晴耕雨読

working in the fields on fine days and reading books on rainy days

CompTIA Security+ セキュリティ用語集

CompTIA Security+の出題範囲に現れる用語の一覧とその用語の説明です。 試験の出題範囲の詳細は「SY0-501 出題範囲 (pdf)」をご確認ください。

https://www.comptia.jp/pdf/Security%2B%20SY0-501%20Exam%20Objectives_JA.pdf

あくまで備忘録程度のまとめですので、内容の正確性は保証しませんのでご注意ください。

1.0. 脅威、攻撃、脆弱性

1.1. 与えられたシナリオに基づいて、不正の痕跡を分析してマルウェアの種類を特定することができる。
  • ウイルス : 自己複製して他のプログラムやデータファイルのコードに侵入するマルウェア(依存して存在できる)
  • クリプトマルウェア : PC内のデータを暗号化して使えなくするマルウェア
  • ランサムウェア : PC内のデータを暗号化した上で復号と引き換えに金銭を要求するマルウェア
  • ワーム : ネットワークを介して自己複製しながら拡散するマルウェア(独立して存在できる)
  • トロイの木馬 : 利用者に有用なソフトウェアのように偽装するマルウェア
  • ルートキット : 不正侵入したPC上で攻撃活動を行うためのツール
  • キーロガー : キーボードの操作履歴を記録してIDとパスワードなどを搾取するマルウェア
  • アドウェア : 広告を見せることだけを目的としたマルウェア
  • スパイウェア : 感染したPCの情報を搾取するマルウェア
  • ボット : 攻撃者からの指示を受けて別のPCに攻撃をするマルウェア
  • リモートアクセスツール (RAT) : 標的PCを遠隔操作するためのマルウェア
  • ロジックボム : システム上の条件が満たされると自動的に動作開始するプログラム
  • バックドア : 侵入したPCと攻撃者が通信を行うためのマルウェア (RATと同じ)
1.2. さまざまな攻撃のタイプを比較対照することができる。
  • ソーシャルエンジニアリング : 人間の心理や社会の盲点を突いて機密情報を入手する手口
    • フィッシング : メールによって攻撃用のWebサイトに誘導する攻撃 (魚釣り)
    • スピアフィッシング : 特定の個人・団体を標的としたフィッシングによる攻撃 (魚突き)
    • ホエーリング : 特定の個人・団体のビジネス幹部を標的としたフィッシングによる攻撃 (捕鯨)
    • ビッシング (ボイスフィッシング) : メールの代わりに電話などの音声案内を使ったフィッシングによる攻撃
    • テールゲート(共連れ) : 通行許可者の後をついて警備を潜り抜ける行為
    • 偽装 : 通行許可証などを偽って警備を潜り抜ける行為
    • ゴミ箱あさり : ゴミの中から情報を入手する行為
    • ショルダーサーフィン (ショルダーハック) : 肩越しにのぞき見て情報を入手する行為
    • デマウイルス(Hoax) : 存在しないウイルスに関する警告メールを送信し、ネットワークの切断やファイル全削除など過激な手段をとらせる行為
    • 水飲み場型攻撃 : 特定の組織のユーザが閲覧しそうなWebサイトを攻撃してマルウェア配布サイトに改ざんする標的型攻撃
    • 原則(有効性の理由) : ソーシャルエンジニアリングの7原則
      • 権威(Authority) : 警察などの権威のある人には従う(権威のある人になりすます)
      • 脅迫(Intimidation) : 威嚇されると被害者は攻撃者に従う(恐怖を与える)
      • 多数意見(Consensus) : 多くの人が賛成していることに従う(偽の高評価を作る)
      • 希少性(Scarcity) : 数量限定に人は動かされる(新製品のリンクへ誘導する)
      • 親しみ(Familiality) : 親しい人には警戒心がない(ショルダーサーフィンが容易になる)
      • 信頼性(Trust) : 信頼していると警戒心がなくなる(OKや許可をクリックしやくすなる)
      • 緊急性(Urgency) : 制限時間に人は動かされる(ランサムウェアの解除有効期限など)
  • アプリケーション/サービス攻撃
    • DoS : サービスを妨害する攻撃
    • DDoS : ボットネットなどの複数の攻撃元から同時に行うDos攻撃
    • 中間者攻撃 : ブラウザとサーバ間の通信を盗聴・改ざんする攻撃
    • バッファオーバーフロー : プログラム上で与えられたバッファよりも大きいサイズのバッファを書き込み、意図的に悪意のあるデータを入れることで任意のコマンドを実行する攻撃
    • インジェクション : 悪意のあるコードを注入する攻撃
    • クロスサイトスクリプティング (XSS) : 悪意のあるJavaScriptをHTML内に注入する攻撃
    • クロスサイトリクエストフォージェリ (CSRF) : サイト利用者が悪意のある別サイトのリンクをクリックすることで、サイト利用者が意図しない更新や削除等のリクエストを発行してしまう攻撃
    • 特権エスカレーション : 不正に権限昇格を行い一般ユーザではできないことをする攻撃
    • ARPポイズニング (ARPスプーフィング) : ARPテーブルに偽のMACアドレス情報を登録する攻撃
