【資格】基本情報技術者試験-セキュリティ重要単語集
こんにちはゆーきです。お久しぶりです。最近はコロナの影響で在宅勤務できる!!・・・かと思いましたが、なんだかんだで出社する機会が多くあり、投稿できてませんでした。
久々の投稿となりますが、今回のテーマは基本情報技術者試験で必須で解答する必要がある「情報セキュリティ」についてです。
この投稿はこんな方向けです。
・基本情報技術者試験を受ける予定の方
・情報セキュリティを学びたい方
・情報セキュリティ初学者
情報セキュリティ- シラバス
IPAのシラバスを確認したところ、情報セキュリティの目標は以下のようになっていました。
【目標】
情報セキュリティの目的,考え方,重要性を理解し,担当する事項に適用する。
情報資産に対する脅威,脆弱性の基本的な考え方と主な攻撃手法を理解する。
情報システムを開発する上で必要な情報セキュリティに関する技術を理解し,担当する事項に適用する。
※情報処理推進機構 IPAより引用
んー、抽象的な目標ですね。特に、3つ目の目標は知識を持っているだけでなく、その知識を活用する技術が必要ですので難しいです。
私含めて、情報処理安全確保支援士の方でもなかなかできる方はいないのではないでしょうか。
これは私の個人的な意見ですが、基本情報技術者試験は「こんな技術があって情報システムの機密性・完全性・可用性が保たれているんだな〜」ぐらいのレベル感で勉強したらいいと思います。
「情報システムを開発する上で必要な情報セキュリティに関する技術を理解し、担当する事項に適用する」なんて何年もセキュリティの分野に関わった経験や知識・技術があって初めてできることですからね。気楽に勉強しましょう。
情報セキュリティ-重要単語
というわけで、今回はこの情報セキュリティで覚える必要のある重要語をまとめていきます。気楽にいきましょうと言いましたが、これだけは覚える必要があります。第一ステップとして頑張りましょう。単語を見て、他人に説明できるぐらいになるとベストです。
【重要語一覧】
・機密性(Confidentiality)
情報セキュリティの3要素(CIA)一つです。正当な権限がない者に情報を見られたり触れられたりしないように保護・管理されていること。後に出てくる「盗聴」などをされて重要情報(クレジットカード番号など)を見られないように管理が必要ですよということ。
・完全性(Integrity)
情報セキュリティの3要素(CIA)一つです。情報が性格で完全な状態で管理されていること。後に出てくる「改ざん」をされていないことを保証しますよということ。
・可用性(Availability)
情報セキュリティの3要素(CIA)一つです。情報システムが継続して稼働できるように管理すること。後に出てくる「Dos攻撃/DDos攻撃」を受けてサービスが停止してしまうようなシステムだと可用性が低いです。
・脅威
組織や情報システムに対して悪い影響(リスク)を与える要因のこと。例えば、操作ミス(人為的な脅威)・地震(環境的な脅威)など
・脆弱性(ぜいじゃくせい)
脅威によって利用されてしまう可能性のあるシステムや組織の弱点のこと。プログラムのバグは基本的に脆弱性になります。
・リスク
脅威と脆弱性によって組織に損害や影響を与える可能性のこと。組織は情報資産の脅威と脆弱性を洗い出し、リスクを分析します。リスク分析の結果、守るべき資産の優先順位を決定します。
・サイバー攻撃
企業のシステムやネットワークに対し、ネットワークを通じて破壊活動やデータの窃取などを行うこと。これから説明する不正アクセスや盗聴などは全てサイバー攻撃の一種です。
・不正アクセス
権限のない者が企業や個人のネットワークに侵入し、サーバなどにアクセスすること。
例えば、第三者の認証情報を使って不正にログインすることは不正アクセスとなります。
・盗聴
権限のない者が不正にデータを盗み見ることです。
盗聴は意外と簡単にできてしまいます。例えば、wiresharkというツールを使えば同じLAN(Local Area Network)上の人物がどのWebページを見ているかが簡単にわかってしまいます。
・なりすまし
なんとなくイメージできるかもしれませんが、なりすましとは他人のふりをして不正行為を働くことです。
悪意のある人物は、その企業に関わりのある人物になりすまし情報収拾を行います。
・改ざん
権限のない者がデータにアクセスし、無断で書き換えることです。Webサイトでは以下のような改ざんが行われることがあります。
・個人情報や悪意のあるソフトウェアを配布するWebサイトに書き換える。
・企業や個人のイメージを損なわせるような内容に書き換える。
・Webサイト内のデータを削除する
・クラッキング
