前回の学習内容はこちら。
いよいよ残す章もあと2つとなりました。Youtubeで学習した感じでは、このジャンルも簡単そうです。
気合を入れて、加速度的に計画的に効果的に頑張っていきまっしょう!
ITパスポート学習記録~情報セキュリティ編その①~
情報資産と不正アクセス
| 情報資産 | 情報は、盗聴・改ざん・破壊されては困る個人や企業の資産として扱われる。このような経済的価値のある情報を情報資産と呼ぶ。 ・企業で管理するWebサイト。社内で保持する機密情報。 ・知的財産権が保護する著作権や産業財産権。不正競争防止法が定める営業秘密。 ・個人情報保護法における、氏名や住所、勤務先、家族構成などの個人情報。 |
| 情報セキュリティ | 情報セキュリティとは、企業や個人が持つ大切な情報資産を保護すること。不正アクセス・ウィルス感染、内部不正による情報漏洩といったさまざまなリスクから情報を守る役割がある。 |
| 盗聴 | 不正アクセスによる攻撃のひとつで、盗聴とは、情報を不正取得する行為を指す。情報セキュリティ分野での盗聴は、ネットワーク上を行き来する情報を盗み取ることや、不正アクセスにより情報を詐取することなどを指す。 例)盗聴される情報としては、企業機密や顧客情報、個人がネットで買い物をするときのクレジットカード情報などが挙げられる。 |
| 改ざん | 不正アクセスによる攻撃のひとつで、改ざんとは、情報を不正に変更する行為を指す。文書・Webサイト・データベースのレコードの改変も含む。改ざんの結果、すべての情報は信頼性を失い、その情報に関連する操作は不適切であると見なされるようになる。 例)ECサイトに不正アクセスされ、商品の価格をすべて10万円に書き換えられてしまうケースなどがある。顧客は正規の値段を知らないまま購入してしまう可能性があり、被害を受けたサイトは経済的損失を被る可能性がある。 |
| 破壊 | 不正アクセスによる攻撃のひとつで、破壊とは、情報やシステムを故意に機能させなくする、または完全に消去するなどの行為を指す。攻撃者の目的は、業務の妨害や経済的ダメージを与えること、企業の評判を貶めることである。データベースの消去、Webサイトのダウン、ネットワークの遮断などが該当する。 例)企業サーバに対し、複数のコンピュータでアクセス過多を引き起こしサーバをダウンさせるDoS攻撃が挙げられる。 |
情報セキュリティの企業対策
| 情報セキュリティーポリシー | 情報セキュリティーポリシーとは、企業の経営者が責任者となり、企業が取り組む情報セキュリティの方針(セキュリティ対策)を社内外に宣言する文書のこと。基本方針で定めたことをもとに、従業員がルールに基づいて現場で判断・行動できるように、対策基準、実施手順を決めていく。 |
| 基本方針(ポリシー) | 情報セキュリティーポリシーの最初の段階で、組織全体での理念や方針を決める。具体的には、セキュリティの必要性や考え方について、組織に浸透させるための概念である。 例)情報セキュリティの重要性、保護すべき情報の種類 |
| 対策基準(スタンダード) | 情報セキュリティーポリシーの次の段階で、基本方針を実現するための規則を決める。具体的には、実施すべきことのルールを決める。 例)パスワードポリシー、データ保護、ユーザー教育 |
| 実施手順(プロシージャ) | 情報セキュリティーポリシーの最終段階で、運用手順や対象者の明確な細則を決める。具体的には、業務マニュアルとして位置づけられる文書である。 例)対策基準で「パスワードは10文字以上の英数記号で作成」と定めた場合、これに従う「tanakaIT@55」とする |
| サプライチェーン攻撃 | 情報セキュリティを脅かす攻撃者の目的は金銭や機密情報の窃取、営業妨害などさまざまである。セキュリティ対策が強固な大手企業を狙わず、それに紐づいた中小企業は比較的セキュリティ対策が万全ではないところが多いので、そういった中小企業を狙ってしかける攻撃を、サプライチェーン攻撃と呼ぶ。サプライチェーン攻撃のスタートには、人的・物理的・技術的な攻撃などがあり、その入口はさまざまである。 |
