プロフィールPROFILE

湊 コウさんのプロフィール

住所
未設定
出身
未設定

自由文未設定

ブログタイトル
やさしいネットワークとセキュリティ
ブログURL
https://www.aolaniengineer.com/
ブログ紹介文
ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。 主な資格としては、情報処理安全確保支援士、ネットワークスペシャリスト、情報セキュリティマネジメントなどの過去問を挙げて解説していきます。
更新頻度(1年)

51回 / 49日(平均7.3回/週)

ブログ村参加:2019/10/26

読者になる

湊 コウさんの人気ランキング

  • IN
  • OUT
  • PV
今日 12/13 12/12 12/11 12/10 12/09 12/08 全参加数
総合ランキング(IN) 圏外 圏外 圏外 圏外 圏外 圏外 圏外 980,587サイト
INポイント 0 0 0 0 0 0 0 0/週
OUTポイント 0 0 0 0 0 0 0 0/週
PVポイント 0 0 0 0 0 0 0 0/週
資格ブログ 圏外 圏外 圏外 圏外 圏外 圏外 圏外 8,592サイト
国家試験 圏外 圏外 圏外 圏外 圏外 圏外 圏外 797サイト
IT技術ブログ 圏外 圏外 圏外 圏外 圏外 圏外 圏外 7,929サイト
ネットワーク・SE 圏外 圏外 圏外 圏外 圏外 圏外 圏外 246サイト
セキュリティ・暗号化 圏外 圏外 圏外 圏外 圏外 圏外 圏外 87サイト
今日 12/13 12/12 12/11 12/10 12/09 12/08 全参加数
総合ランキング(OUT) 83,149位 圏外 83,149位 83,452位 83,592位 67,318位 67,558位 980,587サイト
INポイント 0 0 0 0 0 0 0 0/週
OUTポイント 0 0 0 0 0 0 0 0/週
PVポイント 0 0 0 0 0 0 0 0/週
資格ブログ 826位 圏外 826位 830位 851位 734位 741位 8,592サイト
国家試験 61位 圏外 61位 61位 61位 43位 38位 797サイト
IT技術ブログ 261位 圏外 261位 263位 264位 173位 167位 7,929サイト
ネットワーク・SE 9位 圏外 9位 11位 12位 7位 7位 246サイト
セキュリティ・暗号化 4位 圏外 4位 4位 3位 1位 1位 87サイト
今日 12/13 12/12 12/11 12/10 12/09 12/08 全参加数
総合ランキング(PV) 圏外 圏外 圏外 圏外 圏外 圏外 圏外 980,587サイト
INポイント 0 0 0 0 0 0 0 0/週
OUTポイント 0 0 0 0 0 0 0 0/週
PVポイント 0 0 0 0 0 0 0 0/週
資格ブログ 圏外 圏外 圏外 圏外 圏外 圏外 圏外 8,592サイト
国家試験 圏外 圏外 圏外 圏外 圏外 圏外 圏外 797サイト
IT技術ブログ 圏外 圏外 圏外 圏外 圏外 圏外 圏外 7,929サイト
ネットワーク・SE 圏外 圏外 圏外 圏外 圏外 圏外 圏外 246サイト
セキュリティ・暗号化 圏外 圏外 圏外 圏外 圏外 圏外 圏外 87サイト

新機能の「ブログリーダー」を活用して、湊 コウさんの読者になりませんか?

ハンドル名
湊 コウさん
ブログタイトル
やさしいネットワークとセキュリティ
更新頻度
51回 / 49日(平均7.3回/週)
読者になる
やさしいネットワークとセキュリティ

湊 コウさんの新着記事

1件〜30件

  • 有名Webサイトでも詐欺サイトに誘導される【検索結果の上位表示Webサイトでも安心しない】

    誰もが自分が詐欺に引っ掛かるなんて思っていませんよね。それでもインターネットショッピングなどを利用する時は、ほんの少しリスクを感じながら、怪しそうなWebサイトは注意深く確認するようにしている人が多いことでしょう。 新しいWebサイトを訪問する場合、大勢の人が訪問するWebサイトは信用できるとして、Google検索などで上位に表示されるWebサイトであれば人気サイトだから安心できそうだと感じることは多いと思います。 そんな心理を突いて、有名なWebサイトだと思ってアクセスすると詐欺サイトに誘導される、なんて事例が多くなっています。 インターネットショッピングの詐欺サイトの実態 なぜ、検索結果の…

