H30 春
・CVSS評価基準
-> 基本評価基準、現状評価基準、環境評価基準
・OSコマンドインジェクション
-> /etc/passwd
・XMLディジタル署名
-> 任意のエレメントに対してデタッチ署名をつけることができる。
・エクスプロイトコード
-> 脆弱性を悪用するソフトウェアのコード。攻撃コードとも呼ぶ。
・シングルサインオン(SSO)
-> リバースプロキシの場合、パスワードの代わりにディジタル証明書を利用できる。
・ダイナミックパケットフィルタリング
-> 過去に通過したリクエストに対応づけられる戻りパケットを通過させられる。
・ディジタル署名
-> 発信者の秘密鍵を利用する。
・CRL
-> 失効したもののシリアル番号を1年間登録する。
・認証デバイス
-> 虹彩は経年変化が無い。
・サイバー情報共有イニシアティブ(J-CSIP)
-> 参加組織間で情報共有し、サイバー攻撃対策につなげる取組
・cookieのsecure属性
-> httpsの時だけcookieが送出される。
・スパムメール対策のDKIM(DomainKeys Identified Mail)
-> 送信側メールサーバにおいてディジタル署名をメールヘッダに付与、受信側で公開鍵によって検証する仕組み
・テンペスト攻撃
-> 機器から放射される電磁波を観測して解析する。
・内部ネットワークからの感染拡大防止
-> URLフィルタで、危険なwebサイトとの接続を遮断
・ルートキット
-> OSなどに不正に組み込んだツールを隠蔽する。
・DNSSECで実現できること
-> 内容が改ざんされていないことの検証
・SQLインジェクションの対策
-> プレースホルダの利用、権限を最小限にする。
・IPv4のヘッダ情報
-> IPヘッダのプロトコル番号
・IEEE 802.1QのVLAN機能
-> 複数のVLANに所属しているポート:トランクポート
・WebDAVの特徴
-> HTTPを拡張したプロトコルを使って、サーバ上のファイルの参照、作成、削除およびバージョン管理ができる。
・DBMSのコミット処理のタイミング
-> ログファイルへの書き込み完了時点
・オブジェクト間の相互作用を時間の経過に注目して記述したもの
-> シーケンス図
・テスト駆動開発
-> プログラムを書く前にテストケースを作成する。
・データベースの直接修正に関する監査
->
H29 秋
・CRL
-> 有効期限内に失効したディジタル証明書のシリアルNo.
・OCSP
-> 鍵情報の交換が失敗した際に、認証状態を確認するためのもの
・SAML
-> webサイト間の情報交換に関するフレームワーク
・ハッシュ関数-衝突発見困難性
-> ハッシュ値が一致する同一メッセージの探索が困難であること
・エクスプロイトコード
-> 脆弱性を利用するためのプログラム
・DNS カミンスキー攻撃
-> 対策:送信元ポート番号をランダム化
・Dos Smurf攻撃
-> ICMPの応答パケットを大量送信
・消費電力から秘密情報を推定
-> サイドチャネル攻撃
・ファイアウォール ステートフルインスペクション
-> 過去パケットから通信セッションを認識して判断
・ディジタル証明書
-> TLSプロトコル、通信相手の認証
・ISMS-是正処置
・ISMS-セキュリティリスク
・CVSS -> 基本評価基準、現状評価基準、環境評価基準
・セッションハイジャック
・OP25B-スパムメール対策
・ディジタルフォレンジックス
->
・無線LANの情報セキュリティ
->
・ルータ間セグメントのコリジョン伝搬とブロードキャスト中継
-> しないしない
・ピーク計算
・サブネットマスク、ホストアドレス
・ニューラルネットワーク
->
・品質特性:満足性、品質副特性:実用性
->
・著作権の帰属先
-> 請負人
・フェールソフト
->
・システム監査のメンバについて
H29 春
・AES暗号
-> 鍵長によって段数が決まる
・SSL/TLSのダウングレード攻撃
-> 弱い暗号スイートの使用を強制させる
・サイドチャネル攻撃
-> 物理デバイスからの物理量から機密情報を得る手法
・セキュリティチップの機能
-> 鍵ペアの生成
・セッションIDの固定化
->
・DNS水責め(ランダムサブドメイン攻撃)
-> オープンリゾルバとなっているDNSキャッシュサーバに対して、サブドメイン名をランダムかつ大量に問い合わせ、過負荷にさせる。
・FIPS PUB 140-2
-> 暗号モジュールのセキュリティ要求事項
・IaaS/PaaS/SaaS
・リスク回避
・CVE識別子 JVN(脆弱性対策ポータルサイト)
-> 製品に含まれる脆弱性を識別する識別子
・MITB(Man-in-the-Browser)攻撃
-> トランザクション署名
・OSコマンドインジェクション
・フォールスネガティブ
-> ネガティブに考えすぎる、ではない
・OAuth2.0
->
・OP25Bの目的
-> ISP管理外に向けて、ISP管理下から送信されるスパムメールの制限
・サンドボックス
-> プログラムの影響がシステム全体に及ばないように、リソースを制限して実行させる環境
・RADIUS、IEEE 802.1X
-> アクセスポイントにはIEEE 802.1Xのサプリカント、かつRADIUSクライアントの機能を持たせる。
・ICMP Flood
-> pingを大量に
・Automatic MDI/MDI-X
-> コネクタの送信端子/受信端子が正しい組み合わせになるように、自動で判別して切り替える機能
・IEEE 802.11/a/b/g/n
-> CSMA/CA
・SQL WITH GRANT OPTION
・品質特性
・DTCP-IP(コンテンツの不正な複製を防止する方式)
