会員登録後、有料プランで広告を非表示に
詳しくはこちら
ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。 主な資格としては、情報処理安全確保支援士、ネットワークスペシャリスト、情報セキュリティマネジメントなどの過去問を挙げて解説していきます。
情報処理安全確保支援士試験 午後問題から学ぶ【IoT機器内部情報の不正利用】
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「IoT機器」を題材にした「IoT機器内部情報の不正利用」を解説していきます。
情報処理安全確保支援士試験 午後問題から学ぶ【IoT機器と複数サーバ間での認証連携】
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「IoT機器」を題材にした「IoT機器と複数サーバ間での認証連携」を解説していきます。
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「IoT機器」を題材にした「HMAC」を解説していきます。
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「クラウドサービスの利用における認証方式の強化」を題材にした「FIDO」を解説していきます。
情報処理安全確保支援士試験 午後問題から学ぶ【ワンタイムパスワード認証方式でも攻撃者に悪用される】
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「クラウドサービスの利用における認証方式の強化」を題材にした「ワンタイムパスワード認証方式でも攻撃者に悪用される」を解説していきます。
情報処理安全確保支援士試験 午後問題から学ぶ【サーバ証明書】
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「クラウドサービスの利用における認証方式の強化」を題材にした「サーバ証明書」を解説していきます。
情報処理安全確保支援士試験 午後問題から学ぶ【攻撃者が用意した無線アクセスポイントに誘導される仕組み】
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「クラウドサービスの利用における認証方式の強化」を題材にした「攻撃者が用意した無線アクセスポイントに誘導される仕組み」を解説していきます。
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「Webサイト間の情報連携」を題材にした「CORS」を解説していきます。
情報処理安全確保支援士試験 午後問題から学ぶ【CSRF(クロスサイト・リクエスト・フォージェリ)】
情報処理安全確保支援士試験の午後問題で問われる情報セキュリティに関する設計やインシデント対応能力を磨きましょう。今回は、「Webサイト間の情報連携」を題材にした「CSRF(クロスサイト・リクエスト・フォージェリ」を解説していきます。
情報処理安全確保支援士試験 午後問題から学ぶ【Same-Originポリシ】
情報処理安全確保支援士試験の午後問題には、情報セキュリティに関する最新の動向を反映した題材が採用されています。 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、情報処理安全確保支援士試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習していきましょう。 今回は、「Webサイト間の情報連携」を題材にした「Same-Originポリシ」の問題です。 Same-Originポリシとは 平成31年度春期情報処理安全確保支援士試験での「Same-Originポリシ」 Same-Originポリシとは Same-Originポリシとは、Web…
情報処理安全確保支援士は2020年から認知度UP!!【今こそ情報処理安全確保支援士を目指すべき時】
現在、情報処理安全確保支援士で必須となる講習を受講しています。 毎年、オンラインまたは集合講習が義務付けられていて、改めて情報処理安全確保支援士として気持ちを引き締めるいい機会になっていると感じます。 情報処理安全確保支援士になってみて、その奥深さと社会との繋がりをより感じるようになりました。 社会の情報処理安全確保支援士への認知度、期待感はまだまだの状況です。 ただ、ICT技術が発展すればするほどセキュリティリスクを実感する機会が多くなり、情報処理安全確保支援士の必要性が改めて問われることになります。 情報処理安全確保支援士の全体像 情報処理安全確保支援士に求められる人材像 IT技術者として…
ビジネスメール詐欺(BEC)で大企業も被害者に【ビジネスメール詐欺の被害事例により意識を高めよう】
オレオレ詐欺や詐欺商法など、「なぜ騙されるのか」と被害者の方に非があるような風潮があります。 ではビジネス上のやりとりで大手企業が多額の被害にあっているとしたら、どう思うでしょう。 ビジネスメール詐欺による被害が後を断ちません。 ビジネスメール詐欺とは ビジネスメール詐欺の具体的例 ビジネスメール詐欺への対策 ビジネスメール詐欺とは ビジネスメール詐欺(BEC:Business E-mail Compromise)とは、取引先や上司などになりすました偽のメールを企業や組織に送信して、攻撃者の口座に金銭を振り込ませるサイバー攻撃のことです。 米国では2018年時点で過去5年間で78,000件、被…