  • 無線LANのセキュリティが狙われる【基本を抑えて脅威に備えよう】

    無線LANは電波を使ってデータをやり取りします。当然ながら盗聴の危険性に常にさらされています。 無線LANで使われてるセキュリティプロトコルは、過去に脆弱性が見つかり盗聴されやすい状況になり、新しい方法にとって変わった経緯があります。 無線LANのセキュリティの基本を抑えて、これからの脅威に備えられるようにしておきましょう。 無線LANのセキュリティプロトコル 進化の過程 KRACKsとは何か(簡単に) 無線LANのセキュリティプロトコル 無線LANのセキュリティプロトコルは、当初はWEP(Wired Equivalent Privacy)が使われていましたが、その後、WEPよりも安全性が高い…

  • カメラ機能の脆弱性で覗き見される恐れ【ネットワーク接続で利用する機能は慎重に使おう】

    IoT機能をうたうスマート家電市場が活況を浴びています。 手軽にスマートフォンのアプリからリモートでモニタリングやコントロールができる機能は、うまく生活パターンに取り入れることで時間や空間を節約してくれ、気分も上がりますよね。 ただ、ネットワーク接続するということは、誰でもアクセスできる環境にあるということ。つまり、自分だけ利用しているつもりが、他人からも利用されていたなんてことが起こり得るのです。 実際に、カメラ機能が悪用され覗き見される脆弱性を持ったまま市場に出回った製品がありましたので、確認してみました。 ロボット家電の脆弱性 脆弱性の中身をもう少し詳しく どうすれば安心か ロボット家電…

  • セキュリティ対策はコストではなく投資【セキュリティ対策の投資効果がわかる仕組み作りが必要】

    毎日のように個人情報漏洩やサイバー攻撃などセキュリティの話題に事欠かなくなっています。 セキュリティ対策と聞くと、収益をあげる戦略のベクトルではなく、どちらかというと後ろ向きな対策のイメージですよね。 サイバー攻撃が避けられない現状においては、何とかセキュリティ対策にもスポットライトを浴びさせ、効果が上がれば称賛されるような仕組み作りができないでしょうかという話です。 セキュリティ対策でやること セキュリティ対策しないと収益低下? セキュリティ対策の投資効果の見える化 セキュリティ対策でやること 企業経営においてセキュリティ対策をどの程度実施していくのか、経営者による戦略という面で、経済産業省…

  • パスワード規則の古い常識【パスワードを適切に管理しよう】

    パスワード規則の古い常識に従うと逆に攻撃者に見破られてしまうという、そんな話です。 パスワード規則は失敗だった? パスワード推測攻撃の変遷 ではどうやってパスワードを管理するか パスワード規則は失敗だった? インターネットでいろいろなサービスを利用しようとすると、ユーザ認証を要求され、その都度ログイン・パスワードをどう決めたらいいかと悩むことって結構多いですよね。 推奨されるパスワードは「パスワードは複雑にすること(8文字以上で英数字記号を含むなど)」「パスワードは3ヶ月ごとに変更など定期的な変更」「パスワードの使い回しはしない」とかがあります。 複雑で定期的に変更して同じものは使えないワード…

  • クラウドサービスの無断利用で違反者になる恐れあり【便利なツール利用にはリスクがあることを認識しよう】

    ストレージやメール、オフィスソフトなど、クラウドサービスは会社、個人利用問わず、とても便利ですよね。 でも、この便利なサービスも使い方次第で、違反者になってしまう可能性があるんです。 クラウドサービス利用の背景 クラウドサービスのリスク 改正個人情報保護法、GDPRなどの法令違反に当たる場合も クラウドサービス利用状況の可視化 クラウドサービス利用の背景 数年前、今のようにスマートフォンが行き渡る前はパソコンを持つ人も限られ、プライベートにクラウドサービスを利用するシーンは多くありませんでした。 会社でも自分専用のパソコン上で操作し、オフィスソフトで作成したデータやメールの送受信データは自分の…

