レースクイーン情報
レースクイーンを各種ブログ(Blog)から一括検索します。
トップ > toolkit > toolkit - 人気ブログ(Blog)検索結果詳細 (2008年12月3日 8時)
今日は情報セキュリティ検定(1・2・3級)
今日は情報セキュリティ検定(1・2・3級)
今回はパスしたわけですが、来年は1級を目指して
少しは勉強しないといけないわけで・・・
あまり、知られていない試験だけど
まぁ検定に合格したら、それなりにリテラシーは
あると判断されるでしょ。
情報セキュリティ
情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
ゼロからはじめるTCP/IP
作者:secure_blog
更新日:2008年11月16日 14時14分
DES
■DES 英:Data Encryption Standard
ブロック暗号(共通鍵暗号方式)のひとつである
DES (デス)
について、もう少し詳細に。
米国商務省 NIST が採用した暗号方式。1977年。
1つのブロックを32ビットずつの左右のデータの固まりである
サブブロックに分け、それらをかき混ぜる処理が基本である。
片方のブロックをF関数で変換し、もう片方のサブブロックと
XOR演算で合成する。
* F 関数は置換と転置の組み合わせである。
◇ DES の特徴
1. 鍵の長さが 56 ビット であること (*1)
2. 暗号化するブロック長は 64 ビットであること
3. 処理ラウンドは 16 回 (*2)
※1 鍵の長さは、56ビットであるが、7 ビット毎に
1 ビットの「パリティビット」が付加されるので
実際の長さは 64ビットとなる。
※2 1回の処理ラウンドを攪拌という
1970年当時は、鍵の長さが 56 ビットで、2 の 56 乗(7京)通りの
鍵が作成されることから暗号強度は高いと考えられたが、現在の
コンピュータの処理能力からみると暗号強度は低い。
DES にて使われている暗号化処理方法をフェイステル構造」と
いう。「らせん構造」のことを フェイステル という。
◇ 3DES
もともと、DES が総当り攻撃に弱いため、さらに強度を高めた
3DES (鍵は168ビット)が作られた。
* 56 bit × 3 = 168 bit
情報セキュリティ
情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
ゼロからはじめるTCP/IP
★フェイステル構造
★サブブロック
★置換と転置の組合わせ
☆処理ラウンドは 16 回
☆F関数
【関連用語】
ブロック暗号 共通鍵暗号方式 総当り攻撃
フェイステル構造 3DES
作者:secure_blog
更新日:2008年11月15日 9時27分
AES
■AES 英:Advanced Encryption Standard
ブロック暗号(共通鍵暗号方式)のひとつである AES について。
AES (エーイーエス)
米国商務省 NIST が採用した暗号方式。2002.11から標準暗号として採用。
ブロック単位の暗号化を行う。SPN構造である。
◇AES である条件
1. 鍵の長さが、128 / 192 / 256 ビットから選択すること
2. 暗号化するブロック長は 128 ビットであること
3. 差分攻撃や線形攻撃に対して堅牢であること
もともと、DES が総当り攻撃に弱いため、DES に代わる新たな
共通かぎ暗号である AES ができた。
公募で 15 の方式から選定され、最終的にラインデール方式が採用
された。
◇新技術
日本で開発されたCamelliaというブロック暗号方式は AES に
相当すると評価されている。
AES との違いは、フェイステル構造であるという点である。
◇プチ情報
PSP 用のディスクメディア UMD でコンテンツ保護に用いられて
いるらしい。
情報セキュリティ
情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
ゼロからはじめるTCP/IP
★SPN 構造
☆差分攻撃
☆DES;総当り攻撃に弱い
☆鍵の長さは選択
☆2002.11 NIST
【関連用語】
ブロック暗号 共通鍵暗号方式 差分攻撃 線形攻撃
総当り攻撃 カメリア (Camellia)
作者:secure_blog
更新日:2008年11月14日 20時50分
トークン方式
■トークン方式
情報セキュリティ
情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
ゼロからはじめるTCP/IP
作者:secure_blog
更新日:2008年11月14日 20時45分
ワンタイムパスワードとトークン方式
■トークン方式
情報セキュリティ
情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
ゼロからはじめるTCP/IP
一度きりのパスワードのことをワンタイムパスワード(OTP)
という。
OTPによるユーザ認証の方式にはチャレンジレスポンス方式と
トークン方式がある。後者は「時刻同期方式」とも言う。
トークンは「携帯認証装置」のことであり、クライアント側で
トークンという専用のパスワード生成システムを用いる。
トークンはハードウェアもしくはソフトウェアにて実現される。
利用者はトークンカードに所有者の番号であるPINを入力し、
PINと入力した時点の時刻から新しいパスワードを生成する。
一度作成されたパスワードは2度と作成されることはないため、
リプレイ攻撃によるなりすましに一定の効果がある。
★トークン方式
☆パスワード生成システム
☆時刻同期方式
作者:secure_blog
更新日:2008年11月12日 12時25分
情報セキュリティアドミニストレータ試験
の午前の答え合わせをした
48/55
足切りラインが39問くらいなので、
マークミスをしない限り大丈夫だろう。
問題は午後Ⅰ
問2,3,4を選択。
やはり時間の壁というか、なんというか。。。
じっくり考えさせてちょうだい!って感じ。
わからん設問は、ささっと記入して(勘!?)