| ペネトレーションテスト | セキュリティの専門家が実際のサイバー攻撃を模倣して、コンピュータシステム、ネットワーク、アプリケーションなどのセキュリティ強度を評価するテストを指す。 |
| セキュリティ・バイ・デザイン | 製品が世の中に出回ってからセキュリティインシデントを行うのではなく、開発初期フェーズからセキュリティ対策を実施することで、セキュリティリスクを軽減する考え方である。 |
| サイバーキルチェーン | サイバー攻撃の手順を攻撃者の視点からモデル化したもの。攻撃を段階ごとに整理し、防御策を用意することで早期対策につなげることができる。攻撃の段階としては、探偵、武器化、配送、攻撃、インストール、遠隔操作、目的達成がある。 |
| 探偵 | サイバーキルチェーンの攻撃の段階のひとつで、公開情報(企業のWebサイトなど)を元に、標的の組織に関する情報を収集する。 |
| 武器化 | サイバーキルチェーンの攻撃の段階のひとつで、収集した情報を元に攻撃準備(フィッシングメールの作成など)を行う。 |
| 配送 | サイバーキルチェーンの攻撃の段階のひとつで、準備した攻撃手段を標的に送る。(フィッシングメールを標的の従業員に送信するなど) |
| 攻撃 | サイバーキルチェーンの攻撃の段階のひとつで、標的が攻撃手段に反応するのを待つ。(標的がフィッシングメールのリンクをクリックすると、マルウェアがそのコンピュータに侵入する) |
| インストール | サイバーキルチェーンの攻撃の段階のひとつで、攻撃者のマルウェアが標的のシステムにインストールされる。 |
| 遠隔操作 | サイバーキルチェーンの攻撃の段階のひとつで、インストールしたマルウェアを遠隔操作し、標的のシステム内で行動を起こす。(機密情報を盗み出す。システムの制御を奪うなど) |
| 目的達成 | サイバーキルチェーンの攻撃の段階のひとつで、最終的な目標(情報窃取、システム破壊など)を達成する。 |
| デジタルフォレンジックス | デジタルフォレンジックス(Digital Forensics:デジタル鑑識)とは、犯罪・事件の調査として、コンピュータに保存された情報を解析することである。デジタルフォレンジックスの活用例として、犯罪の捜査や証拠収集・法定証拠、システムのセキュリティ違反の調査、データ復旧などが挙げられる。 |
脅威の種類
| 人的脅威 | システムの誤動作や、紛失・不正利用・怠慢など、人が原因となる脅威。例えば、誤動作によるデータ消失・内部関係者によるデータの持ち出し(盗難)・パソコン画面の覗き見などは、すべて人によるミスや不注意・不正に起因する。 |
| ソーシャルエンジニアリング | 人間の心理的な隙をついて機密情報を入手する情報盗犯の手法である。ショルダーハッキングやトラッシングなどがある。 |
| ショルダーハッキング | ソーシャルエンジニアリングのひとつで、パソコンなどの画面を肩越しに後ろから覗き見して情報を得る方法。 対策:重要情報(IDやパスワード、クレジットカード番号など)を扱う場合には周囲の環境に注意する。パソコンやスマートフォンに覗き見防止フィルムを貼るなど。 |
| トラッシング | ソーシャルエンジニアリングのひとつで、ゴミ箱から捨てられた資料を記憶媒体(パソコンやハードディスクなど)から情報を読み取り、悪用すること。 対策:機密情報を扱った紙資料はシュレッダーにかけて廃棄する。機器の廃棄時はデータが復元されないようにデータを完全消去するなど。 |
| クラッキング | クラッキングとは、悪意を持った人がコンピュータに不正に侵入し、犯罪行為(データの改ざんや盗難)を働くことである。重要情報の盗み出しや、Webサイトの改ざんなどの行為が該当する。 |
