情報セキュリティスペシャリスト 勉強2日目 後半
4.情報セキュリティ対策(46/73)
間違えた問題、怪しい問題
397 コールバック方式では利用者本人確認は不可
402 無線LANで使用されるデータ暗号方式はWEP
WEP Wired Equivalent Privacy
WAP Wireless Application Protocol(携帯電話のアプリケーション…)
404 ゾーン転送のアクセス元を制御=DNSサーバ
405 総受け=ハニーボット 事故後の被害を最小限=インシデントレスポンス
410 S/MIME,PGPともに対応しているメールソフト必要
413 S/MIME 共通鍵の受け渡しに公開鍵
415 SSLはトランスポート データの盗聴、改ざん、なりすまし防止
418 IPsecのトランスポートモードでは最初から最後まで暗号化
419 無線LAN=WEPによる暗号化
420 無線LANではセッションごとに動的に異なる暗号化カギを用いた暗号カギ通信
427 CHAP←これは捨てる
428 RADIUS アクセスサーバと認証サーバでやり取りする認証プロトコル アクセスログの記録など
433 RADIUSサーバはIEEE 802.1xとRADIUSプロトコル両方に対応していなければダメ
436 サーバ管理者が個人ディレクトリの書き込みはしない←そりゃそーだ
更新はサーバ管理者だけが行う←書き込みはサーバ管理者だけができる、の言いかえ
438 ネットワークからの不正な侵入行為を検知・防御するシステム IDS
444 ファイヤウォール=内部で使用しているIPアドレスの隠ぺい可能 内部からインターネットへのアクセスは許可
450 レプリケーション 一貫性を保ってデータを共有する技術で、短期間での復旧が
456 ペネトレーション←侵入を試みる方法
457 ステガノグラフィ=電子透かし
459 コンピュタフォレンジクス 原因究明や捜査に必要なデータや電子的記録を収集・分析、証拠性を明らかに
461 SQLインジェクション ;でいったん命令を区切る
462 ESPトレーラまで暗号化
465 クロスサイトスプリクティング Webアプリケーションで起こりやすい脆弱性
5.関連法規・ガイドライン(15/23)
470 虚偽データを入力し不良品を製造=電子計算機損壊等業務妨害罪
472 コンプライアンスプログラム=マネジメントシステムうんたら JIS Q 15001
474 個人情報を直接収集する際は必ず書面で通知←書面ってのが違和感あるけどなー
478 OECD個人情報保護8原則
収集制限、データ内容、目的明確化、利用制限、安全確保、子会、個人参加、責任の原則
480 プライバシマーク JIS Q 15001が審査基準、日本情報処理開発協会(JIPDEC)が管理、2年間有効
482 個人情報データベース等を構成する個人情報=個人データ
483 プライバシポリシー=個人情報保護方針
484 コンピュータウイルスは自己伝染機能、潜伏機能、発病機能のいずれか1つ
6.標準化関連(4/11)
490 ISO 15408とか、ISO 17799とか、わかるかっ
492 EAL1から7まである
494 セキュリティ技術の観点から適切に設計され… ISO 15408←EALとも関連
495 ISMS適合性評価制度と関連 ISO 17799
496 セキュリティポリシ、基本方針はいろいろ(事業の特徴、組織など)考慮して策定
497 PP(プロテクションプロファイル) セキュリティ要求仕様
ST(セキュリティターゲット) セキュリティ機器、システムの基本設計方針←EALの評価はこっちを提出
498 通し番号つきで…RFC インターネットに関連するプロトコルとか
勉強時間 2時間半(累計4時間半)+10時間くらい