    • アンプ攻撃 : 脆弱なDNSサーバなどを使って通信量を増幅させるDDoS攻撃
    • DNSポイズニング : DNSキャッシュに偽の情報を登録する攻撃
    • ドメインハイジャッキング : DNSのレジストリの登録情報自身を書き換える攻撃
    • MITB 攻撃(Man-in-the-Browser) : ブラウザを乗っ取りクライアントとサーバ間の通信を盗聴・改ざんする攻撃
    • ゼロデイ攻撃 : 脆弱性情報が公開される前・修正プログラム提供前に実行される攻撃
    • リプレイ攻撃 : 攻撃者がデータを傍受し、再送信する攻撃
    • Pass-the-hash攻撃 : Active Directoryで構築されたネットワークに対して、パスワードハッシュ値を平文に復号することなく認証に使う攻撃
    • ハイジャッキングおよび関連攻撃
      • クリックジャッキング : フレームの透過により意図せず別サイトのボタンやリンクをクリックさせる攻撃
      • セッションハイジャッキング : セッションIDを不正に取得され、その利用者になりすましてアクセスする攻撃
      • URLハイジャッキング : タイポスクワッティングと同じ
      • タイポスクワッティング : 有名なWebサイトに似たドメインを取得し、利用者の入力ミスを悪用して偽サイトに誘導する攻撃
    • ドライバ操作
      • シミング : アプリケーションと異なるWindows OSの間を取り持つアプリケーション (shim) について、悪意のあるshimを使った特権昇格などの攻撃
      • リファクタリング : 自分で形を変えるマルウェア。シグネチャベースの検知が困難
    • MACスプーフィング : MACアドレスを偽装する攻撃
    • IPスプーフィング : IPアドレスを偽装する攻撃
  • ワイヤレス攻撃
    • リプレイ攻撃 : 送信データを傍受し、再送信する攻撃
    • IV攻撃 : 無線LANのパケットを大量に収集しIVを調べてWEPキーを推測する攻撃
    • エビルツイン(Evil twin) : 本物のWi-Fi端末と同じか類似するSSIDを設定したWi-Fi端末を用意して誘導する攻撃
    • 不正なAP : エビルツインとして立てたアクセスポイント
    • ジャミング : 電波妨害による無線通信速度の低下・接続遮断
    • WPS (Wi-Fi Protected Setup) : 無線LAN端末の無線設定を1クリックで設定する規格。WPSのPIN入力方式に対してブルートフォース攻撃をすることをWPS攻撃という
    • ブルージャッキング : 匿名メッセージをBluetooth経由で端末に送る攻撃
    • ブルースナーフィング : Bluetooth端末にある情報を本人に気づかれずにアドレス帳などにアクセスする攻撃
    • RFID : 無線タグの読み書きを行う規格
    • NFC : 近距離無線通信の規格(Suica, Edy, FeliCaなど)
    • Disassociationフレーム : 無線LANの規格IEEE802.11で定義されているフレーム。このフレームを偽造してアクセスポイントと接続端末に送ることで認証が解除され接続を切り離すことができる (参照:公衆無線LANへの攻撃手法 – 総務省 公衆無線LANセキュリティ分科会
  • 暗号攻撃
    • 誕生日攻撃 : 誕生日のパラドックスに基づいた攻撃
    • 既知平文文攻撃 : 限られた数の平文と暗号文のペアが得られるときにその対応関係から鍵を推測する攻撃
    • 既知暗号文攻撃 : 暗号文のみが得られるときにそこから鍵を推測する攻撃
    • レインボーテーブル : パスワードとなる文字列のハッシュ値を計算してテーブル化したもの
    • 辞書攻撃 : よく使われるパスワードの一覧を利用した攻撃
    • ブルートフォース攻撃 : 総当たり攻撃
      • オンラインとオフラインの違い : ローカルに保存して解析するか、ネットワーク経由で接続して解析するか
    • 衝突攻撃 : 同じハッシュ値になるデータを利用した攻撃
    • ダウングレード攻撃 : 中間者攻撃でSSL/TLS接続時に弱い暗号スイートを使用させる攻撃
    • リプレイ攻撃 : 送信データを盗聴し、再送信すること
    • 脆弱な設定への攻撃 : デフォルトパスワードなどを利用した攻撃
1.3 脅威となる行為主体のタイプと属性について説明することができる。
  • 行為主体のタイプ : 攻撃を行う人物の分類
    • スクリプトキディ : 他人が開発したツールを使って攻撃を行う
    • ハクティビスト : 社会的・政治的な主張を目的とした攻撃
    • 組織犯罪 : 金銭を目的とした攻撃
    • 国家/APT : 国家の利益を目的とした攻撃。APT攻撃も行う
    • インサイダー : 組織内の人物で処遇に対する不満による攻撃
    • 競合相手 : 他社の開発情報などの収集を行う
  • 行為主体の属性 : 行為者の特徴
    • 内部/外部 : 自主的または環境などの外部的要因による行為
    • 巧妙さのレベル : 行為者のスキル
    • リソース/資金 : リソースや資金の量
    • 意図/動機 : 行為をする目的
  • オープンソースインテリジェンスの活用 : 公開情報から攻撃に関する知識や理解力・思考力を収集する