  • クリスマスシーズン到来でサイバー攻撃活発【被害にあわないためにリスクを認識しよう】

    12月に入ると周囲が何となくざわつく感じで、気持ちが浮ついた感じなりますよね。 クリスマスシーズンは、若い世代はもちろん、いくつになっても年末に向けてイベントが多くなる時期、楽しくなります。 そんな気分に水を差すようで申し訳ないですが、クリスマスシーズンはサイバー攻撃も活発になっているんです。 楽しいショッピング 利用者は危険性を意識していない Webサイトの信頼性をチェックしていない 被害の実態 楽しいクリスマスシーズンを過ごすために 楽しいショッピング 利用者は危険性を意識していない クリスマスプレゼントやボーナスでの大きな買い物とか楽しいですよね。 私は普段はあまり買い物とかしないのです…

  • 情報セキュリティマネジメント【H29春午後問1設問1(1)】

    情報セキュリティマネジメント試験の過去問をやさしく解説していきます。(平成29年度春期午後問1「マルウェア感染への対応」設問1(1))

  • ホットスタンバイ

    ホットスタンバイとは、現用系と予備系の2系統で構成されるデュプレックスシステムの一つで、予備系のOS及び業務用プログラムを稼働させた状態で用意しておき、障害発生時にはすぐに予備系に切り替える方式です。 ホットスタンバイでは、現用系と予備系で処理状態やデータを同期させておくことで障害発生時に即時に業務を再開できます。 その他には、予備系の待機状態と、障害発生時の切り替えに要する時間から、以下の方式があります。 コールドスタンバイ:電源を落とした状態で予備系を待機させておく方式です。障害発生時には、予備系の電源を投入後、業務用プログラムを立ち上げて現用系の処理を引き継ぎます。 ウォームスタンバイ:…

  • 著作権法

    著作権法とは、著作物(思想又は感情を創作的に表現したもの)や作成した人(著作者)を保護するための法律で、著作者が自身の著作物を独占的に使用したりする権利(著作権)を定義しています。 著作権の保護対象としては、文芸、学術、音楽、美術の創作物や、コンピュータ関連ではソースプログラムやデータベースが該当します。 日本の著作権法では、著作物の作成と同時に著作者にその著作権が与えられ、著作者の死後50年後まで認められます。 また、プログラムを作成する際に利用するアルゴリズム(解法)、プログラム言語及び規約は、保護の対象にしていませんが、プログラム自体は著作物として認められます。 この定義には、ソースコー…

  • 不正競争防止法

    不正競争防止法とは、市場において事業者間の公正な競争が行われるように、不正行為を定め不正競争の防止を目的として定められた日本の法律です。 被害を被った者は差止め請求や損害賠償請求などができるほか、一部の行為は刑事罰の対象となります。 不正行為の例として以下のようなものがあります。 営業秘密の侵害 複製、模造商品の販売 商品名やロゴの模倣 著名人の名前などの無断使用 デジタルデータのコピー制限技術やアクセス管理技術の解除、回避 商品の材料、原産地などの偽造、紛らわしい表示 他社の商標などに一致又は類似するインターネットドメイン名の使用 競合相手を誹謗する虚偽情報の流布 上記の例にあるように、保護…

  • 売買契約

    売買契約とは、売主が保有している商品や土地などの財産権を、買主に移すことを約束し、買主は売主に代価を支払うことを約束する契約のことで、売主と買主の合意があったときに成立するものです。 一般的な商取引では、買主が注文書によって申し込みの意思表示を行い、それを受け取った売主は注文請書で承諾の意思表示をします。 このとき注文請書の連絡が買主に受理された時点で「合意」があったとみなされ、売買契約が成立します。 インターネットショッピングでは、売主からの注文承諾メールなどが、読み取り可能な状態で注文者に届いた時点で売買契約が成立します。 平成29年度 春期 情報セキュリティマネジメント試験 午前 情報セ…

