ブログ | やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

5(2)認証プロトコル

DKIMNew!!

2021年5月18日

特徴 DKIM（DomainKeys Identified Mail）とは、送信ドメイン認証の一つで、送信側メールサーバの正当性を検証するもの送信側メールサーバにおいて、メールヘッダとメール本文から生成したディジタル署 […]

続きを読む

5(6)アプリケーションセキュリティ

CookieのSecure属性New!!

2021年5月17日

特徴 WebサーバがWebブラウザを識別するために発行するCookieは、WebブラウザがHTTPリクエストする際に送出される Cookieに付与できる属性の一つにSecure属性があり、HTTPリクエストにおけるURL […]

続きを読む

1(7)攻撃手法

BlueBorneNew!!

2021年5月16日

特徴 BlueBorneとは、Bluetoothを悪用してデバイスを不正に操作したり、情報を窃取したりする、複数の脆弱性の呼称 Windowsのほか、Linux、Android、iOSに存在し、2017年９月に公開された […]

続きを読む

3(4)脆弱性評価の指標

CVSSNew!!

2021年5月14日

特徴 CVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）とは、情報システムの脆弱性に対する汎用的な評価手法として、NIAC（National Infrastruct […]

続きを読む

1(8)①暗号技術

CRYPTREC暗号リストNew!!

2021年5月13日

特徴 CRYPTREC（Cryptography Research and Evaluation Committees）とは、電子政府での暗号技術の安全性を評価・監視して、適切な実装や運用を調査・検討するプロジェクトで、 […]

続きを読む

2(5)情報セキュリティマネジメントシステム

ガバナンスプロセスNew!!

2021年5月12日

特徴ガバナンスプロセスとは、組織の経営陣による情報セキュリティ統治のために実行すべきことを示したもので、JIS Q 27014:2015（情報セキュリティガバナンス）で定義されている具体的には５つのプロセスを定義して […]

続きを読む

1(8)⑤公開鍵基盤

CRL

2021年5月10日

特徴 CRL（Certificate Revocation List）とは、ディジタル証明書の失効リストのことで、有効期限内に失効となったディジタル証明書が記載されているもので、その仕様はITU（国際電気通信連合）のX. […]

続きを読む

5(4)ネットワークセキュリティ

ダイナミックパケットフィルタリング

2021年5月8日

特徴ダイナミックパケットフィルタリングとは、フィルタリングルール（テーブル）を動的に制御する仕組みのことで、必要最低限のルール（テーブル）のみで設定でき、セキュリティを高めることができるダイナミックパケットフィルタリ […]

続きを読む

1(8)②認証技術

XMLディジタル署名

2021年5月6日

特徴 XMLディジタル署名とは、XML文書（データ）に対するディジタル署名のことで、RFC3075として標準化されている XMLディジタル署名には、署名と署名対象の関係によって以下の3種類があるデタッチ署名（Detac […]

続きを読む

1(8)⑤公開鍵基盤

VA

2021年5月5日

特徴 VA（Validation Authority：検証局）とは、PKI（Public Key Infrstructure：公開鍵基盤）を構成する機関の一つで、ディジタル証明書の失効状態についての問合せに応答する役割を […]

続きを読む

1(7)攻撃手法

サイドチャネル攻撃

2021年5月4日

特徴サイドチャネル攻撃とは、IoT機器など対象物の動作状況を観測して、内部の暗号鍵などの秘密情報を盗み出す攻撃のこと（サイドチャネルは非正規の入出力経路という意味）サイドチャネル攻撃には、電磁波攻撃、タイミング攻撃、 […]

続きを読む

1(8)③利用者認証

FIDO

2021年5月3日

特徴 FIDO（Fast IDentity Online）は、公開鍵暗号方式を使用したクライアント認証技術の一つで、パスワードへの依存を少なくすることを目的とする認証方式 FIDOには、FIDO UAF（Universa […]

続きを読む

1(8)④生体認証技術

虹彩認証

2021年5月2日

特徴虹彩認証は、生体認証（バイオメトリクス認証）の一つで、眼球の特徴で認証を行う技術のこと虹彩とは、眼球の黒目の部分である瞳孔の、外側にある円状の部分のことで、そこのシワのパターンが個人ごとに異なる虹彩認証の他人受 […]