サイバーキルチェーンとは?【攻撃者の行動パターンを知って防御設計に生かそう】
サイバー攻撃の具体的な統計情報をみると衝撃を受けます。 例えば、NICT(国立研究開発法人情報通信研究機構)が2019年2月に公開した「NICTER観測レポート2018」によると、2018年に観測されたサイバー攻撃関連の通信は2,121億パケットとのことです。前年は1,504億パケットですので約1.4倍増加したことになります。(10年前は35億パケット) 一方、サイバー攻撃のターゲットは様々なIoT機器に対する割合が増加していて、その攻撃パターンも多種多様になっている傾向があります。 www.nict.go.jp サイバー攻撃の多様化に対する防御設計では、攻撃者の行動パターンを抑えておくことが…
技術の進展が攻撃者の身元隠しにつながる【攻撃のハードルが低くなっていることを認識しよう】
サイバー攻撃を仕掛ける攻撃者の目的って、そもそも何なんでしょう。 自分の技術力の高さを知らしめる愉快犯的なものから、ターゲットへの恨みから情報を盗んで評判を落としたり、金銭を要求したりするようなもの、そして、ここ最近では、広く一般ユーザから金銭を奪うことが目的になってきているようです。 逆に、なぜこれまでは一般ユーザをターゲットにした金銭目的がそれほど多くなかったのでしょうか。 それには、技術の進展が関係しているようです。 攻撃者が気をつけること 技術?の進展 Tor(The Onion router) 仮想通貨(暗号資産) プリペイドカード 攻撃者の身元隠しは簡単になった 攻撃者が気をつける…
有名Webサイトでも詐欺サイトに誘導される【検索結果の上位表示Webサイトでも安心しない】
誰もが自分が詐欺に引っ掛かるなんて思っていませんよね。それでもインターネットショッピングなどを利用する時は、ほんの少しリスクを感じながら、怪しそうなWebサイトは注意深く確認するようにしている人が多いことでしょう。 新しいWebサイトを訪問する場合、大勢の人が訪問するWebサイトは信用できるとして、Google検索などで上位に表示されるWebサイトであれば人気サイトだから安心できそうだと感じることは多いと思います。 そんな心理を突いて、有名なWebサイトだと思ってアクセスすると詐欺サイトに誘導される、なんて事例が多くなっています。 インターネットショッピングの詐欺サイトの実態 なぜ、検索結果の…
無線LANのセキュリティが狙われる【基本を抑えて脅威に備えよう】
無線LANは電波を使ってデータをやり取りします。当然ながら盗聴の危険性に常にさらされています。 無線LANで使われてるセキュリティプロトコルは、過去に脆弱性が見つかり盗聴されやすい状況になり、新しい方法にとって変わった経緯があります。 無線LANのセキュリティの基本を抑えて、これからの脅威に備えられるようにしておきましょう。 無線LANのセキュリティプロトコル 進化の過程 KRACKsとは何か(簡単に) 無線LANのセキュリティプロトコル 無線LANのセキュリティプロトコルは、当初はWEP(Wired Equivalent Privacy)が使われていましたが、その後、WEPよりも安全性が高い…
カメラ機能の脆弱性で覗き見される恐れ【ネットワーク接続で利用する機能は慎重に使おう】
IoT機能をうたうスマート家電市場が活況を浴びています。 手軽にスマートフォンのアプリからリモートでモニタリングやコントロールができる機能は、うまく生活パターンに取り入れることで時間や空間を節約してくれ、気分も上がりますよね。 ただ、ネットワーク接続するということは、誰でもアクセスできる環境にあるということ。つまり、自分だけ利用しているつもりが、他人からも利用されていたなんてことが起こり得るのです。 実際に、カメラ機能が悪用され覗き見される脆弱性を持ったまま市場に出回った製品がありましたので、確認してみました。 ロボット家電の脆弱性 脆弱性の中身をもう少し詳しく どうすれば安心か ロボット家電…
セキュリティ対策はコストではなく投資【セキュリティ対策の投資効果がわかる仕組み作りが必要】
毎日のように個人情報漏洩やサイバー攻撃などセキュリティの話題に事欠かなくなっています。 セキュリティ対策と聞くと、収益をあげる戦略のベクトルではなく、どちらかというと後ろ向きな対策のイメージですよね。 サイバー攻撃が避けられない現状においては、何とかセキュリティ対策にもスポットライトを浴びさせ、効果が上がれば称賛されるような仕組み作りができないでしょうかという話です。 セキュリティ対策でやること セキュリティ対策しないと収益低下? セキュリティ対策の投資効果の見える化 セキュリティ対策でやること 企業経営においてセキュリティ対策をどの程度実施していくのか、経営者による戦略という面で、経済産業省…
パスワード規則の古い常識に従うと逆に攻撃者に見破られてしまうという、そんな話です。 パスワード規則は失敗だった? パスワード推測攻撃の変遷 ではどうやってパスワードを管理するか パスワード規則は失敗だった? インターネットでいろいろなサービスを利用しようとすると、ユーザ認証を要求され、その都度ログイン・パスワードをどう決めたらいいかと悩むことって結構多いですよね。 推奨されるパスワードは「パスワードは複雑にすること(8文字以上で英数字記号を含むなど)」「パスワードは3ヶ月ごとに変更など定期的な変更」「パスワードの使い回しはしない」とかがあります。 複雑で定期的に変更して同じものは使えないワード…
クラウドサービスの無断利用で違反者になる恐れあり【便利なツール利用にはリスクがあることを認識しよう】