  • 電子署名法

    電子署名法とは、正式名称を「電子署名及び認証業務に関する法律」といい、ディジタル署名などの電子署名が手書き署名や押印と同等に通用することを定めた日本の法律で、2001年に施行されました。 電子署名法の冒頭の「第一章 総則」部分には以下のように記載されています。 (目的)第一条 この法則は、電子署名に関し、電磁的記録の真正な成立の推定、特定認証業務に関する認定の制度その他必要な事項を定めることにより、電子署名の円滑な利用の確保による情報の電磁的方式による流通及び情報処理の促進を図り、もって国民生活の向上及び国民経済の健全な発展に寄与することを目的とする。 (定義)第二条 この法則において「電子署…

  • ポートスキャン(port scan)

    ポートスキャンとは、ネットワークを介する攻撃手法の一つで、サーバなどコンピュータに対してポート番号の変化させ網羅的に多数のIPパケットを送信することで、稼働しているサービスの種類を外部から調査する手法のことです。 コンピュータが通信を行うには通信プロトコルのTCPやUDPを使用しますが、0〜65535番までの番号で識別される「ポート(port)」と呼ばれる接続用の窓口を利用します。 例えば、WebサーバがHTTPの接続を受け付けるのに、TCPの80番ポートを利用します。 ポートスキャンは攻撃の前段階の調査として行われるもので、ある宛先ポート番号のIPパケットに対して応答が返ってきた場合は、その…

  • WAF(Web Application Firewall) Ver.2

    WAFとは、Webサーバにアクセスするデータの内容を監視し、外部からWebアプリケーションプログラムへの攻撃を検知、防御するシステムです。 Webアプリケーションには脆弱性が存在する場合があり、攻撃者がこれを悪用して遠隔操作や窃取などの不正アクセスを行う場合があります。 例えば、クロスサイトスクリプティングやSQLインジェクションなどによる攻撃です。 本来は、Webアプリケーション側で脆弱性の修正で対処することが望ましいのですが、即時に対応できない場合が多いのが実情です。 WAFはアプリケーション層で動作するファイアウォールのことで、Webサーバへの通信を監視して、ログとして保管します。 また…

  • IPsec(Security Architecture for Internet Protocol)

    IPsecとは、インターネットなどの開かれたネットワーク上において、専用線と同様なセキュリティが確保された通信を行うための暗号化・認証プロトコルの一つです。 IPsecはOSI基本参照モデルのネットワーク層において暗号化などの処理を行います。 したがって、ネットワーク層より上位層のトランスポート層(UDP、TCP)やアプリケーション層(HTTPなど)のプロトコルが暗号化に対応していなくても安全に情報をやり取りできます。 IPsecには二つの動作モードがあります。 トランスポートモード:IPヘッダ部分はそのままで、送受信するデータ本体(ペイロード)部分のみを暗号化する。 トンネルモード:パケット…

  • 不正のトライアングル

    不正のトライアングルとは、人が不正行為をする原因をまとめた理論で、米国の犯罪学者のドナルド・R・クレッシー氏により提唱されました。 次の三つが揃ったとき、不正行為が発生するとしています。 機会:「作業の実行者と承認者が同じ」「承認者が作業内容を確認せずに承認している」など、不正行為を実行できるような客観的環境があること。また、情報システムに適切なアクセス権限が設定されておらず、機密情報を誰でも参照・複製ができるような環境も該当する。 動機:「多額の借金があり返済に追われている」など、不正行為を実行しようとする主観的事情があること。また、厳しいノルマがあり、プレッシャーから業務内容を改ざんしよう…

  • PCI DSS(Payment Card Industry Data Security Standard)

    PCI DSSとは、クレジットカード情報を保護し、安全に取り扱うことを目的として、クレジットカード情報を取り扱う事業者に対するセキュリティ基準を定めた規格の一つで、2004年にVISA、MasterCard、AmericanExpressなどが共同で策定した基準です。 PCI DSSでは、技術面及び運用面に関する各種のセキュリティ要件が提供されています。 その中には、「安全なネットワークの構築と維持」「カード会員データの保護」「脆弱性管理プログラムの整備」などが定められており、カード業界以外でもセキュリティ基準の標準として利用されることもあります。 www.jcdsc.org 平成29年度 春…