1.4 さまざまなペネトレーションテストのコンセプトについて説明することができる。
  • アクティブ偵察 : 侵入を試みるなどの能動的な偵察
  • パッシブ偵察 : 流れるデータを盗聴して情報を得るなどの受動的な偵察
  • ピボット : 攻撃者がネットワーク内のPCから別PCへ移動すること
  • 初期潜入 : 脆弱性を利用して侵入し、バックドアを配置すること
  • 持続性 : 数か月以上継続して特定の相手から情報を収集するAPT攻撃の一要素
  • 権限エスカレーション : 許可されていない特権を取得すること
  • ブラックボックス : システム内部が不明な状態で入出力が期待通りか確認するテスト
  • ホワイトボックス : システム内部を把握した状態で内部処理が全て期待通りか確認するテスト
  • グレーボックス : システム内部を把握した状態で期待した処理結果かを確認する、ブラックボックスとホワイトリストの中間的なテスト
  • ペネトレーションテストと脆弱性スキャンの違い : 目的がシステムに侵入するか、脆弱性を発見するか
1.5 脆弱性スキャンのコンセプトについて説明することができる。
  • セキュリティ管理のパッシブなテスト : 侵入せずにバナー確認などによるスキャン
  • 脆弱性の特定 : 存在する脅威の確認
  • セキュリティ管理不備の特定 : 認証機能の迂回(バイパス)がないか確認
  • 一般的な設定ミスの特定:サーバなどの設定の確認
  • 侵入と非侵入の違い : 侵入した方がより多くの脆弱性を発見しやすい
  • クレデンシャルとノンクレデンシャルの違い : 公開されていないホストにも脆弱性スキャンをするかしないか
  • フォールス・ポジティブ : 脆弱性がないのに検知されること
1.6 脆弱性のタイプによる影響について説明することができる。
  • 競合状態 : 並列処理の設計の問題による不具合
  • 下記を原因とする脆弱性
    • EOL(End of Life)システム : ベンダーのサポートが切れて脆弱性への対策パッチが提供されないシステム
    • 組み込みシステム : 家電機器などに内蔵されているシステム。インターネット経由でのアップデートが必要
    • ベンダーサポートの欠如 : EoLやベンダー自体がなくなる場合、別システムへの移行が必要
  • 不適切なインプット処理 : 入力値が不適切なときは処理を実行しないこと
  • 不適切なエラー処理 : エラーを適切に処理すること
  • 誤設定/弱い設定 : 適切な設定にすること
  • デフォルト設定 : デフォルトパスワードなどの設定を使い続けないこと
  • リソースの枯渇 : 外部からの攻撃によるリソースの枯渇
  • ユーザートレーニングの欠如 : 最新のセキュリティに関する知識による教育
  • 不適切なアカウント設定 : 役割などをグループに分けて設定すること。例外的な設定は認めないこと
  • 脆弱なビジネスプロセス : 今までの古い習慣がもたらす脆弱性
  • 弱い暗号スイートと実装 : 安全な実装に変更する。弱い暗号を使う部分はVLANなどで分離すること
  • メモリ/バッファの脆弱性
    • メモリリーク : 確保したメモリリソースを解放しないことによる脆弱性
    • 整数オーバーフロー : オーバーフローで負数になることによる脆弱性
    • バッファオーバーフロー : 意図的にバッファからあふれるデータを入力することによる脆弱性
    • ポインタデリファレンス : ポインタを初期化せずに使用することによる脆弱性
    • DLLインジェクション : DLL処理を横取りして任意の処理をさせること
  • システムの無秩序な展開/文書化されていない資産 : システムの設定や資産を把握して確実に管理する
  • アーキテクチャ/設計上の弱点 : 脆弱なビジネスプロセスをそのままシステム化すると矛盾する部分がでる
  • 新種の脅威/ゼロデイ攻撃 : 脆弱性公開前やセキュリティパッチ提供前の脆弱性を突いた攻撃
  • 証明書管理や鍵管理の不備 : 証明書の期限や鍵が不正利用されないように厳密に管理する

2.0 テクノロジーとツール

2.1 組織のセキュリティを維持するために、ハードウェアおよびソフトウェアのネットワークコンポーネントをインストール・設定することができる。
  • ファイアウォール
    • ACL : アクセス制御
    • アプリケーションベースとネットワークベースの違い
    • ステートフルとステートレスの違い : 戻りの通信を動的に許可するかしないか
    • 暗黙の拒否 : デフォルトは拒否
  • VPNコンセントレーター
    • リモートアクセスとサイトツーサイトの違い :
      • リモートアクセス : ユーザ個人と拠点間のVPN
      • サイトツーサイト : 拠点間VPN
    • IPSec
      • トンネルモード : IPSec対応のホスト間通信
      • トランスポートモード : IPSec対応のルータ間通信
      • AH : 改ざん検知のみ
      • ESP : 改ざん検知+パケット暗号化
    • スプリットトンネルとフルトンネルの違い :
      • スプリットトンネル : 社内ネットワークにアクセスするときはVPN接続し、通常のインターネット接続時はVPN接続しない方式
      • フルトンネル : 全てVPN接続で完結する方式
    • TLS
    • 常時接続VPN
  • NIPS/NIDS
