セキュリティ
中間者攻撃を想定した認証方式の検討【情報処理安全確保支援士試験 平成31年度 春期 午後1 問2 No.2】
情報処理安全確保支援士試験 平成31年度 春期 午後1 問2 設問2 【出典:情報処理安全確保支援士試験 平成31年度 春期 午後1問2(一部、加工あり)】 【認証方式の強化】 情報システム部長からメールサービスPの認証 […]
不正無線LANアクセスポイント経由で誘導される手口【情報処理安全確保支援士試験 平成31年度 春期 午後1 問2 No.1】
情報処理安全確保支援士試験 平成31年度 春期 午後1 問2 No.1 【出典:情報処理安全確保支援士試験 平成31年度 春期 午後1問2(一部、加工あり)】 問2 クラウドサービスのセキュリティに関する次の記述を読んで […]
CORSの実装と複数オリジンへの対応【情報処理安全確保支援士試験 平成31年度 春期 午後1 問1 No.3】
情報処理安全確保支援士試験 平成31年度 春期 午後1 問1 No.3 【出典:情報処理安全確保支援士試験 平成31年度 春期 午後1問1(一部、加工あり)】 【CORSを利用した実装】 Cさんは、スクリプトZの実装にC […]
CORS(Cross-Origin Resource Sharing,オリジン間リソース共有)【情報処理安全確保支援士試験 平成31年度 春期 午後1 問1 No.2】
情報処理安全確保支援士試験 平成31年度 春期 午後1 問1 No.2 【出典:情報処理安全確保支援士試験 平成31年度 春期 午後1問1(一部、加工あり)】 【CORSの概要】 CORSとは、あるWebサイトから他のW […]
Same-Originポリシ・クロスサイトリクエストフォージェリ【情報処理安全確保支援士試験 平成31年度 春期 午後1 問1 No.1】
情報処理安全確保支援士試験 平成31年度 春期 午後1 問1 設問1 【出典:情報処理安全確保支援士試験 平成31年度 春期 午後1問1(一部、加工あり)】 問1 Webサイトのセキュリティに関する次の記述を読んで、設問 […]
インシデント対応のレビュー【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 No.5】
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問5 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】 【インシデント対応のレビュー】 インシデントQの対応が一段落し […]
インシデントのタイムライン作成【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 No.4】
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問4 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】 【インシデントQのタイムラインと措置】 G部長は、調査結果の確 […]
遠隔操作機能をもつマルウェアの動作と検知後の初動活動【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 No.3】
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 No.3 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】 【マルウェアについての通知】 マルウェアを配布していたサイト […]
ログ管理ポリシ策定要件と通常時トラフィックの把握【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 No.2】
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 No.2 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】 【インシデント対応能力の向上への取組み】 G部長は、図4の事 […]
NIST SP 800-61(コンピュータインシデント対応ガイド)【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 No.1】
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 No.1 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】 問2 セキュリティインシデントへの対応に関する次の記述を読ん […]
ハイブリッドクラウド環境におけるモバイル環境の考慮【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.5】
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.5 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問1(一部、加工あり)】 【モバイル環境の検討】 X社システム部門は、従業員が出張先や […]
セキュリティのエンドポイント管理における運用管理ツールの効果【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.4】
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.4 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問1(一部、加工あり)】 【エンドポイント管理の検討】 X社は、独自の情報セキュリティ […]
オンプレミスからハイブリッドクラウド移行におけるシングルサインオン、通信経路の高負荷【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.3】
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.3 【ID管理及び利用者認証の検討】 X社システム部門は、X社のデータセンタ、工場及び拠点のシステム環境(以下、オンプレミス環境という)にIaaS C、 […]
クラウド環境への移行における制約【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.2】
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.2 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問1(一部、加工あり)】 【クラウド環境への移行に関する検討】 X社システム部門は、次 […]
個人情報保護の法規則(EUのGDPR)【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.1】
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.1 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問1(一部、加工あり)】 問1 クラウド環境におけるセキュリティ対策に関する次の記述を […]
脆弱性公開直後のWAFによる暫定対策【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.5】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.4 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】 【リスク軽減策の検討】 セキュリティ専門会社からは、脆弱性情 […]