  • CRL(Certificate Revocation List) Ver.2

    CRLとは、ディジタル証明書の失効リストのことで、有効期限内に失効となったディジタル証明書がシルアル番号で記載されています。 CRLの仕様はITU(国際電気通信連合)のX.509で規定されています。 CRLは、ディジタル証明書を発行した認証局(CA:Certification Authority)が該当するディジタル証明書を登録し、定期的に更新されています。 CRLには、シリアル番号の他に、発行したCA名、更新日、次回更新日などが記載されています。 尚、有効期限切れで無効となったディジタル証明書は記載されません。 ディジタル証明書が失効となる理由として、例えば、該当する秘密鍵が漏えいして悪用さ…

  • 信頼性(reliability)

    信頼性とは、情報セキュリティの要素の一つで、情報システムによる処理に欠陥や不具合がなく、期待した処理が確実に行われているという特性のことです。 JIS Q 27001:2014(情報セキュリティマネジメントシステムー用語)では、以下のように定義されています。 意図する行動と結果とが一貫しているという特性。 kikakurui.com 同資料では、情報セキュリティの定義としては、「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある」としています。 それぞれの用語について以下に示します。カッコ内は上記のJIS Q 2…

  • 真正性(authenticity)

    真正性とは、情報セキュリティの要素の一つで、利用者、プロセス、システム、情報などのエンティティが、それが主張する本人である(なりすましではない)という特性のことです。 JIS Q 27001:2014(情報セキュリティマネジメントシステムー用語)では、以下のように定義されています。 エンティティは、それが主張するとおりのものであるという特性。 kikakurui.com 同資料では、情報セキュリティの定義としては、「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある」としています。 それぞれの用語について以下に示…

  • ディレクトリトラバーサル攻撃(directory traversal attack)

    ディレクトリトラバーサル攻撃とは、Webサーバ等のようにユーザが入力したファイル名にしたがって処理を行うコンピュータシステムにおいて、特殊な文字列を指定することにより、通常は外部からのアクセスを想定していないディレクトリやファイルを不正に閲覧する手法のことです。 OSの多くはファイルやディレクトリの所在を記述するパスとして、現在のディレクトリは「.」、一階層上の親ディレクトリは「..」、最上位ディレクトリは「/」や「¥」など特殊な記号の組み合わせが用いられています。 /etc/passwd ../../etc/passwd これを悪用して、コンピュータシステムに対して、ディレクトリ階層を移動す…

  • ディジタル署名

    ディジタル署名とは、文書やメッセージなどデータのの真正性を証明するために付加する短い暗号データのことです。 電子署名とも言われる場合がありますが、電子署名は押印やサインに相当する証明手段を電子的な手段で実現したもの全般を意味する総称です。 ディジタル署名により、データの作成者・送信者を証明して、また、データの改ざんやすり替えが行われていないことを保証します。 インターネットなど信頼できないネットワークを介するデータの送受信で利用されますが、データを安全に保管する場合などにも利用されます。 また、データの作成者・送信者が、当事者であることを否定するのを防ぐ、否認防止の証拠として利用される場合もあ…

  • ソーシャルエンジニアリング

    ソーシャルエンジニアリングとは、ソーシャル(社会的)な手段によって、パスワードや重要情報を不正に得ようとする手口のことです。 エンジニアリングとありますが、技術的な方法というより、人の心理に付け込む方法になります。 社会的な手段とは、コンピュータやネットワークの管理者や利用者から、盗み聞きや盗み見、話術による聞き出しなどの手段を用いることです。 ソーシャルエンジニアリングの例としては、以下のようなものがあります。 パスワードを入力するところを後ろから盗み見る 本人になりすまして「パスワードを忘れてしまったので教えてください」などという電話をかけて、セキュリティ管理者からパスワードを聞き出す オ…