    • シグネチャベース
    • ヒューリスティック/ビヘイビア
    • アノマリ
    • インラインとパッシブの違い : パケットを通過時に監視するか、コピーされた内容を監視するか
    • インバンドとアウトオブバンドの違い : 情報収集機器の配置場所が同一のネットワーク上かVLANなどで別ネットワークか
    • ルール
    • アナリティクス
      • フォールス・ポジティブ
      • フォールス・ネガティブ
  • ルーター
    • ACL : アクセス制御
    • アンチスプーフィング : なりすましされたIPアドレスからのパケットを破棄するルータの機能
  • スイッチ
    • ポートセキュリティ : PC接続ポートに学習可能なMACアドレスの上限を設ける
    • レイヤー2とレイヤー3の違い
    • ループ防止 : ループを検知してブロードキャストストームを防ぐ
    • フラッドガード : MACフラッディング攻撃を防ぐ仕組み
  • プロキシ
    • フォワードプロキシとリバースプロキシ : 配置場所がクライアント側かサーバ側か
    • 透過性プロキシ : インターネットへの通信が自動的にプロキシサーバ経由となる
    • アプリケーション/多目的
  • ロードバランサー
    • スケジューリング
      • アフィニティ : あるセッション中のリクエストは同じサーバに接続される設定
      • ラウンドロビン : セッション毎に別のサーバに接続する設定
    • アクティブ/パッシブ : メインサーバで問題が起きたときのみ待機サーバがアクティブになる
    • アクティブ/アクティブ : メインサーバで行うのと同様の処理を別サーバも並行して行い、障害時は別のアクティブサーバがそのまま引き継ぐ
    • 仮想IP : 複数のサーバを束ねるために使う。ユーザからは一つのIPで接続しているように見える
  • アクセスポイント
    • SSID
    • MACフィルタリング
    • 信号強度
    • 帯域選択/幅
    • アンテナのタイプと配置
    • FatとThinの違い :
      • Fat AP : アクセスポイントが暗号化、認証、転送などの全ての処理を行う
      • Thin AP : アクセスポイントは無線通信だけを行い、コントローラは暗号化、認証、転送などの処理を集中管理する
    • コントローラーベースとスタンドアロンの違い : Thin AP はコントローラベース、Fat はスタンドアロン
  • SIEM
    • アグリゲーション : 重複イベントレコードを集約・統合・関連付けして通知し、イベントデータ量を抑制する
    • 相関分析
    • 自動アラートおよびトリガー : 指定した条件によってアラートを送る
    • 時刻同期 : ログ分析を容易にするためにNTPで同期させる
    • イベントの重複排除 : 保存するログの量を減らす
    • ログ/WORM(Write Once Read Many) : ログを一度しか書き込めないメディアに保存する
  • DLP : 機密情報の漏洩を防ぐシステム
    • USBブロッキング
    • クラウドベース
    • Eメール
  • NAC : ネットワークアクセス制御
    • 一時利用と恒久利用の違い
    • ホストヘルスチェック
    • エージェント型とエージェントレス型の違い
  • メールゲートウェイ
    • スパムフィルター
    • DLP
    • 暗号化
  • ブリッジ
  • SSL/TLSアクセラレーター
  • SSL復号装置
  • メディアゲートウェイ
  • ハードウェアセキュリティモジュール : HSM
2.2 与えられたシナリオに基づいて、組織のセキュリティ対策に最適なソフトウェアツールを活用することができる。
  • プロトコルアナライザー : パケットキャプチャして通信をプロトコルレベルで分析するツール
  • ネットワークスキャナー : ネットワーク上の機器を調査するツール
    • 無許可(ローグ)システム検出 : 認証されていないネットワーク上のシステムを発見する
    • ネットワークマッピング : ネットワーク上の機器を可視化するツール
  • ワイヤレススキャナー/クラッカー : 無線通信調査・解析ツール
  • パスワードクラッカー : パスワード解析ツール
  • 脆弱性スキャナー : 脆弱性調査
  • 構成コンプライアンススキャナー : ホストがポリシーに準拠しているか監査するためのツール
  • エクスプロイトフレームワーク : 脆弱性による攻撃をするためのツール
  • データサニテーションツール : データの無害化を行うツール
  • ステガノグラフィツール : データを音声や画像データなどの他のデータに埋め込むときに使用するツール
  • ハニーポット : 攻撃しやすいようにしたおとりサーバ
  • バックアップユーティリティ
  • バナーグラビング : サーバのOSや実行しているアプリケーションの情報やバージョンを表示させること
  • パッシブとアクティブの違い
  • コマンドラインツール
    • ping : 疎通確認や通信先システムが稼働しているかの確認
    • netstat : 接続状況、統計情報、ルーティングテーブルの確認
    • tracert : 宛先に到着するまでに経由したルータ情報の確認