企業や個人のシステムに対し、上記にある不正アクセスや改ざんなどのサイバー攻撃を行うことです。これをする人を「クラッカー」と呼びます。似た用語として「ハッカー」がありますが、こちらは必ずしも悪ではありません。よくテレビではクラッカーのことをハッカーとして紹介しているので誤って覚えてしまっている方もいるかもしれません。クラッカーから守る活動を行う「ホワイトハッカー」もいたりします。
・ソーシャルエンジニアリング
なりすましなどを使い、企業や個人の秘密情報を開示するように人々を操る技術。
この攻撃は情報セキュリティに甘い新人や人と関わる機会の多いヘルプデスク担当者、コールセンター担当者などがターゲットになりやすい。また、近年は標的型メールという特定の組織に向けた攻撃が非常に多くなってきている。そして、基本情報技術者試験によくでてくる。
・スキャベンジング
別名「ゴミ箱漁り」「ダンプスターダイビング」などとも言い。ターゲットの会社のゴミ箱を漁り、パスワードや顧客情報などを盗み出す行為のこと。ソーシャルエンジニアリングの一種。
・ショルダーハッキング
「ショルダサーフィン」とも言う。他人の肩越しにモニタを覗き込み、重要情報などを盗み出す行為のこと。これもソーシャルエンジニアリングの一種。
・マルウェア
システムに損害を引き起こし、悪意のある人物がシステムの一部または全てをコントロールすることができるように作成されたソフトウェアの総称のこと。以下にでてくる「ウイルス」や「ワーム」、「トロイの木馬」はこれにあたる。
・コンピュータウイルス
コンピュータウイルスとは、以下のような特性を持ったマルウェアのこと
・自己複製を行う
・他のファイルに寄生する
・ターゲットが何か行動(クリックするなど)することで感染する
・感染することでデータの破壊、盗聴などデータ作成者の意図しない動作をする
・マクロウイルス
上記コンピュータウイルスの中でもエクセルなどのマクロ機能を悪用して作成されたウイルスのこと。利用者が多いマイクロソフトのオフィスソフトで作成されることが多い。オフィスソフトでは基本的にマクロ機能は無効になっている。ファイルを開くと「コンテンツの有効化」ボタンがでてくるので、怪しいファイルは有効化ボタンを押さないことが重要になる。
・ワーム
ワームとは、以下のような特性を持ったマルウェアのこと
・人の介入なしに実行する
・自己複製を行う
・ターゲットのネットワークへ自己拡散を行う
・トロイの木馬
トロイの木馬とは、以下のような特性を持ったマルウェアのこと
基本情報技術者試験によくでてくる。
・一見害がなさそうなファイルで感染する
・ターゲットが何か行動(実行ファイルを起動するなど)ことで起動する
・自己複製は基本的に行わない
・ボット
トロイの木馬などによって悪意のある人物に操られてしまった(遠隔操作可能な)コンピュータのこと。twitterでもbot機能があるが、あれと同じように所有者の意図しない行為を悪意のある人物によって行われてしまう。犯罪行為に加担させられてしまう可能性もあるためとても危険な状態。
・スパイウェア
スパイウェアとは、感染したコンピュータの情報(個人情報などや操作記録など)を不正取得し、外部へ送る行為をするマルウェアのこと。
・ランサムウェア
感染することでコンピュータ内部のファイルを暗号化し、復号化
するために身代金を要求するマルウェアのこと。Ransom(身代金)とSoftware(ソフトウェア)を組み合わせて作られた名称。基本情報技術者試験でよくでてくる。
・キーロガー
スパイウェアと似ているが、こちらはキーボードの入力情報を監視し不正に外部に送るマルウェア。本来は正当な目的で作成された(プログラミングの内容を検証する等)。ハードウェアタイプもあるらしい。
・上記マルウェアの対策
セキュリティを学ぶ上で脅威に対する対策を知ることはとても重要。マルウェアの内容だけ知ってても守れる訳ではないからね。以下の対策を覚えておけば基本情報は大丈夫です。
・ウイルス対策ソフトウェアをインストールする。
・上記で定期的にスキャンする。また、常に最新バージョンにしておく
・怪しいソフトウェアをダウンロードしない
・オフィスソフトを使用している場合はデフォルトでマクロ機能をオフにする。
・定期的にファイルのバックアップをとる(別媒体でとってね)
・信頼されていないインターネットサイトやメールの添付ファイルをダウンロードしない
まだまだ重要単語はありますが、4000字超えて長くなりそうなので今回はここまでにしたいと思います。
来週までには続きを投稿したいと思います。(意外と仕事が忙しくなりそうなのでもしかしたら遅れるかも・・・)
セキュリティ分野以外にも重要単語情報を載せていこうと思っているので、基本情報技術者試験をこれから受けるよ、情報セキュリティ初学者だよ、という方はフォロー、「スキ」ボタンを押していただけると嬉しいです。
以上になります。お疲れ様でした!!
この記事が気に入ったらサポートをしてみませんか?