AikoMama

プログラミングと資格取得と編み物が大好きです。とってもわくわくする毎日の取り組みを報告…

AikoMama

プログラミングと資格取得と編み物が大好きです。とってもわくわくする毎日の取り組みを報告したいと思っています。

  • 情報処理安全確保支援士

    情報処理安全確保支援士試験合格に向けて大事だと思われる記事をまとめてみました。

  • 電験三種

  • 編み物

    作成したものを公開したいと思っています。

システム開発とセキュアプログラミング

システム開発では、まずSOA(サービス指向アーキテクチャ)を採用し、サービス中心に考え、サービス同士の独立性を高めることが重要です。これにより、システム全体の柔軟性と再利用性が向上します。次に、CMMIレベルに従って開発プロセスを進めます。CMMIには、1. 初期、2. 管理、3. 定義、4. 定量的管理、5. 最適化の5つのレベルがあります。これらを順に達成することで、品質と効率が向上します。 システム開発において、会社で作成したプログラムの著作権はその会社(法人)に帰属

AikoMama

    • マルウェア対策

      マルウェア対策を効果的に行うためには、さまざまな手法とツールを組み合わせることが重要です。まず、ルートキットは、攻撃の痕跡を隠蔽することができるため、これを検出し排除することが求められます。また、エクスプロイトキットは、脆弱性を検証するツールで、悪用が可能であり、システムの脆弱性管理を徹底することが必要です。特に、ゼロディ攻撃では、脆弱性の修正プログラムが完成する前に攻撃を行うため、迅速なパッチ適用と脆弱性の早期発見が不可欠です。 ポリモーフィック型マルウェアは、コードに異

      AikoMama

      • サイバー攻撃

        サイバー攻撃には多種多様な手法が存在し、それぞれに対する対策が求められます。以下に主要な攻撃手法とその対策をまとめました。 まず、バッファオーバーフローに対しては、ハードウェアやライブラリのバッファオーバーフロー脆弱性に注意し、入力文字列の長さをチェックし、直接メモリに書き込める言語はなるべく使用しないようにします。 クロスサイトスクリプティング (XSS)は、HTMLの入出力がなくても対策を行い、ホワイトリスト方式で行うことが望ましいです。 次に、クロスサイトリクエスト

        AikoMama

        • 情報セキュリティ実践技術

          情報セキュリティ実践技術は、多くの要素を組み合わせて形成される多層的なアプローチです。TLS技術は、証明書による認証、鍵交換、暗号化、および改ざん検出を可能にし、プロセスの負荷を軽減するためにSSL/TLSアクセラレータが使用されます。                VPN技術には、ネットワーク層で機能するIPsec-VPN、トランスポート層で機能するSSL-VPN、データリンク層で使用されるL2TPやPPTPがあります。    ESPヘッダの暗号化対策は、オリジナルIPヘッ

          AikoMama

        システム開発とセキュアプログラミング

        AikoMama

        マガジン

        • 情報処理安全確保支援士
          19本
        • 電験三種
          1本
        • 編み物
          4本

        記事

          情報セキュリティ基礎技術(アクセス制御)

          情報セキュリティにおけるアクセス制御は、組織のデジタル資産を保護するための根本的な技術です。まず、パケットフィルタリング技術について説明します。この基本的なファイアウォール技術は、IPアドレスとポート番号を用いてパケットの通過可否を判断し、未承認のアクセスを阻止します。次に、ステートフルパケットインスペクション技術があります。これは、パケットフィルタリングより進んでおり、通信セッションの状態を追跡し、その情報に基づいてパケットをフィルタリングします。 さらに、Webアプリケ

          AikoMama

          情報セキュリティ基礎技術(アクセス制御)

          AikoMama

          情報セキュリティ基礎技術(暗号化、認証)

          情報セキュリティの基礎技術には、暗号化と認証の二つの重要な要素が含まれています。これらの技術はデータと通信の安全を確保するために不可欠です。 まず、暗号化には共通鍵暗号方式と公開鍵暗号方式の二種類があります。共通鍵暗号方式では、同じ鍵を用いて暗号化と復号を行いますが、鍵管理が重要な課題となります。鍵が漏洩すると、暗号化されたデータが危険にさらされるため、適切な鍵管理が必要です。CRYPTRECで推奨される共通鍵暗号方式は、AES、Camellia、KCipher-2です。一

          AikoMama

          情報セキュリティ基礎技術(暗号化、認証)

          AikoMama

          ネットワークの基礎技術

          ネットワークの基礎技術には多岐にわたる要素が含まれています。OSI基本参照モデルのトランスポート層はTCP/IPプロトコル群と同様に信頼性の確保が求められ、各階層でヘッダがデータに付加されます。IPヘッダにはTOS、TTL、プロトコル、送信元/宛先IPアドレスなどが含まれ、NAPTではIPアドレスとポート番号の組み合わせでアドレス変換が行われます。 TCPは信頼性を提供し、UDPは高速性を提供します。TCPのポート番号には、80番がHTTP、443番がHTTPS、20番と21

          AikoMama

          ネットワークの基礎技術

          AikoMama

          情報セキュリティマネジメント

          情報セキュリティマネジメントは、多様な情報資産の保護に焦点を当て、物理的資産、ソフトウェア資産、人的資産、無形資産を含む広範な範囲をカバーします。まだ起こっていないことがリスクであり、起こってしまったことが問題です。また、リスクを金額で分析するのが定量的リスク分析です。監査証拠を集めて監査調書を作成し、監査報告書にまとめます。情報セキュリティ事象が発生した際は、管理者への報告が義務付けられており、セキュリティポリシを通じて基本方針と対策基準が設定されます。これらのポリシは各種