    • nslookup/dig : DNS問合せやDNSゾーン転送
    • arp : ARPテーブル(IPとMACアドレスの対応表)の確認
    • ipconfig/ip/ifconfig : IPの基本構成情報や接続媒体情報の確認
    • tcpdump : パケットの受信時間、送信元IPとポート、送信先IPとポート、パケット内容の確認
    • nmap : ネットワークやセキュリティ監査を行うツール
    • netcat : TCP/UDPでデータを送受信できるツール
2.3 与えられたシナリオに基づいて、一般的なセキュリティ問題のトラブルシューティングを実施することができる。
  • 暗号化されていないクレデンシャル/平文 : 暗号化して通信する
  • ログおよびイベントのアノマリー : 正常な状態と比較して不正アクセスを検知する
  • 承認の問題 : 認証されたユーザに対してリソースの使用権限を付与する(認可)
  • アクセス違反 : 物理的・論理的なアクセス制御を実施する
  • 証明書の問題 : 期限切れ・失効時はサーバに新しい証明書を入れる
  • データ流出 : 通信内容を暗号化する
  • デバイスの誤設定
    • ファイアウォール : ポリシーに従った設定
    • コンテンツフィルター : 許可されたものだけ閲覧できるように設定
    • アクセスポイント : 許可されたアクセスポイントだけに接続
  • 弱いセキュリティ設定
  • 人員の問題
    • ポリシー違反 : システム上に落とし込めない運用のポリシー違反は、罰則とトレーニングを実施する
    • インサイダーの脅威 : 組織内の人物による情報入手。カウンセリングとトレーニングを実施する
    • ソーシャルエンジニアリング : 例外を認めない運用にする
    • ソーシャルメディア : 多様性のあるメンバーから承認を得てから発信する
    • 個人的なEメール : ポリシーで禁止
  • 承認外のソフトウェア : マルウェアがインストールされる可能性が高くなる
  • ベースライン違反 : ベースラインの変更はポリシーに従って行う
  • ライセンスのコンプライアンス違反(許諾範囲以外の使用/改変): 使用範囲内で使うこと
  • 資産管理 : 資産を守るため
  • 認証の問題 : デフォルトパスワードの変更、認証ログの確認
2.4 与えられたシナリオに基づいて、セキュリティテクノロジーのアウトプットを分析・解釈することができる。
  • HIDS/HIPS : ホスト型侵入検知システム / ホスト型侵入防止システム
  • アンチウイルス : 業務で使うデバイスにはアンチウイルスソフトウェアを導入してパッチのアップデート管理を行う
  • ファイル完全性チェック : ファイルが改ざんされていないかの確認
  • ホストベースのファイアウォール : 許可していない外部からの通信は遮断
  • アプリケーションホワイトリスト : 使用が許可されたアプリケーション一覧
  • リムーバブルメディア管理 : 外部に持ち出せないように管理すること
  • 高度なマルウェアツール : パターンマッチだけではなく、マルウェアそのものを解析するツール
  • パッチ管理ツール : パッチが適用されているか調べてパッチを適用させることができるツール
  • UTM : ファイアウォール、IDS/IPS、アンチマルウェア、コンテンツインスペクション、Webフィルタリング、VPNなどのセキュリティ対策の機能を総合的に管理すること
  • DLP : データ紛失防止のための製品
  • データ実行防止 : アプリケーションやサービスが実行不可能なメモリ領域からコードを実行することを防止する (DEP)
  • Webアプリケーションファイアウォール : Webサーバの前面に配置して通信を解析し、攻撃からWebサイトを守るシステム
2.5 与えられたシナリオに基づいて、モバイルデバイスを安全に導入することができる。
  • 接続方法
    • 携帯電話 : 携帯電話回線を利用した通信
    • Wi-Fi : 無線でデータ通信。規格は IEEE802.11
    • SATCOM : 米国の衛星通信
    • Bluetooth : 電波を使ったシリアル方式インターフェース
    • NFC : 数センチから1m程度の近距離無線通信。規格は ISO/IEC 18092
    • ANT : 2.4GHz帯を使用する通信方法。主にスポーツで記録を取る機器間の通信で使われる
    • 赤外線 : 赤外線を利用した通信。規格は IrDA
    • USB : USB規格による通信
  • モバイルデバイス管理のコンセプト
    • アプリケーション管理 : 使用可能なアプリケーションの管理
    • コンテンツ管理 : 許可されたものだけ閲覧可能
    • リモートワイプ : 紛失や盗難時にデータ消去やデバイス初期化をリモートで行う
    • ジオフェンシング : GPSによる位置検出によって特定のエリア内にいないと使用できない仕組み
    • ジオロケーション : ユーザの位置情報を扱う技術
    • 画面ロック : スクリーンロック。画面操作をロックする機能
    • プッシュ通知サービス :
    • パスワード/PIN : 推測が困難なものに設定すること
    • 生体認証 :
    • コンテキストアウェア認証 : アクセス元の場所、デバイスのセキュリティ状況、IPアドレスなどに基づいた認証
