AMG Solution

基本情報技術者試験 第3章「技術要素」(セキュリティ) – よく出る問題と抑えておきたいポイント

こんにちわ、佐藤です。

今回は、基本情報技術者試験、第3章「技術要素」になります。この章は試験の中でも出題数が多いテクノロジ系の中、特に出題数が多い章となっており、午前の要と言えること間違いなしです。

とりわけ重要な章ということで、「データベース」「ネットワーク」「セキュリティ」の3つに分割してお届けしたいと思います。
本ブログでは「セキュリティ」について、勉強していきます。

今回の内容

今回は、幅広い対象範囲の中、「技術要素」の中の「セキュリティ」に焦点を当てて、書いていきます。

  1. 抑えておきたいポイント
  2. 抑えておきたい単語
  3. よく出る問題

下記、試験範囲の詳細です。

試験範囲の詳細

  1. 第1章 基礎理論
  2. 第2章 コンピュータシステム
  3. 第3章 技術要素
  4.     – データベース
        – ネットワーク
        – セキュリティ

  5. 第4章 開発技術
  6. 第5章 プロジェクトマネジメント
  7. 第6章 サービスマネジメント
  8. 第7章 システム戦略
  9. 第8章 経営戦略
  10. 第9章 企業とホーム

この章は主に「データベース」「ネットワーク」「セキュリティ」の3分類に分かれており、個別の技術について取り上げています。
章全体のボリュームは多いのですが、それぞれ独立して学習できます。
ただしデータベース、ネットワーク、セキュリティは切り離して考えられない関わりを持っています。

以下、抑えておきたい項目です。

情報セキュリティの概念

どこへでも瞬時にデータを送受信できるネットワークは、情報化社会に欠かせないものです。
ただ便利な反面、どこからでも不正行為を受ける可能性があります。

情報資産は、気密性(情報が守られていること)、完全性(常に正確なデータであること)、可用性(いつでも使えること)が確保されていることで価値を生み出します。
これらを維持することが、情報セキュリティの目的です。

さまざまな攻撃手法

バックドア
悪意を持った侵入者が、不正アクセス用にシステムに設けた裏口です。システムの機能を乗っ取ることができるため、他のコンピュータを攻撃する踏み台として使われる場合があります。一度システムに侵入されてしますと、知らぬ間に自分が加害者になってしまうことがあるので注意が必要です。
キーロガー
キーボードのタイピング情報を記録するソフトウェアやハードウェアを使って、入力したIDやパスワードを盗み出すことです。
クロスサイトスクリプティング
Webサイトの掲示板などの書き込み欄のあるアプリケーションの脆弱性を突き、スクリプト(命令)を埋め込んで偽ページを表示させて他のサイトに誘導する方法です。これによってフィッシングなどにあう危険が発生します。利用者が被害にあったことに気づきにくいのが特徴です。
ゼロデイ攻撃
発見されたソフトウェアのセキュリティホールが、ソフトウェアベンダからの修正プログラム(バッチ)が提供され、修正されるまでの間を狙って行われる攻撃です。
フィッシング
Webサイトやメールを利用した詐欺行為を指します。金融機関などのWebサイトに見せかけて、クレジットカード番号などの個人情報を入力させて搾取したり、メールで架空請求を送りつけて振り込みをさせるなどです。
SQLインジェクション
Webアプリケーションの脆弱性を利用した攻撃。データベースに悪意ある問合せや操作を行うSQL文を入力し、データを改ざんしたり、不正に取得したりします。
DoS(Denial of Services)攻撃
大量のデータを送りつける攻撃。攻撃対象のシステムのサービスを提供不能にしたり、システムをダウンさせることを目的としています。
DDoS(Disdlibuted DoS:分散サービス妨害)攻撃
ウィルスなどによって第三者のマシンに攻撃プログラムを仕掛けて踏み台にし、踏み台とした多数のマシンから標的に大量のパケットを同時に送信する攻撃です。

 
 
 

共通鍵暗号方式と公開鍵暗号方式

共通鍵(秘密鍵)暗号方式

通信する当事者間で共通鍵を使用して暗号化(平文から暗号を作る)と複合(暗号を平文に戻す)を行います。
この方式では、通信する相手ごとに、秘密の鍵をあらかじめ何らかの方法で共有しておく必要があり、オンラインショップなどの不特定多数との通信には、相手の数だけ共通鍵が必要になるため向きません。

公開鍵暗号方式

受信側が秘密鍵と公開鍵という2つの異なる鍵をもつ方式です。
2つのカギは一対のもので、ある公開鍵で暗号化したデータは対応する(受信者だけが知っている)秘密鍵でしか復号できないことを利用します。公開鍵は共通鍵であり、自由に配布できるので、不特定多数とのやりとりに向いています。

本人確認のためのディジタル書名

暗号化によって暗号化されたメッセージの受信者は、送信者が本物であるかどうか、途中で改ざんされていないかまでは確認できません。ディジタル書名(電子署名)は、公開鍵暗号方式の鍵を逆に使うことで、送信者の正当性と、改ざんの有無を確認する方法です。
なお、公開鍵自体が実在する本人のものであるかという正当性は、認証局(CA : Certificate Authority)により発行されるディジタル証明書によって証明されます。

具体的には、次のような手順になります。

手順1 まず送信者は、送信する文書からハッシュ関数を使ってメッセージダイジェストを作成する。ハッシュ関数とは、任意の長さのデータから、固定長のデータを作り出す関数で、関数から元のデータへ復元することはできない。また、元のデータの内容が異なっていれば、できるメッセージダイジェストも異なる。
手順2 メッセージダイジェストを送信者の秘密鍵で暗号化したもの(電子書名)を平文とともに送信する。
手順3 受信者は、送信されてきた電子署名を送信者の公開鍵で復号し、メッセージダイジェストに。これは、送信者の公開鍵でなければ復号できないことから、送信者本人が送っていることが証明される。
手順4 受け取った平文は、送信者と同じハッシュ関数を使ってメッセージダイジェストを作成し、手順3のメッセージダイジェストと比較。両者が一致すれば平文が改ざんされていないことが証明できる。

以上、抑えておきたい項目でした。

さらに、今回から暗記内容が多いことから、押さえておきたい単語を新設しました。
単語も抑えて試験に臨むと楽ができますよ!