スクリプトの特徴による攻撃拡散有無の調査【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.4】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.4 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】 【インシデントの調査】依頼を受けたセキュリティ専門会社は、 […]
セキュリティインシデントの被害拡大防止策【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.3】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.3 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】 【セキュリティインシデントの発生と対処】 脆弱性Tの情報をS […]
CVSS【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.2】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.2 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】 【脆弱性情報の公開と対応】 ある日、S君は、アプリケーション […]
ログ管理における時刻整合【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.1】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.1 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】 問3 ソフトウェアの脆弱性対策に関する次の記述を読んで、設問 […]
持ち帰りPCのチェックなどの再発防止策【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.4】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.4 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問2(一部、加工あり)】 【セキュリティインシデントの再発防止策】 M君は、無線LAN […]
NAPTとDHCPのログ解析【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.3】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.3 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問2(一部、加工あり)】 【無線LANセグメントの調査】 10.100.130.1は、 […]
ワームによる事象の解析【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.2】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.2 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問2】 【セキュリティインシデントの発生】 ある日、セキュリティ管理部のJ主任にNSM […]
情報セキュリティ対策の強化【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.1】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.1 【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問2】 問2 セキュリティインシデント対応に関する次の記述を読んで、設問1〜4に答えよ […]
IEEE 802.1X
特徴 IEEE 802.1Xとは、LAN内の利用者認証方式の規格で、不正にネットワークに参加することを防ぐ技術である。 有線LAN、無線LANとも利用可能だが、無線LAN環境における標準の認証機構として利用されている。 […]
電子メール暗号化プロトコル
特徴 PGP(Pretty Good Privacy)とは、公開鍵暗号方式を使用して電子メールの暗号化、認証、改ざん検知を行うツールの一つ。通信を行う双方のメールソフトが対応していることが必要。公開鍵の検証にフィンガープ […]
OSコマンドインジェクション
特徴 OSコマンドインジェクションとは、Webアプリケーションの脆弱性を悪用する攻撃手法の一つで、Webページ上でユーザの入力値を元にOSコマンドを使用して動的にWebページを生成するシステムで、入力値として不正な値とす […]
クラウドサービス区分
特徴 クラウドサービスは、JIS X 9401:2016(情報技術ークラウドコンピューティングー概要及び用語)により以下のような区分が定義されている。 IaaS(Infrastructure as a Service): […]
DNSリフレクタ攻撃
特徴 DNSリフレクタ攻撃とは、送信元IPアドレスを攻撃対象のIPアドレスに詐称したDNS問合せパケットを、多数の端末から一斉にDNSサーバへ送信し、応答パケットを攻撃対象に送りつける攻撃である。 DNSの応答パケットを […]
サイバーセキュリティ経営ガイドライン
特徴 サイバーセキュリティ経営ガイドラインとは、経済産業省とIPAが策定しているもので、企業の経営者向けにサイバー攻撃への対応方法が明記されているもの 2015年から公開され、最新版は2017年11月公開のVer2.0 […]
FIPS PUB 140-2
特徴 FIPS PUB(Federal Information Processing Standards Publication)とは、米国の情報セキュリティ関連の文書で、NIST(National Institute […]
マルチベクトル型DDoS攻撃
特徴 マルチベクトル型DDoS(Distributed Denial of Service:分散型サービス妨害)攻撃とは、複数のDDoS攻撃を組み合わせた攻撃のこと。 例えば、攻撃対象のWebサーバ1台に対して、多数のP […]
ブルートフォース攻撃
特徴 ブルートフォース(Brute Force)とは、「暴力」「強引な力」という意味で、いわゆる力任せの攻撃手法。「総当たり攻撃」とも呼ばれる。 考えられる全ての種類の文字列などの組み合わせを総当りで試行して、パスワード […]
クロスサイトスクリプティング
特徴 クロスサイトスクリプティング(XSS:Cross Site Scripting)は、攻撃者による悪意のあるスクリプトをセキュリティの脆弱性があるWebサイトに横断させることによって攻撃を行う手法 この場合の脆弱性は […]
IEEE 802.1X
特徴 IEEE 802.1Xは利用者認証の方式を定めた規格で、主に無線LAN環境における認証機構として利用されている。 構成要素は以下の3つ サプリカント(supplicant):認証を受けるクライアント オーセンティケ […]
ICMP Flood攻撃
特徴 ICMP Flood攻撃(Ping Flood攻撃)とは、攻撃対象に大量で大きなサイズのICMP echo要求パケットを送信することによって、攻撃対象そのものや攻撃対象が属するネットワークのリソースを枯渇させる攻撃 […]