続きを読む

5(6)アプリケーションセキュリティ

ファジング

2021年5月1日

特徴ファジングとは、ソフトウェア製品の未知の脆弱性を検出する手法の一つで、ソフトウェア開発の脆弱性検査などで活用される検査対象のソフトウェア製品に「ファズ（fuzz）」と呼ばれる問題を引き起こしそうなデータを大量に送 […]

続きを読む

1(8)②認証技術

チャレンジレスポンス認証

2021年4月29日

特徴チャレンジレスポンス認証は、パスワードの盗聴対策の一つで、ネットワーク上にパスワードを流さない仕組み手順サーバがクライアントの要求に対し、ランダムな値であるチャレンジコードを生成、保存し、クライアントへ送信ク […]

続きを読む

5(4)ネットワークセキュリティ

NAPT機能によるセキュリティ上の効果

2021年4月27日

特徴 NAPT（Network Address Port Translation）は、IPパケットの転送時に、IPアドレスとポート番号を変換する機能プライベートIPアドレスとグローバルIPアドレスを変換するNATの機能 […]

続きを読む

2(3)ネットワーク接続

フォワードプロキシ

2021年4月25日

特徴プロキシ（proxy：代理）は、クライアントとサーバ間の通信を中継する機器フォワードプロキシは、クライアントの代理として、クライアントからのリクエストをサーバへ送信し、サーバからのレスポンスをクライアントへ送信す […]

続きを読む

2(5)メディアアクセス制御

CSMA/CD、CSMA/CA

2021年4月23日

特徴 CSMA（Carrier Sense Multiple Access）とは、伝送路中にキャリア信号を検出（Carrier Sense）し、データの送信を制御する方式のこと。（キャリア信号とは電気信号のこと）複数の […]

続きを読む

SC平成31年度春期

マルウェア対策ソフトと脆弱性修正プログラムの集中管理【情報処理安全確保支援士試験平成31年度春期午後2 問2 設問7】

2021年4月22日

情報処理安全確保支援士試験平成31年度春期午後2 問2 設問7 【出典：情報処理安全確保支援士試験平成31年度春期午後2問2（一部、加工あり）】【集中管理の仕組みの導入】（え）について、Fさんは、次の機能 […]

続きを読む

SC平成31年度春期

不正ログイン対策におけるアクセス許可IPアドレス登録と初期パスワード見直し【情報処理安全確保支援士試験平成31年度春期午後2 問2 設問6】

2021年4月21日

情報処理安全確保支援士試験平成31年度春期午後2 問2 設問6 【出典：情報処理安全確保支援士試験平成31年度春期午後2問2（一部、加工あり）】【設計情報管理サーバへの不正ログイン対策の検討】　（う）につい […]

続きを読む

SC平成31年度春期

情報漏えいインシデントの調査と一時的な対応【情報処理安全確保支援士試験平成31年度春期午後2 問2 設問5】

2021年4月20日

情報処理安全確保支援士試験平成31年度春期午後2 問2 設問5 【出典：情報処理安全確保支援士試験平成31年度春期午後2問2（一部、加工あり）】【情報漏えいの調査及び一時的な対処】　FさんはG氏の協力を受け […]

続きを読む

SC平成31年度春期

ハッシュ値比較による情報漏洩ファイルの確認【情報処理安全確保支援士試験平成31年度春期午後2 問2 設問4】

2021年4月19日

情報処理安全確保支援士試験平成31年度春期午後2 問2 設問4 【出典：情報処理安全確保支援士試験平成31年度春期午後2問2（一部、加工あり）】【情報漏えいの発生】　6月7日、金型加工業者B社のL氏から、設 […]

続きを読む

SC平成31年度春期

オープンリゾルバ対策・NTP・AES・CRYPTREC【情報処理安全確保支援士試験平成31年度春期午後2 問2 設問3】

2021年4月18日

情報処理安全確保支援士試験平成31年度春期午後2 問2 設問3 【出典：情報処理安全確保支援士試験平成31年度春期午後2問2（一部、加工あり）】【A社の情報システム】　DMZ上のサーバには、グルーバルIPア […]

