10/1 資格対策講座

# 10/1 資格対策講座 #### セキュリティ分野　・午前　１０問　配点合計　１２．５点（１０/８０）　・午後　１問　　配点合計　１２点 #### 必ず理解しておきたい分野　・暗号化　・電子署名（デジタル署名） #### しっかり理解しておく分野　１　共通鍵暗号、公開鍵暗号、ハイブリッド型　２　代表的なアルゴリズム　３　電子署名（ディジタル署名）　４　PKIの仕組み（認証局（ＣＡ）、電子証明書（ディジタル証明書）　５　ファイアウォール #### 午後のポイントセキュリティ分野は暗号化やディジタル化 ==**暗号化**== 目的　・機密性の向上（機密性：Ｃ、完全性：Ｉ、可用性：Ａ） **仕組み** ・暗号化：平文　→暗号化アルゴリズム、暗号化鍵→暗号文・複合　：暗号文→暗号化アルゴリズム、複合鍵　→平文 **暗号方式** ・共通鍵暗号方式（対称鍵暗号方式）　　　・暗号化と複合で同じ鍵を使う・公開鍵暗号方式（非）　　　・暗号化と複合で違う鍵を使う　　　・鍵はペア（公開鍵と秘密鍵）・ハイブリッド暗号方式　　　・共通鍵暗号方式と公開鍵暗号方式の組み合わせ ==**共通鍵暗号方式**== ・暗号化と同じ鍵を使う・長所：高速・短所：鍵の安全な受け渡しが難しい・代表的なアルゴリズム　　・ＤＥＳ、３ＤＥＳ、ＡＥＳ・必要な鍵の総数（n＝人数）　　　・n × （n - 1）÷ 2 ==**共通鍵暗号方式**== ・暗号化と違う鍵を使う（鍵はペア）・長所：鍵の安全な受け渡しが可能・短所：低速・代表的なアルゴリズム　　・ＲＳＡ、楕円曲線・必要な鍵の総数（n＝人数）　　　・２n ==**電子署名（ディジタル署名）**== ・目的　・完全性の向上・仕組み　・送信文：ハッシュ関数を使ってハッシュ値（メッセージダイジェスト＝ＭＤ）算出　・秘密鍵でハッシュ関数を暗号化し暗号文を作る＝電子署名（ディジタル署名）　　　　　　　　　　　　　　　　　↓ 　・公開鍵で暗号文を複合しハッシュ値➀を取り出す＝複合できる<br>　　→送信者の本人確認ができる　・送信文（受信文）：ハッシュ関数を使ってハッシュ値➁の算出　・改ざん検知　　・➀＝➁の場合改ざんされてない　　・➀≠➁の場合改ざんされている **ハッシュ関数** 平文などのデータから一定の長さのハッシュ値を生成する関数元データが少しでも異なると、全く違うハッシュ値を返す **ＰＫＩ（公開鍵基盤）** ・公開鍵暗号方式を利用した社会基盤のこと・認証局（ＣＡ）が公開鍵の真正性を保証する・ディジタル証明書　　・登録者の公開鍵　　・登録者の情報　　・認証局自体のディジタル署名・ＣＲＬ（ディジタル証明書の失効リスト） ==**ファイアウォール**== ・パケットフィルタリング・パケットのヘッダを調べパケット通過の可否を決める・ヘッダ情報・ＩＰアドレス（送信元、送信先）・ポート番号（アプリケーションプロトコルの種類）・プロキシサーバー（Proxyサーバ、代理サーバ）・ＤＭＺ（非武装地帯）・ＩＤＳ（侵入検知システム）、ＩＰＳ（侵入防御システム） **情報セキュリティの重要性** ・情報資産・脅威・脆弱性・リスク・情報セキュリティインシデント **マルウェア** ・パスワードクラック攻撃・総当たり攻撃・辞書攻撃・パスワードリスト **標的型攻撃** **サービス妨害攻撃** ・ＤｏＳ攻撃 **なりすましによる攻撃** ・セッションハイジャック・踏み台 **不正なスクリプト・命令による攻撃** **その他の攻撃** ・フィッシング・ゼロデイ攻撃 **利用者認証** ・知識による認証、所有品による認証、生体認証・多様素認証、２要素認証・シングルサインオン（SSO）・ＩＤとパスワード、ＩＣカード・生体認証（バイオメトリクス認証）指紋、静脈、網膜、虹彩、顔、声紋・ワンタイムパスワード、ＣＡＰＴＣＨＡ（キャプチャ） **セキュリティ実装技術** **セキュアプロトコル** 　ＳＳＨ、ＳＳＬ/ＴＬＳ認証プロトコル　ＤＮＳＳＥＣＤ、 **情報セキュリティ管理** リスクマネジメント + リスクアセスメント + リスク特定→リスク分析→リスク評価 + リスク対応 + リスクコントロール + リスク回避、リスク低減（リスク分散、リスク集約） + リスクファイナンシング + リスク転移、リスク保有　**情報セキュリティポリシ** ・情報セキュリティ基本方針・情報セキュリティ対策基準・情報セキュリティ実施手順 **ＩＳＭＳ（情報セキュリティマネジメントシステム）** ・ＰＤＣＡサイクル・ＩＳＯ/ＩＥＣ２７０００ファミリー　・２７００１　要求事項　・２７００２　ベストプラクティス **セキュリティ評価基準** 　・ＩＳＯ/ＩＥＣ１５４０８　・ＪＩＳ　X　５０７０