変遷 ではどうやってパスワードを管理するか パスワード規則は失敗だった? インターネットでいろいろなサービスを…
ストレージやメール、オフィスソフトなど、クラウドサービスは会社、個人利用問わず、とても便利ですよね。 でも、この便利なサービスも使い方次第で、違反者になってしまう可能性があるんです。 クラウドサービス利用の背景 クラウドサービスのリスク 改正…
12月に入ると周囲が何となくざわつく感じで、気持ちが浮ついた感じなりますよね。 クリスマスシーズンは、若い世代はもちろん、いくつになっても年末に向けてイベントが多くなる時期、楽しくなります。 そんな気分に水を差すようで申し訳ないですが、クリス…
情報セキュリティマネジメント試験の過去問をやさしく解説していきます。(平成29年度春期午後問1「マルウェア感染への対応」設問1(1))
ホットスタンバイとは、現用系と予備系の2系統で構成されるデュプレックスシステムの一つで、予備系のOS及び業務用プログラムを稼働させた状態で用意しておき、障害発生時にはすぐに予備系に切り替える方式です。 ホットスタンバイでは、現用系と予備系で処…
著作権法とは、著作物(思想又は感情を創作的に表現したもの)や作成した人(著作者)を保護するための法律で、著作者が自身の著作物を独占的に使用したりする権利(著作権)を定義しています。 著作権の保護対象としては、文芸、学術、音楽、美術の創作物や…
不正競争防止法とは、市場において事業者間の公正な競争が行われるように、不正行為を定め不正競争の防止を目的として定められた日本の法律です。 被害を被った者は差止め請求や損害賠償請求などができるほか、一部の行為は刑事罰の対象となります。 不正行…
売買契約とは、売主が保有している商品や土地などの財産権を、買主に移すことを約束し、買主は売主に代価を支払うことを約束する契約のことで、売主と買主の合意があったときに成立するものです。 一般的な商取引では、買主が注文書によって申し込みの意思表…
電子署名法とは、正式名称を「電子署名及び認証業務に関する法律」といい、ディジタル署名などの電子署名が手書き署名や押印と同等に通用することを定めた日本の法律で、2001年に施行されました。 電子署名法の冒頭の「第一章 総則」部分には以下のように記…
ポートスキャンとは、ネットワークを介する攻撃手法の一つで、サーバなどコンピュータに対してポート番号の変化させ網羅的に多数のIPパケットを送信することで、稼働しているサービスの種類を外部から調査する手法のことです。 コンピュータが通信を行うには…
WAFとは、Webサーバにアクセスするデータの内容を監視し、外部からWebアプリケーションプログラムへの攻撃を検知、防御するシステムです。 Webアプリケーションには脆弱性が存在する場合があり、攻撃者がこれを悪用して遠隔操作や窃取などの不正アクセスを行…
IPsecとは、インターネットなどの開かれたネットワーク上において、専用線と同様なセキュリティが確保された通信を行うための暗号化・認証プロトコルの一つです。 IPsecはOSI基本参照モデルのネットワーク層において暗号化などの処理を行います。 したがって…