それ以外にかけることにした。
午後Ⅱは問1のほうを選択。
内容的には分かりやすい問題だったので
ひととおり埋めることはできた。
さてさてどうなることやら
12月を待ちましょう~♪
作者:secure_blog
更新日:2008年10月21日 7時4分
情報セキュリティアドミニストレータ受験
の日でした。
もちろん、受験だけはOK。
朝から夕方までみっちり1日。
少しは慣れたのかもしれないが・・・
疲れました。
あんなに普段、ガリガリ脳にアクセスしないので
どっと疲れが・・・
午前は新しい問題もちらほら
JCF-98→2007になってたんですね
(春も出たかもしれない)
みなさんの手ごたえは?
作者:secure_blog
更新日:2008年10月19日 19時34分
情報セキュリティアドミニストレータ
試験制度改定で
最後の
情報セキュリティアドミニストレータ
不正アクセス禁止法・・・でるか?
(ブラッディ・マンデイより)
作者:secure_blog
更新日:2008年10月19日 8時0分
DMZを通過するお約束プロトコル群
■事例応用 運用:DMZを通過するお約束プロトコル
DMZを通過するお約束プロトコルは以下のとおり。
・Web (① )+(② )
・DNS (③ )
・メール (④ )+(⑤ )
・そのほか (⑥ )、ミドルウェアや業務と連携したデータベース連携用プロトコル
※だいたい②、⑤、⑥と独自プロトコルあたりが問題(設問ターゲット)となるみたい。
「情報漏えい」といえば⑥が挙げられる。
◇DNS
Domain(53) では、ゾーン転送要求 (TCP) の場合と、名前解決 (UDP) の場合の両方がある。
★
☆
【関連用語】
セキュリティ
答え
① HTTP
② HTTPS
③ Domain
④ SMTP
⑤ POP
⑥ FTP
▶ 情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
作者:secure_blog
更新日:2008年9月26日 20時11分
オートコンプリートの危険性って?