続きを読む

SC平成31年度春期

メールサービスにおけるオープンリレー対策と接続元制限機能【情報処理安全確保支援士試験平成31年度春期午後2 問2 設問2】

2021年4月17日

情報処理安全確保支援士試験平成31年度春期午後2 問2 設問2 【出典：情報処理安全確保支援士試験平成31年度春期午後2問2（一部、加工あり）】【A社のネットワーク構成】　A社では、デスクトップPC（以下、 […]

続きを読む

SC平成31年度春期

営業秘密の3要件【情報処理安全確保支援士試験平成31年度春期午後2 問2 設問1】

2021年4月16日

情報処理安全確保支援士試験平成31年度春期午後2 問2 設問1 【出典：情報処理安全確保支援士試験平成31年度春期午後2問2（一部、加工あり）】問2　情報瀬セキュリティ対策の強化に関する次の記述を読んで、設 […]

続きを読む

SC平成31年度春期

ディジタル証明書の検証【情報処理安全確保支援士試験平成31年度春期午後2 問1 設問6】

2021年4月15日

情報処理安全確保支援士試験平成31年度春期午後2 問1 設問6 【出典：情報処理安全確保支援士試験平成31年度春期午後2問1（一部、加工あり）】【対策1と対策2の検討】　P君が、対策1と対策2の検討に当たり […]

続きを読む

SC平成31年度春期

HTTPS通信におけるプロキシサーバのブラックリスト機能の効果・窃取情報の社外への通信経路【情報処理安全確保支援士試験平成31年度春期午後2 問1 設問5】

2021年4月14日

情報処理安全確保支援士試験平成31年度春期午後2 問1 設問5 【出典：情報処理安全確保支援士試験平成31年度春期午後2問1（一部、加工あり）】【未知マルウェア対策の改良】　R課長は、今後、HTTPS通信を […]

続きを読む

SC平成31年度春期

ECBモードとCTRモードにおける暗号化処理の問題【情報処理安全確保支援士試験平成31年度春期午後2 問1 設問4】

2021年4月13日

情報処理安全確保支援士試験平成31年度春期午後2 問1 設問4 【出典：情報処理安全確保支援士試験平成31年度春期午後2問1（一部、加工あり）】【暗号モード】　P君は、暗号モードについても調べてみた。ブロッ […]

続きを読む

SC平成31年度春期

無線LAN通信の特徴【情報処理安全確保支援士試験平成31年度春期午後2 問1 設問3】

2021年4月12日

情報処理安全確保支援士試験平成31年度春期午後2 問1 設問3 【出典：情報処理安全確保支援士試験平成31年度春期午後2問1（一部、加工あり）】【無線LANの脆弱性】　P君は、総務部のW-APは、MACアド […]

続きを読む

SC平成31年度春期

HDDの証拠保全（ファイル単位ではなくセクタ単位で）【情報処理安全確保支援士試験平成31年度春期午後2 問1 設問2】

2021年4月11日

情報処理安全確保支援士試験平成31年度春期午後2 問1 設問2 【出典：情報処理安全確保支援士試験平成31年度春期午後2問1（一部、加工あり）】【問合せ用PCの調査】　状況の報告を受けたR課長は、問合せ用P […]

続きを読む

SC平成31年度春期

マルウェア感染特定のログを保有する機器【情報処理安全確保支援士試験平成31年度春期午後2 問1 設問1】

2021年4月9日

情報処理安全確保支援士試験平成31年度春期午後2 問1 設問1 【出典：情報処理安全確保支援士試験平成31年度春期午後2問1（一部、加工あり）】問1　マルウェア感染と対策に関する次の記述を読んで、設問1〜6 […]

続きを読む

SC平成31年度春期

IoT機器への物理的な不正アクセス対策・TPM【情報処理安全確保支援士試験平成31年度春期午後1 問3 No.3】

2021年4月8日

情報処理安全確保支援士試験平成31年度春期午後1 問3 No.3 【出典：情報処理安全確保支援士試験平成31年度春期午後1問3（一部、加工あり）】【ブートローダ及び専用OSの改ざん対策】　２回目のレビューで […]