| フィッシング | メールやWebサイトを通じてユーザーの個人情報(例えば、ログインID、パスワード、クレジットカード番号など)を騙し取る手法のこと。攻撃者は「一見相手にとって有益そうな情報」を装った通知を送り、個人情報などを入力させる。これらの情報に騙されることで、攻撃者の被害にさらされる。 事例: ・警視庁、銀行からの振込確認など、公的組織の名前を悪用する。 ・再配達、SNSの公式マーク付与など、利用者の興味を引く虚偽の連絡をする。 |
| 廃棄時の情報漏洩防止策 | データの盗難や不正利用など、記憶装置(PCやHDDなど)を廃棄する場合は、人為的脅威に対策するために次のことを実施する。 ・専用のデータ消去ソフトを使用し、ランダムなデータを記憶装置の全領域に複数回書き込む。 ・ドリルやメディアシュレッダーで物理的に破壊する。 |
| 物理的脅威 | 地震・洪水・火災・停電などの災害、故障や悪意ある人物による破壊行為など、システムを動かす機器が物理的に動作できなくなる脅威。例えば、地震・洪水・火災や、機器の経年劣化などが挙げられる。 脅威:災害(地震・洪水・火災など)→ 対策:ファシリティマネジメント 脅威:機器の経年劣化→ 対策:バックアップ 脅威:盗難や器物破損→ 対策:メンテナンス |
| 技術的脅威 | ネットワーク上の脆弱性(弱点)をついた不正アクセスや、コンピュータウイルスなど悪意ある第三者による攻撃(マルウェア・サイバー攻撃)をはじめとする技術的な手段による脅威。例えば、他人のコンピュータの情報を盗聴・改ざんするだけではなく、いたずら目的でアクセスを阻害する、故障させるなど、さまざまな被害をもたらす。 |
| コンピュータウイルス | ソフトウェアに寄生(プログラムにコードを埋め込む)し、感染したプログラムを実行することで拡散するマルウェア。 |
| ワーム | ソフトウェアに寄生せずに存在し、感染したシステムを利用して他のシステムに拡散するマルウェア。 |
| スパイウェア | スパイ(spy)の名の通り、ユーザーの行動を監視・収集した情報を第三者に送信するソフトウェア。何らかのソフトウェアをダウンロードしたときや、Webサイトを訪れたときなど、ユーザーの知らない間にインストールされることがある。 |
| トロイの木馬 | ユーザーにとって、一見無害なソフトウェアを装ってダウンロードさせ、実際には悪意のあるふるまいをするソフトウェア。ユーザーがトロイの木馬となるソフトウェアを実行すると、悪意のあるコードが実行され、攻撃者がユーザーのコンピュータを制御できるようになる。 |
| キーロガー | ユーザーがキーボードで入力した情報を不正に記録するソフトウェア。これにより、パスワード、クレジットカード番号、個人情報など、ユーザーが入力した情報を不正に取得できる。カスタムキーボードが無料で利用できるスマホアプリの中には、キーロガーが仕込まれている可能性もあるため、注意しよう(Simeji?)。 |
| バックドア | バックドアとは、コンピュータやソフトウェアに意図的に設置された秘密の入口のことである。スパイウェアやトロイの木馬がバックドアをつくるケースもあり、攻撃者は感染したコンピュータに自由に侵入できる。 |
| ランサムウェア | ランサム(Ransom)とは、身代金を意味する。ユーザーのシステム利用を制御した後、解除方法を提供する代わりに身代金を要求する。ただし、お金を払っても必ず復元されるわけではないため、支払いせずにコンピュータをネットワークから切断し、サイバー犯罪相談窓口やプロの業者に相談することが勧められる。 |
| セキュリティホール | セキュリティホールとは、コンピュータシステムなどに存在する未確定の脆弱性のことである。この脆弱性を悪用することで、不正アクセスや情報漏洩、サービス停止などの攻撃が行われる可能性がある。 |
