情報処理安全確保支援士　テキストまとめ　～第一章　情報セキュリティおよびITの基礎～

1.情報セキュリティ、ITの基礎

情報セキュリティとは
-> ISO/IEC27000ファミリー、JIS Q 27000ファミリーによると。。。
「情報の機密性、完全性、及び可用性を維持すること」

情報セキュリティの三特性(CIA)
・機密性(Confidentiality)
・完全性(Integrity)
・可用性(Availability)

情報セキュリティの付加的特性
・真正性(authenticity)
・責任追跡性(accountability)
・否認防止(non-repudiation)
・信頼性(reliability)

情報セキュリティ対策の機能
・抑止、抑制
・予防、防止
・検知、追跡
・回復

情報セキュリティ対策の基本的な考え方
・対策する前にリスクアセスメント(分析、評価)
・守るべきもの(情報資産、システム等)を認識する
・脅威を知る
・脆弱性を知り、対処する
・情報セキュリティの方針、基準を明確にし、手順書等を整備する
・セキュリティと利便性のバランスを取る
・インシデントの未然防止に努めつつ、発生時に備えた対処を確実に行う
・実施した対策の有効性について、第三者レビューを実施する・
・最小権限の原則を徹底する
・責務の分離の原則を徹底する
・重要な情報を取り扱うシステムとインターネット接続環境を分離する
・フェールセーフを考慮してシステムを設計、構築する
-> 障害が発生した場合に安全な方向へ向かうようにすることで、被害を最小限にする方法
※フェールソフト、フォールトトレランス、フールプルーフも同時に確認
・システムの構成や機能を単純にする
・システムや設備の重要な機能を分散化する
・二重、三重の対策を施す(多重防御)
・利用者等を一意に識別し、事象の追跡、検証を可能とする

ISMSの基礎
・PDCAサイクルが重要

TCP/IPプロトコルの概要
・TCP/IPとは
-> Transmission Controll Protocol / Internet Protocol
OSI参照モデルとの関連

IPの概要
・OSI参照モデルのネットワーク層に位置付けられる
・IPv4(32bit)、IPv6(128bit)がある
・IPアドレスでやりとり

TCPとUDP(User Datagram Protocol)
・OSI参照モデルのトランスポート層に位置付けられる
・TCP：信頼性のための確認応答、順序制御などの機能を持つ
・UDP：コネクションレスのデータグラム通信
・ポート番号で識別
・TCPでは「3ウェイハンドシェイク」という方式が用いられている
-> SYN – SYN/ACK – ACK
※コードビットの各フラグ：URG, ACK, PSH, RST, SYN, FIN

ICMP(Internet Controll Message Protocol)
・OSI参照モデルのネットワーク層
・コネクションレス型
・pingコマンドが代表例、タイプコード8のエコー要求

電子メールの仕組み
・各機能概要
・MUA(Mail User Agent)：メールの送信、受信
・MSA(Mail Sebmission Agent)：メールの投稿受付、ユーザ認証
・MTA(Mail Transfer Agent)：メールの中継
・MDA(Mail Delivery Agent)：メールBoxへの格納
・MRA(Mail Retrieval Agent)：ユーザ認証、メールの取り出し
・送信者の認証はSMTP(Simple Mail Transfer Protocol)-AUTH
・メールBoxからの取り出しはPOP3(Post Office Protocol version3)やIMAP4(Internet Message Access Protocol version4)が用いられる
・メールヘッダの情報 → 詐称可能、不可能箇所を理解することが必要

DNSの主な機能
・Domain Name System：ドメイン名からIPアドレス、またはその逆の名前解決を行う
・リゾルバ：名前解決を行う仕組み。スタブリゾルバとフルサービスリゾルバがある。
・コンテンツサーバ(ゾーンサーバ)
・キャッシュサーバ(フルサービスリゾルバ)
・問い合わせもとや対象ドメインの制限がないものをオープンリゾルバという。DNSキャッシュポイズニングやDNSリフレクションに対して脆弱

HTTP（HyperText Transfer Protocol）メッセージの概要
・リクエスト／レスポンス
・リクエスト行／ステータス行、メッセージヘッダ、空行、メッセージボディ
＃メッセージヘッダとメッセージボディの境界は、改行コード(CR+LF)で識別
・リクエスト行：メソッド（GET/POST/HEAD等）、URI、HTTPバージョンを指定する。
・ステータス行：レスポンスの場合に、リクエストに対する処理結果を示すステータスが入る。200が正常終了、404がNot Foundなど。
・メッセージヘッダ：リクエスト／レスポンスそれぞれで様々な異なる情報が入る。Referer、Cookieなど。（リクエスト時）
・メッセージボディ：リクエスト時は、POSTメソッドの場合のみ情報が入る。GET/HEADメソッドの場合は無。レスポンス時はサーバが返す情報が入る。
・GET/POSTの違い
– GET：テキストのみ送信可能、255文字まで。URLから盗聴、改ざんの恐れがあるが、アクセスログに記録される。
– POST：バイナリも送信可能、サイズ制限なし。秘匿性が高いが、アクセスログに記録されないので、アプリケーション実装が必要。

スイッチとVLAN
・スイッチ：MACアドレスに基づいて、適切な接続ポートにのみパケットを送信する装置。
・ブリッジとスイッチ
– スイッチ：ASICというハードウェアチップなので早い、ポート数が多い（数十～数百）、フレーム転送方式が多様（カットアンドスルー、フラグメントフリー）
– ブリッジ：ソフトウェアなので遅い、ポート数が少ない（数ポート）、フレーム転送方式は「ストアアンドフォワード方式」のみ
※フレーム転送方式の違い
①信頼性
ストアアンドフォワード　＞　フラグメントフリー　＞　カットアンドスルー
②転送速度
ストアアンドフォワード　＜　フラグメントフリー　＜　カットアンドスルー
・VLANの構成方法
– ポートベースVLAN（スタティックVLAN）
– アドレスベースVLAN
– ポリシベースVLAN
– タグVLAN
・レイヤ3スイッチ（L3スイッチ）：スイッチにルーティング機能を追加したもの。速い。

Follow me!