続きを読む

SC平成31年度春期

認証トークンへの許可リソース定義・ディジタル署名・耐タンパ性【情報処理安全確保支援士試験平成31年度春期午後1 問3 No.2】

2021年4月7日

情報処理安全確保支援士試験平成31年度春期午後1 問3 No.2 【出典：情報処理安全確保支援士試験平成31年度春期午後1問3（一部、加工あり）】【セキュリティレビューの実施】　認証トークンが認証サーバ以外 […]

続きを読む

SC平成31年度春期

MAC（Message Authentication Code）【情報処理安全確保支援士試験平成31年度春期午後1 問3 No.1】

2021年4月6日

情報処理安全確保支援士試験平成31年度春期午後1 問3 No.1 【出典：情報処理安全確保支援士試験平成31年度春期午後1問3（一部、加工あり）】問3　IoT機器の開発に関する次の記述を読んで、設問1〜3に […]

続きを読む

SC平成31年度春期

中間者攻撃を想定した認証方式の検討【情報処理安全確保支援士試験平成31年度春期午後1 問2 No.2】

2021年3月1日

情報処理安全確保支援士試験平成31年度春期午後1 問2 設問2 【出典：情報処理安全確保支援士試験平成31年度春期午後1問2（一部、加工あり）】【認証方式の強化】　情報システム部長からメールサービスPの認証 […]

続きを読む

SC平成31年度春期

不正無線LANアクセスポイント経由で誘導される手口【情報処理安全確保支援士試験平成31年度春期午後1 問2 No.1】

2021年2月26日

情報処理安全確保支援士試験平成31年度春期午後1 問2 No.1 【出典：情報処理安全確保支援士試験平成31年度春期午後1問2（一部、加工あり）】問2　クラウドサービスのセキュリティに関する次の記述を読んで […]

続きを読む

SC平成31年度春期

CORSの実装と複数オリジンへの対応【情報処理安全確保支援士試験平成31年度春期午後1 問1 No.3】

2021年2月25日

情報処理安全確保支援士試験平成31年度春期午後1 問1 No.3 【出典：情報処理安全確保支援士試験平成31年度春期午後1問1（一部、加工あり）】【CORSを利用した実装】　Cさんは、スクリプトZの実装にC […]

続きを読む

SC平成31年度春期

CORS（Cross-Origin Resource Sharing,オリジン間リソース共有）【情報処理安全確保支援士試験平成31年度春期午後1 問1 No.2】

2021年2月24日

情報処理安全確保支援士試験平成31年度春期午後1 問1 No.2 【出典：情報処理安全確保支援士試験平成31年度春期午後1問1（一部、加工あり）】【CORSの概要】　CORSとは、あるWebサイトから他のW […]

続きを読む

SC平成31年度春期

Same-Originポリシ・クロスサイトリクエストフォージェリ【情報処理安全確保支援士試験平成31年度春期午後1 問1 No.1】

2021年2月22日

情報処理安全確保支援士試験平成31年度春期午後1 問1 設問1 【出典：情報処理安全確保支援士試験平成31年度春期午後1問1（一部、加工あり）】問1　Webサイトのセキュリティに関する次の記述を読んで、設問 […]

続きを読む

SC平成30年度秋期

インシデント対応のレビュー【情報処理安全確保支援士試験平成30年度秋期午後2 問2 No.5】

2021年2月9日

情報処理安全確保支援士試験平成30年度秋期午後2 問2 設問5 【出典：情報処理安全確保支援士試験平成30年度秋期午後2問2（一部、加工あり）】【インシデント対応のレビュー】　インシデントQの対応が一段落し […]

続きを読む

SC平成30年度秋期

インシデントのタイムライン作成【情報処理安全確保支援士試験平成30年度秋期午後2 問2 No.4】

2021年2月8日

情報処理安全確保支援士試験平成30年度秋期午後2 問2 設問4 【出典：情報処理安全確保支援士試験平成30年度秋期午後2問2（一部、加工あり）】【インシデントQのタイムラインと措置】　G部長は、調査結果の確 […]