    • コンテナ化 : 業務用アプリやデータをプライベートデータと隔離して格納すること
    • ストレージセグメンテーション : ストレージを用途ごとにセグメントで分けること
    • フルデバイス暗号化 : デバイスが保持するデータを全て暗号化
  • 規制と監視
    • サードパーティのアプリストア : 正規のアプリストア以外のアプリストア
    • root化/Jailbreaking : 不正操作によって不正なアプリを動作させる
    • サイドローディング : 正規のアプリストア以外からアプリをインストールすること
    • カスタムファームウェア : 新しい機能を搭載したり隠された機能をロック解除するために、サードパーティーによって非公式に改造されたファームウェアのこと
    • キャリア端末のロック解除 : SIMロックなど
    • ファームウェアのOTA更新 : Wi-FiやBluetoothなどの無線ネットワーク全般をOTA (Over The Air) と呼び、OTAはファームウェアの更新などに利用される
    • カメラの使用 : 許可されたエリア以外では使用できない設定もある
    • SMS : 電話番号に対して短いテキストメッセージを送れるサービス。必要に応じて使用可能範囲を制限する
    • MMS : 画像や動画も送ることができるMultimediaなSMS。必要に応じて使用可能範囲を制限する
    • 外付けメディア : USB OTGに対応している場合は接続できないようにする
    • USB OTG : PCなしでUSB機器同士を接続して使用できる規格
    • 録音マイク : 使用できる場所とその使用のルールをポリシーとして設定する
    • GPSタグの付与 : ジオタギング。写真やメールに自らの位置情報を付加すること。適宜無効化すること
    • Wi-Fi Direct/アドホック : モバイルデバイス同士を直接接続する方法。基本的には無効化すること
      • Wi-Fi Direct はどちらかのデバイスがソフトウェア上でアクセスポイントとして動作する
      • Wi-Fiアドホックはソフトウェア上にもアクセスポイントがない
    • テザリング : スマホを親機としてネットに接続すること。必要に応じて使用制限すること
    • 決済方法 : モバイルデバイスのNFCを使った決済
  • 導入モデル
    • BYOD : 私有デバイスを業務利用すること
    • COPE : CYODで選んだデバイスを個人使用する方式
    • CYOD : 企業が選択したデバイスから社員が選ぶ方式
    • 会社所有 : 業務以外で使用できない方式
    • VDI : 仮想デスクトップ環境で接続する方式
2.6 与えられたシナリオに基づいて、セキュアプロトコルの実装を行うことができる。
  • プロトコル
    • DNSSEC : DNS応答に署名を付ける (53/tcp,udp)
    • SSH : Secure Shell (22/tcp)
    • S/MIME : メール暗号化
    • SRTP : Secure Real time Transport Protocol : 音声・動画の送受信
    • LDAPS : LDAP over SSL/TLS : ディレクトリサービス
    • FTPS : FTP over SSL/TLS (989,990/tcp) : ファイル転送
    • SFTP : SSH File Transfer Protocol (22/tcp) : ファイル転送
    • SNMPv3 : ルーティング・スイッチングの設定 + 暗号化・認証機能 (161,162/udp)
    • SSL/TLS : 暗号化通信プロトコル
    • HTTPS : HTTP over SSL/TLS (443/tcp) : Web
    • Secure POP/IMAP : POP3s (110/tcp), IMAP4s (143/tcp) : メール
  • 用途
    • 音声および動画 : RTP
    • 時刻同期 : NTP
    • EメールおよびWeb : SMTP, IMAP, POP3, HTTP
    • ファイル転送 : FTP
    • ディレクトリサービス : LDAP
    • リモートアクセス : RDP (3389/tcp)
    • ドメイン名解決 : DNS
    • ルーティングおよびスイッチング : SNMP
    • ネットワークアドレスの割り当て : DHCP
    • サブスクリプションサービス : HTTP

3.0 アーキテクチャと設計

3.1 フレームワーク、ベストプラクティス、セキュア構成ガイドの適用例と目的について説明することができる。
  • 業界標準フレームワークとリファレンスアーキテクチャ : セキュリティを保つための業界ごとに標準
    • 規制 : 業界ごとの規制
    • 規制外 : 規制外でもセキュリティを確保するために必要な対策を講じる必要がある
    • 国内と国際的規制の違い : 国内では良くても国外では違反になる場合がある
    • 業種固有のフレームワーク : 業界ごとのフレームワークに準拠する必要がある
  • ベンチマーク/セキュア構成ガイド
    • プラットフォームまたはベンダー固有のガイド
      • Webサーバー
      • オペレーティングシステム
      • アプリケーションサーバー