それでは、何個か用意したので確認して下さい。

ペリル
ペリル(peril)とは、損失原因や事故を意味する言葉で、リスクにつながる直接的な原因のこと。地震や洪水などの自然的要因、機械故障などの物理的要因、ミスや不正行為などの人的要因などがある。

パターンマッチング
既知のウィルスの特徴(シグネチャという)をデータベース化しておき、それと比較を行うことでウィルスの検出を行う方法。
従来からのウィルス対策ソフトの処理方法。

SSL(Secure Socket Layer)
通信データの盗聴、不正アクセスを防ぐ目的で使われるセキュアプロトコルで、WebブラウザとWebサーバ間で認証と暗号化通信を行うためにNetscape Communications社が開発したトランスポート層の技術です。

以上、抑えておきたい単語でした。

それでは今回も過去の試験問題より抜粋した問題に挑戦してみてください!

手順に示すセキュリティ攻撃はどれか。

手順1 攻撃者が金融機関の偽のWebサイトを用意する。
手順2 金融機関の社員を装って、偽のWebサイトへ誘導するURLを含めた電子メールを送信する。
手順3 電子メールの受信者が、その電子メールを信用して本文中のURLをクリックすると、偽のWebサイトに誘導される。
手順4 偽のWebサイトと気付かずに認証情報を入力すると、その情報が攻撃者に渡る。

ア: DDoS攻撃
イ: フィッシング
ウ: ボット
エ: メールヘッダインジェクション

解答:イ

2.完全性を脅かす攻撃

情報セキュリティにおける完全性を脅かす攻撃はどれか。

ア: Webページの改ざん
イ: システム内に保管されているデータの不正コピー
ウ: システムを過負荷状態にするDoS攻撃
エ: 通信内容の盗聴

ヒント
情報セキュリティにおける完全性とは、常に正確なデータであること。

解答:ア

3.パターンマッチング方式

ウィルス対策ソフトのパターンマッチング方式を説明したものはどれか。

ア: 感染前のファイルと感染後のファイルを比較し、ファイルに変更が加わったかどうかを調べてウィルスを検出する。
イ: 既知のウィルスのシグネチャと比較して、ウィルスを検知する。
ウ: システム内でのウィルスに起因する異常現象を監視することによって、ウィルスを検出する。
エ: ファイルのチェックサムと参照して、ウィルスを検出する。

解答:イ

4.暗号化方式の特徴

電子メールの暗号化において、共通鍵暗号方式と比べた場合の公開鍵暗号方式の特徴はどれ。

ア: 暗号化鍵を秘密にしておく必要がなくなる。
イ: 暗号化を高速に処理できる。
ウ: 鍵の長さが短く、能力の小さなコンピュータでも処理できる。
エ: 復号鍵を秘密にしておく必要がなくなる。

ヒント
共通暗号化方式は、通信する両者間で共通の鍵を持ち、暗号化と複合を同一の鍵で行う。公開鍵暗号方式は、自分だけが持つ秘密鍵と対になる公開鍵を相手に配布します。

解答:ア

5.ディジタル署名

ディジタル証明書をもつA氏が、B商店に対して電子メールを使って商品の注文を行うときに、A氏は自分の秘密鍵を用いてディジタル署名を行い、B商店はA氏の公開鍵を用いて署名を確認する。この手法によって実現できることはどれか。
ここで、A氏の秘密鍵はA氏だけが使用できるものとする。

ア: A氏からB商店に送られた注文の内容は、第三者に漏れないようにできる。
イ: A氏から発信された注文は、B商店に届くようにできる。
ウ: B商店に届いた注文は、A氏からの注文であることを確認できる。
エ: B商店は、A氏に商品を売ることが許可されていることを確認できる。

ヒント
ディジタル署名によって確認できることは下記二点。
①なりすまし確認
②改ざん確認

解答:ウ

まとめ

お疲れさまでした。以上となります。

やっと長かった技術要素が終わりました。しかし、勉強は終わりません。基本情報の試験の大半はこの章から出題されます。復習大事です。
僕は試験当日も、ここを読んでました。過去問で要点を抑えて、参考書で補完するやり方がおススメです。

それでは、また次回。

《関連記事》
基本情報技術者試験 第1章「基礎理論」 – よく出る問題と抑えておきたいポイント
基本情報技術者試験 第2章「コンピュータシステム」 – よく出る問題と抑えておきたいポイント
基本情報技術者試験 第3章「技術要素」(データベース) – よく出る問題と抑えておきたいポイント
基本情報技術者試験 第3章「技術要素」(ネットワーク) – よく出る問題と抑えておきたいポイント

SATOU'S BLOG

佐藤環の記事

佐藤環の記事の最新情報をお届けいたします。

SAME CATEGORY BLOG

この記事と同様のカテゴリー記事

新卒採用
はじめました。
LOADING