人生100年時代。社会人を対象に、楽しく学んで資格取得を目指します。資格を活かして、生涯現役で社会貢献しましょう。
IT系情報セキュリティマネジメント試験対策(11)「暗号(1)セキュリティ技術の広がり」
平文を暗号化で暗号文にし、暗号文を復号で平文に戻す共通鍵暗号=送信側と受信側が同じ鍵(共通鍵)を使う公開鍵暗号= 送信側は公開鍵、受信側は秘密鍵を使うセキュリティ技術の広がりセキュリティ技術とはセキュリティとは、安全に仕事を進めるための継続...
IT系情報セキュリティマネジメント試験対策(10)サイバー攻撃手法(6)「その他の攻撃方法」
スパムメールスパムメールとは、無断で送りつけられてくる広告メールや意味のない大量のメール(ネズミ講、チェーンメールなど)を指す。スパムメールはプログラムによって自動生成され、大量に送信されるため、メールサーバに大きな負荷をかける。スパムメー...
IT系情報セキュリティマネジメント試験対策(9)サイバー攻撃手法(5)「ソーシャルエンジニアリング」
ソーシャルエンジニアリングソーシャルエンジニアリングとはソーシャルエンジニアリングはIT技術によらず、人的な脆弱性を利用して情報を窃取する手法である。ショルダーハッキングショルダーハッキングはその中でも典型的な事例で、ユーザIDやパスワード...
IT系情報セキュリティマネジメント試験対策(8)サイバー攻撃手法(4)「サービス妨害」
サービス妨害サービス妨害とはサービス妨害(DoS)は、サーバに負荷を集中させるなどしてサーバを使用不能に陥れる攻撃である。盗聴などと異なり、重要な情報を盗み出す、といった要素はないが、営業妨害などに利用される。DoS攻撃の扱いで苦慮するのは...
IT系情報セキュリティマネジメント試験対策(7)サイバー攻撃手法(3)「なりすまし」
なりすましなりすましとはなりすましは攻撃者が正規のユーザになりすまして、不当に情報資源を利用する権限を得ようとする行為である。実社会でも、変装や社員証の偽造といった手法がとられるが、対面で本人確認を行わない情報システムではこれがより容易にな...
IT系情報セキュリティマネジメント試験対策(6)サイバー攻撃手法(2)「盗聴」
盗聴とは盗聴はネットワーク上を流れるデータを取得する行為を指す。盗聴の特徴は特に積極的な攻撃行為を行わなくとも、収集できるデータを集めているだけで欲しい情報が得られる可能性がある点にある。盗聴の種類盗聴自体は、そのやり方さえわかってしまえば...
IT系情報セキュリティマネジメント試験対策(5)サイバー攻撃手法(1)「不正アクセス」
パスワード窃取は攻撃の基本。ブルートフォース攻撃やソーシャルエンジニアリングに注意盗聴には暗号化、なりすましにはデジタル署名で対策ゼロデイ攻撃 = 脆弱性がわかっているのに、対策手段がない時点での攻撃不正アクセス不正アクセスとはシステムを利...
IT系情報セキュリティマネジメント試験対策(4)「脆弱性の種類」
脆弱性の種類物理的脆弱性物理的脆弱性とは物理的な施策でコントロールが可能な弱点を指す。 例えば、社屋やコンピュータシステムが耐震構造になっていなかったり、マシンルームに可燃物が放置されていたり、社屋への進入路が開かれていたりといった状況が例...
IT系情報セキュリティマネジメント試験対策(3)「脅威の種類」
脅威の種類物理的脅威物理的脅威とは、火災や地震、侵入者などによって、直接的に情報資産が破壊される脅威のことを指す。物理的脅威は、脅威の種類としては一般的である。また、目に見える脅威であるため、対策しやすい点も特徴である。情報システム安全対策...
IT系情報セキュリティマネジメント試験対策(2)「情報資産・脅威・脆弱性」
情報資産・脅威・脆弱性情報資産=だいじなもの、脅威 = それを脅かすもの、脆弱性 = 脅威がつけいる隙。 三つが揃うと、リスクが顕在化するどんな情報資産があるかわかってないと始まらない。 資産管理台帳で把握する。不正のトライアングル=機会、...