      • ネットワークインフラ機器
    • 汎用ガイド
  • 多層防御/レイヤードセキュリティ
    • ベンダーの多様化 : 複数のベンダーの製品を組み合わせてセキュリティを確保する考え方
    • 管理の多様化 : 2つの側面から管理する
      • 管理的側面 : ユーザの行動方針をポリシーや法律、ガイドなどから決める
      • 技術的側面 : ファイアウォールなどの機器やアンチマルウェアなどのソフトウェアを組み合わせる
    • ユーザートレーニング : セキュリティの教育
3.2 与えられたシナリオに基づいて、セキュアネットワークアーキテクチャのコンセプトを導入することができる。
  • ゾーン/トポロジー
    • DMZ : 外部ネットワークと内部ネットワークの中間に設けられるネットワーク
    • エクストラネット : 企業や組織の複数のイントラネットを相互接続したネットワーク
    • イントラネット : 社内や組織内に構築したネットワーク
    • ワイヤレス
    • ゲスト
    • ハニーネット
    • NAT
    • アドホック : 無線LANクライアント同士が直接接続する方式
  • セグリゲーション/セグメンテーション/アイソレーション : 権限分離 / 範囲分離 / 端末独立
    • 物理的
    • 論理的(VLAN)
    • 仮想化
    • エアギャップ : インターネットに接続しない物理的に隔離された空間
  • トンネリング/VPN
    • サイトツーサイト : 拠点間の通信を行うためのインターネットVPN
    • リモートアクセス
  • セキュリティデバイス/テクノロジーの配置
    • センサー : 侵入検知のために情報を収集する
    • コレクター : 複数のセンサーからの情報を蓄積する
    • 相関分析エンジン : 複数のログから不正アクセスや情報漏洩の兆候を相関分析する
    • フィルター
    • プロキシ
    • ファイアウォール
    • VPNコンセントレーター : VPN専用の装置
    • SSLアクセラレーター : SSL/TLSの処理を行いサーバの負荷を下げる
    • ロードバランサー : 負荷分散装置
    • DDoSミティゲーター : DDoS発生時にDDoSを防ぐためのもの
    • アグリゲーションスイッチ
    • TAPおよびポートミラー : ログ収集と監視
      • TAPは、通信内容をコピーする機器
      • ポートミラーは、スイッチにある特定のポートが送受信したフレームをコピーして別のポートへ転送する仕組み
  • SDN : ソフトウェアでネットワークを構築する仕組み
3.3 与えられたシナリオに基づいて、セキュアなシステムデザインを導入することができる。
  • ハードウェア/ファームウェアのセキュリティ
    • FDE/SED (Full Disk Encryption / Self Encrypting Drive) : ストレージを暗号化する仕組み
    • TPM (Trusted Platform Module) : セキュリティに関する各種機能を備えたチップ
    • HSM (Hardware Security Module) : 秘密鍵を安全に管理するハードウェア
    • UEFI/BIOS : OS起動などのハードウェア制御に使用される
    • セキュアブートと検証 : UEFIはデジタル署名があるOSのみが起動できるセキュアブートというモードがある
    • サプライチェーン : 流通
    • 信頼の基点(root of trust)となるハードウェア : 認証する際に必ず使用するハードウェア
    • EMI/EMP :
      • EMI : 電磁波妨害はノイズによってハードウェアの動作不良を起こすこと
      • EMP : 電磁波パルスによってハードウェアを使用不能にすること
  • オペレーティングシステム
    • タイプ
      • ネットワーク : ネットワーク機器に搭載されているOS
      • サーバー : サーバーのOS
      • ワークステーション : ワークステーションのOS
      • アプライアンス : 特定の機能や用途に特化した専用機器のOS
      • Kiosk : 自動券売機などで使われるタッチパネル操作の機械などのOS
      • モバイルOS : モバイルに搭載されているOS
    • パッチ管理
    • 不要なポートやサービスの無効化
    • 最少機能
    • セキュアコンフィギュレーション
    • トラステッドオペレーティングシステム : 強制アクセス制御と最小特権を採用しているOS
    • アプリケーションホワイトリスト/ブラックリスト
    • デフォルトのアカウント/パスワードの無効化
  • 周辺装置
    • ワイヤレスキーボード
    • ワイヤレスマウス
    • ディスプレイ
    • WiFi機能つきmicroSDカード
    • プリンター/MFD
    • 外付けストレージデバイス
    • デジタルカメラ
3.4 セキュアなステージングデプロイメントのコンセプトの重要性を説明することができる。
  • サンドボックス : 外部から隔離された環境
  • 環境
    • 開発
    • テスト
    • ステージング
    • プロダクション