-> DLNAとともに用いられ、接続する機器間で相互認証し、コンテンツ保護が行えると認識して初めて録画再生を可能にする方式
・フルバックアップ
・外部監査の保証業務の三当事者
H28 秋
・AAAフレームワーク(RADIUS/DIAMETER)
-> 認証:Authentication、認可:Authorization、??:Accounting
・NTPリフレクション
-> 送信元を偽って、NTPサーバにレスポンスが大きくなる要求を送信する。
・POODLE攻撃
-> SSL3.0を使用した通信において、ブロック暗号のCBCモード利用時の脆弱性を突く攻撃。パディングを悪用して暗号化通信の内容を解読できる。
・XMLディジタル署名
->
・ダイナミックパケットフィルタリング
-> 戻りのパケットについては、過去に通過したリクエストパケットに対応づけられるものだけを通過させる。
・リスクベース認証
-> いつもと異なるネットワークからのアクセスに対して、追加認証を行う
・CRL
-> 有効期限内のディジタル証明書をCRLに登録することがある
・CRYPTREC
-> 暗号技術の安全性、実装性、利用実績の評価、検証を行う
・Cookieのsecure属性
-> httpsの時だけCookie発出
・サイドチャネル攻撃のタイミング攻撃の対策
-> 演算の処理時間に差異が出ないようにする。
・ダークネット
-> インターネット上で到達可能かつ未使用のIPアドレス空間
・rootkit
-> OSなどに不正に組み込んだツールを隠蔽する
・DNSSECで実現できること
-> DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証
・EAP-TLS
-> ディジタル証明書による認証サーバとクライアントの相互認証
・IPsec
-> トンネルモードで、エンドtoエンドのIPヘッダを含めて暗号化可能
・SMTP-AUTH
-> メールクライアントからメールサーバへの電子メール送信時に、ユーザアカウントとパスワードによる利用者認証を行う。
・SQLインジェクション
-> プレースホルダ、権限設定
・DNS
-> クライアントソフトウェアをリゾルバという
・3ウェイハンドシェイク
・TCP
-> 確認応答がない場合、再送処理でデータ回復を行う
・DBMSがトランザクションコミット処理を完了するタイミング
-> ログファイルへの書き込み完了
・テスト要求とテストの組み合わせ
・開発モデル
・インシデントとは
->
・データベースアクセスの監査
H28 春
・CRL(Certificate Revocation List)
-> 有効期限内に失効したディジタル証明書のシリアル番号を掲載する
・DNS
-> 権威DNSサーバを攻撃対象とする
・PKI、OCSP
-> ディジタル証明書の失効状態を確認する
・SAML
-> OASISが策定した、Webサイト間の認証、属性、認可情報を安全に交換するフレームワーク
・ハッシュ関数の衝突発見困難性
-> ハッシュ値が一致する2つのメッセージを探索するのが困難である
・エクスプロイトコード
-> 脆弱性を利用するために作成されたプログラム
・Smurf攻撃
-> ICMPの応答パケットを大量に送りつける
・ディジタル証明書
-> TLSプロトコルにおいて、通信の暗号化のための鍵交換、相手の認証に利用
・擬似乱数
・J-CSIP(サイバー情報共有イニシアティブ)
-> サイバー攻撃の情報を集約、対策につなげる
・JIS Q 27000のセキュリティリスク
・DNSキャッシュポイズニングの対策
-> DNSヘッダ内のIDをランダム化
・OP25B
-> 動的IPアドレスネットワークから、ISP管理外のネットワークへの直接の通信を遮断
・ディジタルフォレンジックス
-> 犯罪の証拠を保全し、訴訟に備えること
・ファイアーウォールのルールについて
・クライアント証明書を用いるプロトコル
-> EAP-TLS
・PGP、S/MIME、SMTP over TLS
-> メールアドレスごと、メールアドレスごと、メールサーバごと
・DHCPのメッセージ
-> DHCPDISCOVER、DHCPOFFER、DHCPREQUEST、DHCPACK
・TCPのサブミッションポート(587)について
-> 電子メールで、迷惑メール対策でSMTP(25)の代わりに使用する
・SQLインジェクション
・フェールセーフ
・ペアプログラミング
・ITサービスマネジメントの情報セキュリティ管理プロセスに対して、JIS Q 20000-1が要求する事項
・監査系
H27 秋
・AES暗号
->
・CRLについて
・ステートフルインスペクション
・TPMの機能
・ポリモーフィックウィルス
・ISO/IEC 15408
・リスク対応、リスク回避
・水飲み場型攻撃
・不正のトライアングル
・ICMP Flood
・VLAN機能、セグメント分割
-> ブロードキャストパケットの到達範囲を制限
・クロスサイトスクリプティングの対策
-> HTMLのエスケープ処理
・CookieのSecure属性
-> HTTPS通信時のみCookie送信
・テンペスト攻撃
-> 機器から放射される電磁波を観測して解析
・ポートスキャン
・マルウェアの二次災害の対策
-> URLフィルタで接続遮断
・OAuth2.0の動作
・DNSのMXレコードで指定するもの
-> 宛先ドメインへの電子メールを受け付けるメールサーバ
・スパニングツリープロトコル
-> 複数ブリッジで情報交換
・TFTP
-> ユーザ認証を省略、UDPを用いる、簡素化されたファイル転送プロトコル
・データウェアハウス
・リポジトリ
・特許権
・入出力データの管理方針
・監査証拠について