| クロスサイトスクリプティング | クロスサイトスクリプティング(XSS)とは、ユーザーのブラウザ上で悪意のあるスクリプトを実行させる攻撃手段である。攻撃者はWebサイトの脆弱性を利用してスクリプトを埋め込むことで、ユーザーのセッション情報を盗んだり、ユーザーを別のサイトにリダイレクトさせたりすることができる。一般に、XSSはWebアプリケーションのセキュリティ強化によって防ぐことができる。 |
| SQLインジェクション | SQLはデータベースを捜査する言語で、インジェクションは「注入」を意味する。SQLインジェクションとは、特別に作成されたSQL文を書き込むことで、データベースの情報抽出・データ改ざん・削除などを行う攻撃である。 |
| ゼロデイ攻撃 | 未公開の脆弱性・アプリなどの開発者自身がまだ認識していない脆弱性を突く攻撃。脆弱性が発見されてから修正プログラムがリリースされるまでの間に攻撃されるため、防御が非常に難しい。 |
| バッファオーバーフロー攻撃 | プログラムが処理可能な容量を大幅に超える量のデータを送ることで、メモリ領域をオーバーフローさせ、不正なコードを注入して実行する攻撃。対策として、プログラムが扱うデータの長さを適切に制御することで、被害を防ぐ方法がある。 |
| Bot攻撃 | Bot攻撃は、特定のタスクを自動的に実行するためにプログラムされた「Bot(ロボット)」を使用した攻撃。Botの攻撃例として、コンピュータに侵入してリモート操作・制御したり、ネットワーク経由で膨大な攻撃タスクを実行したり、その他スパムメールの送信やDDoS攻撃を行うなどのものがある。 |
| DoS攻撃 | 攻撃者が大量のリクエストやデータを送信し、ターゲットとなるシステムやネットワークのサービスを停止させる攻撃。結果として、ユーザーは正常なサービスにアクセスできなくなる。 |
| DDoS攻撃 | 複数のコンピュータ(ボットネットと呼ばれるネットワーク)から大量のリクエストやデータを一斉に送信し、ターゲットとなるシステムやネットワークのサービスを停止させる攻撃。DoS攻撃と比べて規模が大きく、防御も困難となる。 |
| 辞書攻撃 | 辞書などをもとに、一般的に使用される用語からIDやパスワードを推測する手法。複雑なパスワードを設定しない場合、攻撃の対象となる。 |
| 総当たり攻撃 (プルートフォース攻撃) | パスワードのすべての組み合わせを試行し、攻撃対象のIDやパスワードを推測する手法。時間や計算力を要すが、最終的には正しいパスワードを見つけ出す可能性がある。この攻撃の対策の1つとして、パスワード入力回数の制限があり、一定時間内のパスワード試行回数を制限する仕様を採用するなどの方法がある。 |
| パスワードリスト攻撃 | 特定のターゲットが複数のログインシステムで同一のIDやパスワードを使い回している場合、その情報をもとに他のサービスにログインしようとする手法。 |
Ankiアプリ用データ
以下のサイトより、Ankiアプリで活用できるITパスポートのストラテジ系+マネジメント系+テクノロジ系(ハードウェア+ソフトウェア+ネットワーク+コンピュータとデジタル情報+プログラムとアルゴリズム+コンピュータシステム+情報セキュリティ(本日分まで))の暗記データがダウンロードできます。
パスワードは半角で、「shirakawa」です。
ぜひ、学習にご活用ください。
firestorageダウンロード
firestorage.com
Ankiアプリの使い方
Ankiアプリの簡単な使い方をご紹介しています。ぜひ、ご一読ください。
合わせて読みたい
参考文献
今回、学習用として参考にさせていただいているのがこちらの教本です。AmazonではPDF版もあるようです。セクションごとにQRコードを読み取って小テストを受けることができ、学習の確認もできて頼りがいのある一冊です。また、YouTubeでの解説動画もありますので、そちらも参考に学習を進めると良いでしょう。
bookfan 1号店 楽天市場店
¥1,650 (2025/02/17 20:03時点 | 楽天市場調べ)
ポチップ
コメント