          AikoMama

          情報セキュリティマネジメント

          AikoMama

          情報セキュリティとは

          情報セキュリティとは、機密性、完全性、可用性を確保するプロセスを指し、各組織において情報セキュリティマネジメントシステム(ISMS)を構築し、PDCAサイクルを効果的に運用します。このサイクルは、組織が情報資産の脅威、脆弱性、及びリスクを評価し、適切な対策を定期的に見直し、強化することを可能にします。情報セキュリティ対策は、技術的、人的、物理的の3種類に分類され、それぞれが相互に補完し合う形で実施されます。 まず、情報資産ごとに脅威、脆弱性、およびリスクを洗い出し、それに基

          AikoMama

          情報セキュリティとは

          AikoMama

          情報セキュリティ10大脅威

          情報セキュリティ10大脅威は、情報の機密性、完全性、可用性を確保するための情報セキュリティの重要性を強調し、これらを脅かすリスクに焦点を当てています。これは、認可された個人のみが情報にアクセスできること、情報が破壊や改ざんから保護されていること、および必要な時に途切れることなく情報にアクセスできる状態を意味します。情報処理推進機構(IPA)が毎年発表するこのリストは、組織や個人が意識すべき現在のトレンドとなっている主要なセキュリティリスクを示しています。特に2022年版では、

          AikoMama

          情報セキュリティ10大脅威

          AikoMama

          サーバセキュリティ

          1 DNSサーバDNSサーバ:ドメイン名とIPアドレスの対応関係を管理して変換するサーバ 名前解決:ドメイン名とIPアドレスを変換する仕組み。DNSサーバはルートDNSサーバを頂点とした階層構造で、ドメイン名が重複しないように管理されている 完全修飾ドメイン(FQDN):ホスト名、ドメイン名、サブドメイン名など全てを省略せずに指定した記述形式のこと コンテンツDNSサーバ:管理しているドメイン内のドメイン名とIPアドレスの対応を管理する。コンテンツDNSサーバに問い合わせを

          AikoMama

          サーバセキュリティ

          AikoMama

          クライアントセキュリティ

          1 パーソナルファイアウォールパーソナルファイアウォール:クライアントにインストールして利用するソフトウェア型のファイアウォール。 通常はネットワーク上に物理的なファイアウォールが存在しているため、パーソナルファイアウォールは必要ないように感じるが、基本的にファイアウォールは外部からの攻撃に備えて用意されるため、内部ネットワークで発生した攻撃を防御できない。 内部で発生した攻撃は、パーソナルファイアウォールによって防御する 通信を監視して攻撃を防ぐ: パーソナルファイアウォ

          AikoMama

          クライアントセキュリティ

          AikoMama

          HTTPセキュリティ

          1 HTTPHTTP(Hypertext Transfer Protocol):WEBサーバとWEBブラウザの間で、HTMLの情報をやり取りするためのプロトコル。 2022年に最新規格HTTP/3が標準化された。 HTTP/3の最大の特徴は、トランスポート層でUDPを利用して通信の効率化を行なっていること(HTTP/3より前のHTTPはトランスポート層でTCPを利用している)。UDPを利用することで信頼性の低下が懸念されるが、QUICというプロトコルを使うことでTCPと同等以

          AikoMama

          HTTPセキュリティ

          AikoMama

          メールセキュリティ

          1 メールの構成要素メールの送受信時に動作するプログラム: ・メール送信時、ユーザはMUA(メールソフト)を使ってメールを作成する ・作成したメールはMUAからメールサーバ内のMSAに送られて認証される ・認証OKの場合、メールはMTAに中継され、別のメールサーバに送り出される。 (昔は認証なしでMUAからMTAを使ってメールを送信することもできたが、現在はMSAによって認証を行う方式が主流) ・メール受信時、メールサーバのMTAがメールを受信する ・MTAは受信したメールを

          AikoMama

          メールセキュリティ

          AikoMama

          不正アクセスと攻撃手法

          1 標的型攻撃標的型攻撃:特定の個人や組織を狙って機密情報を盗み取ることを目的にした攻撃。 標的型攻撃は情報収集から始まる: 1 攻撃対象の情報収集を行う 2 攻撃者は、収集した情報を利用して攻撃を仕掛ける 標的型攻撃メール:標的型攻撃の代表的な攻撃手法。事前に収集した情報を使ってターゲット用にカスタマイズしてメールを送ることで攻撃の成功率を高める 標的型攻撃には出口対策が大切:汎用的な対策はないので、攻撃される前提で出口対策をすることが大切である。例えば、機密情報が外部

          AikoMama

          不正アクセスと攻撃手法

          AikoMama

          注目の技術

          ①NOTICENOTICE(National Operation Towards IoT Clean Environment):総務省やインターネットプロバイダ(ISP)などが連携して、サーバー攻撃に悪用される危険性がある機器を調査して注意喚起を行う取り組み ②デジタルフォレンジックスデジタルフォレンジックス:法的なトラブルが発生した際に、証拠となり得るデータを収集、分析することで法的な信頼性を明らかにする手段、技術の総称 ③ブロックチェーンブロックチェーン(分散型台帳技

          AikoMama

          注目の技術

          AikoMama