安全確保支援士勉強記録

随時更新します。
（こちら無事合格したので合格体験記だします）

参考サイト

• SC - 情報処理試験まとめwiki (fc2.com)

• SC：試験 - 午後 - パターン＆プラクティス - .NET 開発基盤部会 Wiki (osscons.jp)

セキュリティ管理

脆弱性評価指標

• CWE：ソフトウェア脆弱性分類

• CVE：製品の脆弱性

• CVSS（Common Vulnerability Scoring System）：情報システムの脆弱性深刻度評価指標

  • CVSS環境値：脆弱性のその時点での組織にとっての深刻度

  • CVSS現状値：攻撃コード出現有無や対策情報が利用可能であるかといった観点から評価した現在の深刻度

  • CVSS基本値：脆弱性そのものの特性を評価した値

認証

• SSHでパスワード強度に依存しない認証方式はホストベース認証と公開鍵認証。ホストベース認証はサーバのホスト名で認証を行うため安全性は低い。

• nonce(ナンス)値：認証などで用いられる、一回限り有効なランダムなデータ。リプレイ攻撃などを防ぐために用いられる。

• PKCE（Proof Key for Code Exchange）：認可コード横取り攻撃の対策として、チャレンジコードと検証コードを用いるような標準化された仕組み。

• ASLR（address space layout randomization,アドレス空間配置のランダム化）：OSにおけるセキュリティ機能のひとつ。プログラムの実行開始時に決定されるデータ領域やスタック領域、ヒープ領域などのアドレスを実行ごとにランダムにする。バッファオーバーフローなどの攻撃を行うことを阻止。

• SCIM（System for Cross-domain Identity Management）：複数のドメイン間でユーザーID情報のやり取りを自動化するために作られた規格（プロトコル）。

• JSON Web Token形式ではIDトークンとペイロードはbase64urlでエンコードされる。

サーバ証明書の有効性の確認

• 失効していないか（CRLやOCSP（公開鍵証明書が失効していないか問い合わせるプロトコル）による確認）

• 有効期限内か

• 証明書のコモンネームとブラウザで入力してるFQDNが一致しているか

• SSLコンテンツと非SSLコンテンツが混在していないか

• 証明書に記載の認証局のディジタル署名が正当であるか

鍵

DES（Data Encryption Standard）：共通鍵暗号方式
AES（Advanced Encryption Standard）：共通鍵暗号方式AESがDESより強い
RSA：公開鍵暗号方式

共通鍵暗号：Camellia、RC4、Tripe DES
ハッシュ関数：MD5、SHA-1

ネットワーク

• TCP Wrapper：UNIX系OSの機器へのTCP/IPネットワークを介したアクセスをIPアドレスなどを用いてフィルタリングするアクセス制御システム

• ARP：IPアドレスからMACアドレス

• ARPポイズニング：デフォルトゲートウェイなどの中間機器になりすまして通信を盗聴することが多い

• IPsecの運用モード

  • トランスポートモード：ホストーVPNーホスト

  • トンネルモード：ルータ間の通信を全て暗号化

• データの送信

  • GETメソッド：データをURL中にパラメタとして送信

  • POSTメソッド：HTTP要求のボディ部に格納して送信

HTTP

• HTTPヘッダ

  • 【リクエスト】

    • Authorization（認証時のPW（BASIC認証）、レスポンスコード（ダイジェスト認証）

    • User-Agent（ユーザのブラウザ情報）、

    • Referer（遷移前ページのURL）、

    • Cookie、

    • X-Forwared-For（プロキシ等の接続元IP）

  • 【レスポンス】

    • Set-Cookie、

    • Location（リダイレクト先URL）、

    • WWW-Authenticate（認証が必要であることを伝える情報）

プロキシ

• HTTP要求ヘッダ中の「X-Forwarded-For」には最初の端末IPと経由したプロキシのIPが記載されている。

メール

• SMTP(メール送信プロトコル)のコマンド

  • MAIL FROM：送信者のメールアドレスを指定

  • RCPT TO：受信者のメールアドレスを指定

• 送信ドメイン認証

  • SPF(Sender Policy Framework)：DNSの情報を用いて検証

    • メール送信側のDNSサーバにTXTレコードに送信メールサーバのIPを定義する。例）ドメイン名 IN TXT "v=spf1 ip4:送信メールサーバのIP -all"

  • DKIM(DomainKeys Identified Mail signatures)：配送するメールサーバがメール全体（ヘッダ〜本文まで）にディジタル署名を付加する

  • DMARC：SPF,DKIMと一緒に使う。認証に失敗したメールをどうするかを指示する。

DNS

• レコード

  • MXレコード：ドメイン宛のメールを受信するメールサーバのホスト名と優先度を定義。数字が小さいほど優先

  • TXTレコード：その他定義。SPFやDKIMで利用。

  • DNSKEYリソースレコード：DNSSEC検証に用いる公開鍵を格納するためのリソースレコード。

  • CAAレコード：ドメイン名の登録者が、登録されたドメイン名に対応する証明書の発行を許可する認証局（Certification Authority：CA）を指定するリソースレコード。

攻撃

クロスサイトフォージェリ

ログインが必要なWebサイトにてログイン後しかできない操作をユーザの意図とは関係なく実行させる。悪意のあるページから決済ページへ直接データを送信することなどによって発生する。
対策はページ遷移の検証によって行う。⇩

1. 処理を実行するページにはPOSTメソッドでアクセスし、hiddenパラメタで前ページからの秘密情報を受け取り、ページ遷移を検証する。

2. Refererを確認し、不正なページから遷移していないかを確認する。（ただし、Refererが必ずしも正しいものだと限らないのに注意）