IDとパスワードなどユーザが入力した情報を記憶し、
再度入力しようとしたときに自動表示する機能を
オートコンプリート
という。
何度も同じ入力をしなくてよいため、ユーザにとって便利な機能である。
一方で、据え置き型・ノート型にかかわらず、第三者がそのパソコンを
操作したときにIDとパスワードを知らなくても、あるサイトに
ログオンできることになるためセキュリティ上の危険性もある。
ノート型パソコンの場合、盗難・紛失・置忘れの可能性が高くなる。
なんらかの方法でパソコンにログインし、ブラウザの訪問履歴からある
サイトに接続したときオートコンプリート機能により容易にログイン
できてしまうこともありうる。
据え置き型パソコンであっても、ネットワーク経由でハッキングされ
れば同じこととなる。
情報セキュリティ
情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
ゼロからはじめるTCP/IP
作者:secure_blog
更新日:2008年9月6日 8時9分
電子商取引全般での重要ポイント
■事例応用 運用:電子商取引全般での重要ポイントを2つ
電子商取引全般での重要となるポイントは以下の2つである。
※公開かぎ証明書に限らず、一般的な観点から考えると。。。
・(① )
・(② )
◇認証と信用
認証局もしくは任意の発行団体により発行されたディジタル証明書では、
相手先の正当性は証明できるが、(③ )まで保証するもの
ではない、ということに留意すべきである。
つまり、従来からの商取引であれ、電子商取引であれ、取引先の信用
状態は別途確認する必要がある、ということである。
※電子商取引では、自社および相手先で、それぞれの観点から1点ずつ
考慮する必要がある。
【関連用語】
セキュリティ
答え
① 相手先の確認
② 自社の情報の保護 (情報≒情報資産)
③ 事業内容
パソコン
かんたんXP高速化
絶対わかる!ネットワーク
政治(麻生太郎先生)
「国力」会議
作者:secure_blog
更新日:2008年8月29日 16時13分
コンピュータフォレンジクスとは
不正アクセスなど、コンピュータに関する犯罪の「法的な証拠性」を
明らかにするために、原因究明に必要な情報を収集して分析することを
コンピュータフォレンジクス
という。
フォレンジック(形容詞)とは(① )とか(② )という意味。
必要な情報の分析では、誰がどのような手段で どのような経路で
どのような被害を及ぼしたかを分析し、その後の訴訟などに備える。
◇裁判での証明としてのフォレンジック
・直接被害の場合(情報漏えい、刑事訴訟、損害賠償など)
・(③ )とされていた場合の正当性証明
◇一般的なツール
TCT (The Coroner's Toolkit)
---------------------------------
コンピュータフォレンジクスを説明したものはどれか。
○ 証拠となるデータを保全し、その後の訴訟などに備える。
◇H18 情報セキュリティ 午前 問44◇
◇H18 システム管理 午前 問52◇
---------------------------------
☆法的な証拠性、踏み台
パソコン
かんたんXP高速化
【関連用語】
セキュリティ
答え
① 法廷の
② 科学捜査の
③ 踏み台
情報セキュリティ
情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
作者:secure_blog
更新日:2008年8月27日 21時4分
ICカードの運用(実例)
■事例応用 運用:ICカードの運用
ICカードの運用について。
一人=1枚
業務の形態によっては
一人=2枚
運用規定を決めるにあたり、業務で不可欠な案件については「特例」を
設けることを忘れてはいけない。柔軟な運用が重要となる。
一方で、規則に違反したときの「罰則規定」も事前に決めておくこと(抑止)。
情報セキュリティ
情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
パソコン
かんたんXP高速化
絶対わかる!ネットワーク
政治(麻生太郎先生)
「国力」会議
作者:secure_blog
更新日:2008年8月27日 16時55分
NW 用語:LANの利用率
■NW 用語:LANの利用率
CSMA / CD 方式における伝送路の利用状況を
LANの利用率
という。
利用率=実行速度÷理論上の速度 で計算され、利用率が(① )% 程度で飽和状態とされる。
☆
☆
【関連用語】
情報セキュリティ
答え
① 30%
情報セキュリティ
情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
作者:secure_blog
更新日:2008年8月15日 21時35分
チャレンジレスポンス方式(チャレンジコード)
チャレンジコードの発生タイミング
CHAP など、チャレンジレスポンス方式による認証で使用される
チャレンジコードの発生タイミングは
1.クライアントからの認証要求があった時
2.一定の周期毎にチャレンジコードを送信して認証
である。
「認証要求があった時」については一般的であるが、2については
忘れがちであるので注意が必要である。
2は偽サーバによるセッションハイジャックに対して有効である。
※同じチャレンジレスポンス方式であっても、S / Key 方式では
クライアントから認証要求のあった時に限定される。
情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
情報セキュリティ白書 (2008)
図解 ISO27001早わかり (2時間でわかる)
パソコン
かんたんXP高速化
絶対わかる!ネットワーク
政治(麻生太郎先生)
「国力」会議
作者:secure_blog
更新日:2008年8月4日 8時7分