  • ハッシュ関数

    ハッシュ関数とは、任意の長さのデータを入力すると固定長のビット列を返す関数です。このビット列のことをハッシュ値またはメッセージダイジェストと言います。 入力データが同じであれば、常に同じメッセージダイジェストが生成される。 入力データがわずかでも異なる場合は、メッセージダイジェストは大きく異なる。 メッセージダイジェストから、元の入力データを復元することは困難である。 異なる入力データから同じメッセージダイジェストが生成される可能性は非常に低い。 同じメッセージダイジェストを出力する異なる二つの入力データを特定することは困難である。 メッセージダイジェストの長さは、入力データの長さによらず一定…

  • 情報セキュリティマネジメント【ディジタル証明書】

    ディジタル証明書 ディジタル証明書とは、暗号化通信やディジタル署名に用いる公開鍵の通信において、受信者が公開鍵の所有者を確認するために同封される一連のデータセットのことです。別の呼び方として、サーバ証明書、電子証明書、公開鍵証明書などがあります。 ディジタル証明書は、認証局(CA:Certificate Authority)に申請し審査に合格すると発行されます。 ディジタル証明書は、公開鍵をインターネット上で安全に確実に送受信間でやり取りする方式として考案されました。 それは、公開鍵が通信途上で改ざんやすり替えされておらず、確かに送信者本人のものであることを受信者が確認できるように、公開鍵のデ…

  • 情報セキュリティマネジメント【2要素認証】

    2要素認証 2要素認証とは、利用者の本人確認などの認証において、二つの異なる方式の認証手段を組み合わせることです。これにより精度と安全性を高めることができます。 認証の方式は主に以下のように分類できます。 WYK(What You Nnow)認証:本人しか知らない情報を用いる(パスワード、暗証番号) WYH(What You Have)認証:本人しか持っていないモノを用いる(乱数表、USBトークン) WYA(What You Are)認証:本人の人体パターンを用いる(指紋、虹彩) 2要素認証は、これらの方式から異なる二つ(パスワードとUSBトークン、暗証番号と指紋など)を組み合わせ、連続的に実…

  • 情報セキュリティマネジメント【DMZ】

    DMZ(DeMilitarized Zone)(非武装地帯、非武装セグメント) DMZとは、インターネットなど組織の外部と接続するネットワークにおいて、外部と内部の両方のネットワークの中間に位置付けられた領域のことで、ファイアウォールなどを介してネットワークが分離され構成されます。 DMZという言葉は軍事用語であり、紛争地域の軍事境界線付近で軍事活動の禁じられて地域のことをいいます。 外部ネットワークと直接通信する必要がある公開サーバやDNSサーバ、メールサーバなどが、DMZに配置されます。 通常、外部ネットワークから内部ネットワークへ、ファイアウォールを介して直接通信するような構成は取りませ…

  • 情報セキュリティマネジメント【辞書攻撃】

    辞書攻撃 辞書攻撃とは、ユーザのパスワードを推測するための攻撃方法の一つで、辞書に載っている一般的な名詞などの単語(administrator、managerなど)や、パスワードに使用されることが多い文字列(root、1111など)を1つずつ試していく攻撃です。 大文字、小文字や数字を組み合わせたパターンも試しますが、コンピュータにより短時間で処理できるため、基本的なパスワード破りの手法として用いられます。 よく使用するパスワードは、できるだけ分かり易くて覚えやすい一般的な単語やそれらの組合せを使用しがちです。この心理をついてパスワードを推測しようとするものです。 辞書攻撃への対策としては、推…

  • 情報セキュリティマネジメント【スニッフィング】

    スニッフィング スニッフィングとは、ネットワーク上のパケットを盗聴する行為です。 暗号化されていないデータは全て見ることができて、ユーザ名やパスワード、クレジットカード番号などの個人情報、メール本文など、本人に気づかれないで盗み見することができます。 通常は、管理用にネットワーク上のパケットやフレームを読み取り表示するキャプチャツールで利用されますが、これを悪用して盗聴することができてしまいます。 有線LANでは、リピータハブという装置で通過する全ての送受信データを受け取ることができ、自分宛て以外のデータもキャプチャツールで盗み見することができます。 無線LANでは、想定する利用場所から漏れ出…

カテゴリー一覧
商用