ストレージやメール、オフィスソフトなど、クラウドサービスは会社、個人利用問わず、とても便利ですよね。 でも、この便利なサービスも使い方次第で、違反者になってしまう可能性があるんです。 クラウドサービス利用の背景 クラウドサービスのリスク 改正個人情報保護法、GDPRなどの法令違反に当たる場合も クラウドサービス利用状況の可視化 クラウドサービス利用の背景 数年前、今のようにスマートフォンが行き渡る前はパソコンを持つ人も限られ、プライベートにクラウドサービスを利用するシーンは多くありませんでした。 会社でも自分専用のパソコン上で操作し、オフィスソフトで作成したデータやメールの送受信データは自分の…
クリスマスシーズン到来でサイバー攻撃活発【被害にあわないためにリスクを認識しよう】
12月に入ると周囲が何となくざわつく感じで、気持ちが浮ついた感じなりますよね。 クリスマスシーズンは、若い世代はもちろん、いくつになっても年末に向けてイベントが多くなる時期、楽しくなります。 そんな気分に水を差すようで申し訳ないですが、クリスマスシーズンはサイバー攻撃も活発になっているんです。 楽しいショッピング 利用者は危険性を意識していない Webサイトの信頼性をチェックしていない 被害の実態 楽しいクリスマスシーズンを過ごすために 楽しいショッピング 利用者は危険性を意識していない クリスマスプレゼントやボーナスでの大きな買い物とか楽しいですよね。 私は普段はあまり買い物とかしないのです…
情報セキュリティマネジメント【H29春午後問1設問1(1)】
情報セキュリティマネジメント試験の過去問をやさしく解説していきます。(平成29年度春期午後問1「マルウェア感染への対応」設問1(1))
ホットスタンバイとは、現用系と予備系の2系統で構成されるデュプレックスシステムの一つで、予備系のOS及び業務用プログラムを稼働させた状態で用意しておき、障害発生時にはすぐに予備系に切り替える方式です。 ホットスタンバイでは、現用系と予備系で処理状態やデータを同期させておくことで障害発生時に即時に業務を再開できます。 その他には、予備系の待機状態と、障害発生時の切り替えに要する時間から、以下の方式があります。 コールドスタンバイ:電源を落とした状態で予備系を待機させておく方式です。障害発生時には、予備系の電源を投入後、業務用プログラムを立ち上げて現用系の処理を引き継ぎます。 ウォームスタンバイ:…
著作権法とは、著作物(思想又は感情を創作的に表現したもの)や作成した人(著作者)を保護するための法律で、著作者が自身の著作物を独占的に使用したりする権利(著作権)を定義しています。 著作権の保護対象としては、文芸、学術、音楽、美術の創作物や、コンピュータ関連ではソースプログラムやデータベースが該当します。 日本の著作権法では、著作物の作成と同時に著作者にその著作権が与えられ、著作者の死後50年後まで認められます。 また、プログラムを作成する際に利用するアルゴリズム(解法)、プログラム言語及び規約は、保護の対象にしていませんが、プログラム自体は著作物として認められます。 この定義には、ソースコー…
不正競争防止法とは、市場において事業者間の公正な競争が行われるように、不正行為を定め不正競争の防止を目的として定められた日本の法律です。 被害を被った者は差止め請求や損害賠償請求などができるほか、一部の行為は刑事罰の対象となります。 不正行為の例として以下のようなものがあります。 営業秘密の侵害 複製、模造商品の販売 商品名やロゴの模倣 著名人の名前などの無断使用 デジタルデータのコピー制限技術やアクセス管理技術の解除、回避 商品の材料、原産地などの偽造、紛らわしい表示 他社の商標などに一致又は類似するインターネットドメイン名の使用 競合相手を誹謗する虚偽情報の流布 上記の例にあるように、保護…
売買契約とは、売主が保有している商品や土地などの財産権を、買主に移すことを約束し、買主は売主に代価を支払うことを約束する契約のことで、売主と買主の合意があったときに成立するものです。 一般的な商取引では、買主が注文書によって申し込みの意思表示を行い、それを受け取った売主は注文請書で承諾の意思表示をします。 このとき注文請書の連絡が買主に受理された時点で「合意」があったとみなされ、売買契約が成立します。 インターネットショッピングでは、売主からの注文承諾メールなどが、読み取り可能な状態で注文者に届いた時点で売買契約が成立します。 平成29年度 春期 情報セキュリティマネジメント試験 午前 情報セ…
電子署名法とは、正式名称を「電子署名及び認証業務に関する法律」といい、ディジタル署名などの電子署名が手書き署名や押印と同等に通用することを定めた日本の法律で、2001年に施行されました。 電子署名法の冒頭の「第一章 総則」部分には以下のように記載されています。 (目的)第一条 この法則は、電子署名に関し、電磁的記録の真正な成立の推定、特定認証業務に関する認定の制度その他必要な事項を定めることにより、電子署名の円滑な利用の確保による情報の電磁的方式による流通及び情報処理の促進を図り、もって国民生活の向上及び国民経済の健全な発展に寄与することを目的とする。 (定義)第二条 この法則において「電子署…
「ブログリーダー」を活用して、湊 コウさんをフォローしませんか?
指定した記事をブログ村の中で非表示にしたり、削除したりできます。非表示の場合は、再度表示に戻せます。
画像が取得されていないときは、ブログ側にOGP(メタタグ)の設置が必要になる場合があります。
