品証エンジニアの日常

初めまして、とある会社でプラントエンジニアの品証を10年ほどやっております。10年もや…

品証エンジニアの日常

初めまして、とある会社でプラントエンジニアの品証を10年ほどやっております。10年もやっていると色々と溜まってくるもので。日々考えたことをこちらにまとめていきたいと考えております。品証関係のみならず会社や日々の生活にまつわる事も書いていきたいな。趣味は植物と筋トレです。

Knowledge management

知識管理(KM)について話す前に、まず「知識」という言葉の意味を明確に定義する必要があります。何が知識に該当し、情報やデータの範疇に 含まれるかを理解することが重要です。残念ながら、これは最初に見えるよりも困難な課題です。日常の言葉、特定の分野内、さらには同じ学問分野内でも、「知識」という言葉はさまざまな意味を持つことがよくあります。 知識、情報、データに関する視点 私たちは日常的な言葉で知識をよく使います。時にはノウハウを意味し、他の場合は知恵を指すこともあります。多くの

品証エンジニアの日常

    • Webアプリケーションに不正なスクリプトや命令を実行させる攻撃

      反射型XSSはどのような仕組みで実行されるかユーザーからのリクエストに含まれるスクリプトに相当する文字列をWebアプリケーションが当該リクエストへのレスポンスであるWenページ内に実行可能なスクリプトとして出力してしまうこと 反射型XSS、格納型XSSへの対策を述べよHTTPレスポンスヘッダのContentーTypeフィールドに文字コードを指定する タグの属性値を必ずダブルクオートで囲む タグの属性値のメタキャラクタのエスケープ処理を行う DOMーBased XSSはどの

      品証エンジニアの日常

      • Dos 攻撃

        Dos攻撃にはどのような種類があるか答えよCPUやメモリなどのシステムリソースの過負荷状態、またはオーバーフロー状態にする 大量のパケットを送りつけネットワーク帯域を溢れさせる ホストのセキュリティホールをついてOSや特定のアプリケーションを異常終了させる 実害を及ぼすDos攻撃としては何があるかSYN Flood 攻撃 UDP Flood攻撃 ICMP Flood攻撃 smurf攻撃 Connection Flood攻撃 DDOs攻撃 反射増幅型Dos攻撃 IoT機器

        品証エンジニアの日常

        • DNSサーバーに対する攻撃

          DNSサーバーに対する攻撃はどのようなものがあるかゾーン転送要求による登録情報の収集 DNSキャッシュポイズニングによる偽の情報をキャッシュに登録する攻撃 不正なリクエストによるサービス不能状態を引き起こす攻撃 DNSリフレクション攻撃 DNSキャッシュポイズニングによってどのような影響があるかDNSキャッシュサーバーにあるキャッシュの内容が不正な内容に書き換えられる。 その結果クライアントが正規のURLで問い合わせを行っても偽IPアドレスを返答するようになりいと意図

          品証エンジニアの日常

        Knowledge management

        品証エンジニアの日常

          セクションハイジャック

          セクションハイジャックにはどのような手法があるか正規のサーバーになりすましクライアントから機密情報を抜き取る 正規のサーバーになりすましクライアントを不正なサイトに導く 正規のクライアントになりすましサーバーに侵入し機密情報を抜き取る サーバーに対し正規のクライアントとしてクライアントに対しては正規のサーバーとして振る舞い通信データを盗聴したり、不正なリクエストやレスポンスを紛れ込ませるなどしてセッションをコントロールする。 TCP UDPにおける対策 アプリのヴァージョン

          品証エンジニアの日常

          セクションハイジャック

          品証エンジニアの日常

          パスワードクラック

          パスワードクラックにはどのような認証システムに有効か固定式パスワードを用いる認証システムに有効 パスワードクラックの予防、防止のための対策としては何が有効かユーザー固有の数字を使わない(生年月日、ユーザーIDに似ている) パスワードクラックを検知するにはどのような方法があるか ターゲットホストのログからログインを繰り返し失敗している箇所を探し攻撃を検知する。 ネットワーク監視型IDS、ホスト監視型IDS、IPSを用いて検知する リバースブルートフォース攻撃とは何かIDを

          品証エンジニアの日常

          パスワードクラック

          品証エンジニアの日常

          バッファオーバーフロー攻撃

          スタック領域のデータ構造上の特徴を挙げよスタックとはデータの保存領域であり。メモリにありコードのサブルーチンを呼び出した際に自動的に確保される。 後入先だし法(Last In FIrst OUT)LIFOが適用される。スタックにデータを入れることをPUSH出すことをPOPという。 メモリのスタック領域とヒープ領域の違いについて述べよスタック領域が自動で確保されるのに対し。ヒープ領域はmalloc関数new関数などで作成する必要がある。またスタック領域はサブルーチンが返ると自

          品証エンジニアの日常

          バッファオーバーフロー攻撃

          品証エンジニアの日常

          ポートスキャン

          TCP、UDPによるポートスキャン方法の違いは何か ポートスキャンにはTCPスキャン、SYNポートスキャン(TCPハーフスキャン)、UDPスキャンの3通りある。 ・TCP(Transmission Control Protocol)サービスを利用したポートスキャンで。接続要請(SYN)、アクティブ状態の返答(SYN/ACK)、コネクションの確立(ACK)といった3ウエイハンドシェイクの方法でターゲットとなるポートとTCPコネクションできるかスキャンする。 ・SYNポートスキャ