続きを読む

SC平成30年度春期

遠隔操作機能をもつマルウェアの動作と検知後の初動活動【情報処理安全確保支援士試験平成30年度秋期午後2 問2 No.3】

2021年1月9日

情報処理安全確保支援士試験平成30年度秋期午後2 問2 No.3 【出典：情報処理安全確保支援士試験平成30年度秋期午後2問2（一部、加工あり）】【マルウェアについての通知】　マルウェアを配布していたサイト […]

続きを読む

SC平成29年度秋期

ログ管理ポリシ策定要件と通常時トラフィックの把握【情報処理安全確保支援士試験平成30年度秋期午後2 問2 No.2】

2021年1月8日

情報処理安全確保支援士試験平成30年度秋期午後2 問2 No.2 【出典：情報処理安全確保支援士試験平成30年度秋期午後2問2（一部、加工あり）】【インシデント対応能力の向上への取組み】　G部長は、図4の事 […]

続きを読む

SC平成30年度秋期

NIST SP 800-61（コンピュータインシデント対応ガイド）【情報処理安全確保支援士試験平成30年度秋期午後2 問2 No.1】

2021年1月7日

情報処理安全確保支援士試験平成30年度秋期午後2 問2 No.1 【出典：情報処理安全確保支援士試験平成30年度秋期午後2問2（一部、加工あり）】問2　セキュリティインシデントへの対応に関する次の記述を読ん […]

続きを読む

SC平成30年度秋期

ハイブリッドクラウド環境におけるモバイル環境の考慮【情報処理安全確保支援士試験平成30年度秋期午後2 問1 No.5】

2021年1月6日

情報処理安全確保支援士試験平成30年度秋期午後2 問1 No.5 【出典：情報処理安全確保支援士試験平成30年度秋期午後2問1（一部、加工あり）】【モバイル環境の検討】　X社システム部門は、従業員が出張先や […]

続きを読む

SC平成30年度秋期

セキュリティのエンドポイント管理における運用管理ツールの効果【情報処理安全確保支援士試験平成30年度秋期午後2 問1 No.4】

2021年1月5日

情報処理安全確保支援士試験平成30年度秋期午後2 問1 No.4 【出典：情報処理安全確保支援士試験平成30年度秋期午後2問1（一部、加工あり）】【エンドポイント管理の検討】　X社は、独自の情報セキュリティ […]

続きを読む

SC平成30年度秋期

オンプレミスからハイブリッドクラウド移行におけるシングルサインオン、通信経路の高負荷【情報処理安全確保支援士試験平成30年度秋期午後2 問1 No.3】

2021年1月4日

情報処理安全確保支援士試験平成30年度秋期午後2 問1 No.3 【ID管理及び利用者認証の検討】　X社システム部門は、X社のデータセンタ、工場及び拠点のシステム環境（以下、オンプレミス環境という）にIaaS C、 […]

続きを読む

SC平成30年度秋期

クラウド環境への移行における制約【情報処理安全確保支援士試験平成30年度秋期午後2 問1 No.2】

2021年1月3日

情報処理安全確保支援士試験平成30年度秋期午後2 問1 No.2 【出典：情報処理安全確保支援士試験平成30年度秋期午後2問1（一部、加工あり）】【クラウド環境への移行に関する検討】　X社システム部門は、次 […]

続きを読む

SC平成30年度秋期

個人情報保護の法規則（EUのGDPR）【情報処理安全確保支援士試験平成30年度秋期午後2 問1 No.1】

2021年1月2日

情報処理安全確保支援士試験平成30年度秋期午後2 問1 No.1 【出典：情報処理安全確保支援士試験平成30年度秋期午後2問1（一部、加工あり）】問1　クラウド環境におけるセキュリティ対策に関する次の記述を […]

続きを読む

SC平成30年度秋期

脆弱性公開直後のWAFによる暫定対策【情報処理安全確保支援士試験平成30年度秋期午後1 問3 No.5】

2021年1月1日

情報処理安全確保支援士試験平成30年度秋期午後1 問3 No.4 【出典：情報処理安全確保支援士試験平成30年度秋期午後1問3（一部、加工あり）】【リスク軽減策の検討】　セキュリティ専門会社からは、脆弱性情 […]

続きを読む