          品証エンジニアの日常

          ポートスキャン

          品証エンジニアの日常

          ゼロトラストとSASE

          ゼロトラストとは何かネットワーク、端末、ユーザー全て「信頼しない」という前提でセキュリティ対策を構築すること。一回一回全ての通信に関して承認するプロセスを踏む。 以下7項目がゼロトラストの構成である。 ①全てのデータソースと情報処理サービスをリソースとみなす ②ネットワークの場所に関係なく通信が保護される ③組織の個々のアクセスはセッション毎に許可される ④リソースへのアクセスは動的ポリシで決定される ⑤組織が所有する全てのリソースの監視測定を行う ⑥全てのリソースへの認証と

          品証エンジニアの日常

          ゼロトラストとSASE

          品証エンジニアの日常

          テレワークとセキュリティ

          テレワークとは何かコンピューターやネットワークを活用することにより 時間と空間を自由に活用する働き方である。 ①在宅勤務 ②サテライトオフィス勤務 ③モバイル勤務 テレワーク導入における主な検討事項を挙げよ対象者 業務内容 利用するシステム ネットワーク接続方法 ネットワーク設備 テレワーク端末 端末へのデータ保存可否 テレワークの主な実施方式と特徴について述べよ①シンクライアント画面転送型:クライアント端末にはデータの処理を行わせず。サーバーで処理しクライア

          品証エンジニアの日常

          テレワークとセキュリティ

          品証エンジニアの日常

          クラウドコンピューティングと仮想化技術

          クラウドにおける3つの提供・利用形態を述べよSaaS(Software as a Service):パッケージソフトウエアを提供する PaaS(Platform as a Service):アプリケーション実行環境(プラットフォーム)を提供する。 IaaS(Infrastructure as a Service):CPUやストレージなどインフラを提供する。 3つの提供・利用形態による管理と自社運用の違いについて述べよ   hardware、NW /OSミドルウエア/ アプリ

          品証エンジニアの日常

          クラウドコンピューティングと仮想化技術

          品証エンジニアの日常

          TCP/IPの主なプロトコルとネットワーク技術の基礎

          IPv4 のヘッダに含まれる主な情報を挙げよヴァージョン、ヘッダ長、パケット時間(TTL)、プロトコル番号、送信元IPアドレス、送信先IPアドレス、オプションが含まれる IPv4の主な問題点を挙げよインターネットの普及に伴いIPアドレスの枯渇が問題となっている IPv6にはどの様な特徴があるか機密性の高い通信や動画、音声の通信が必要になり安全で快適な通信のために作られた アドレス空間の拡張 IPv4が32ビット→IPv6は128ビット ルータの負担減:可変長がなくなり固

          品証エンジニアの日常

          TCP/IPの主なプロトコルとネットワーク技術の基礎

          品証エンジニアの日常

          情報セキュリティマネジメントの基礎

          PDCAとは何を意味する言葉かPLAN=>DO=>CHECK=>ACTION 計画し、行動し、振り返り、改善を行いより良い計画に繋げるといった一連の改善プロセス 情報セキュリティマネジメントのPDCAサイクルにおいてそれぞれのステップで行うべきことを挙げよ計画ステージでは情報セキュリティをどのように守っていくか、その資源(ヒト、モノ、カネ)やそれを生かす方法、うまくいっているか測定をどのようにするかどんだけするか、それをどの様な監査方法で行うかを計画する。 ー情報セキュリテ

          品証エンジニアの日常

          情報セキュリティマネジメントの基礎

          品証エンジニアの日常

          情報セキュリティの特性と基本的な考え方

          情報セキュリティの3つの特性とは何か機密性(Confidentiality):情報へのアクセスが許可された人がアクセスできる状態。 完全性(Integrity):全体として一つに纏まっている。つまり、欠損や改ざん、重複がなく矛盾が生じない状態。 可用性(Availability):必要な時に情報にアクセスできること。 3つの特性を適切に確保維持する上で考慮するべき点は何か機密性(Confidentiality):これを守るにはアクセス制御、認証(PWとか)。あと権限設

          品証エンジニアの日常

          情報セキュリティの特性と基本的な考え方

          品証エンジニアの日常

          情報セキュリティの概念

          セキュリティとは何か辞書を引くと”安全、治安がいいこと、無事、防犯、警備 危険に対する保証、防衛、備え、身を守るもの”とある。 守らなければならないモノを危険から正常な状態で確保、維持すること。 危険とは例えば、地震、火災、など自然災害。戦争やテロ。強盗や詐欺。などである。 情報セキュリティとは何かISOやJISでは「情報の機密性、完全性及び可用性を維持すること。さらに真正性、責任追求性、信頼性などの特性を維持することを含めることもある。」と定義される。 ここで云う情報とは

          品証エンジニアの日常

          情報セキュリティの概念

          品証エンジニアの日常

          Handstands guide

          Here is a basic guide to doing handstands: 1.Build strength: Start by doing push-ups, planks, and other exercises to build up the strength in your arms, shoulders, and core. 2.Get comfortable upside down: Try practicing headstands and dow

          品証エンジニアの日常

          Handstands guide

          品証エンジニアの日常