  • セキュアベースライン : セキュリティに関する基準。アプリケーションの種類やバージョン、設定情報など
  • 完全性測定
3.5 組み込みシステムがもたらすセキュリティ上の影響について説明することができる。
  • SCADA : 産業制御システム
  • ICS : 電気ガス水道などの重要インフラを制御するシステム
  • スマートデバイス/IoT
    • ウェアラブルテクノロジー
    • ホームオートメーション
  • HVAC : ビルの空調システムも組み込みシステムが利用されている
  • SoC (System-on-a-Chip) : モバイルデバイスに搭載されているCPU
  • RTOS : リアルタイムOS。組み込みOSでよく利用される
  • プリンター/MFD : プリンタや複合機(MFD)には専用OSが搭載されている
  • カメラシステム : 各メーカーによって作られたOSが搭載されている
  • 特殊な用途 : 専用OSが搭載されている
    • 医療用デバイス
    • 車両
    • 航空機/無人機
3.6 セキュアなアプリケーションの開発とデプロイに関するコンセプトを要約することができる。
  • 開発ライフサイクルモデル
    • ウォーターフォール型とアジャイル型の違い
  • セキュアなDevOps
    • セキュリティオートメーション
    • 継続的インテグレーション
    • ベースライン
    • イミュータブルシステム
    • Infrastructure as code
  • バージョン管理、変更管理 : 変更した部分の情報共有
  • プロビジョニング、デプロビジョニング : フェデレーションでの利用を前提としている場合に安全にアカウントを作成すること / アカウントの削除・アクセス権の解除をすること
  • セキュアコーディングテクニック
    • 適切なエラー処理
    • 適切な入力検証
    • 正規化
    • ストアードプロシージャ
    • コード署名 : ネットワークで配布するプログラムに対して署名すること
    • 暗号化 : 実績のあるアルゴリズムやコードを使うこと
    • 難読化/カモフラージュ : リバースエンジニアリングに時間がかかるようにする
    • コード再利用/デッドコード : 脆弱性がないことを確認してから再利用する / 実行されないコード・不要な変数は削除する
    • サーバー側とクライアント側での実行と検証の違い : 入力値はクライアントとサーバの両方で検証する
    • メモリ管理 : 適切に管理しないとオーバフローなどが発生する
    • サードパーティのライブラリやSDKの利用
    • データ露出 : 本来見えてはいけないデータが見えてしまうこと
  • コードの品質とテスト
    • スタティックコードアナライザー
    • 動的分析(例:ファジング)
    • 負荷テスト
    • サンドボックス
    • モデル検証
  • コンパイルドコードとランタイムコードの違い
3.7 クラウドと仮想化に関するコンセプトを要約することができる。
  • ハイパーバイザー
    • Type I : ハイパーバイザー型
    • Type II : ホストOS型
    • アプリケーションセル/アプリケーションコンテナ
  • VMスプロールの防止 : VMが容易に作成されて管理されないVMが増えないようにルールの作成と監視をする
  • VMエスケープへの対策 : セキュリティパッチの適用。ハイパーバイザー側に侵入されても問題が広がらないように専用のVM環境を用意すること
  • クラウドストレージ
  • クラウド開発モデル
    • SaaS
    • PaaS
    • IaaS
    • プライベート : サービス利用者が特定の組織内に限定
    • パブリック : サービス利用者が不特定多数
    • ハイブリッド : パブリックとプライベートを組み合わせた運用
    • コミュニティ : サービス利用者が特定の共同体内に限定(複数グループから成る)
  • オンプレミス、ホステッド、クラウドの違い
  • VDI/VDE : 仮想デスクトップ
  • クラウドアクセスセキュリティブローカー(CASB) : クラウドアクセスセキュリティブローカー(CASB): 組織が利用するクラウドサービスについて、可視化やデータセキュリティ、ポリシー監査、脅威からの防御などを実現するサービスや製品
  • Security as a Service : セキュリティサービスを提供するクラウドサービス
3.8 レジリエンスと自動化によってリスクを低減する戦略について説明することができる。
  • 自動化/スクリプティング
    • 一連の行動の自動化 : 作業の効率化
    • 継続的モニタリング : 継続的な監視
    • 設定の検証 : 設定変更後やアップデート後に不具合がないか
  • テンプレート : ひな形
  • マスターイメージ : その組織専用のシステム用テンプレート
  • 非持続性(ノンパーシスタンス) : 状況に応じて変化すること
    • スナップショット
    • 既知の状態に復帰
    • 既知の設定にロールバック
    • Live bootメディア : 光学式メディアやUSBメモリでOSの起動やツールの動作ができるメディア
  • エラスティシティ(弾性) : クラウドの柔軟性を表す
  • スケーラビリティ : クラウドの拡張性を表す
  • 分散配分 : ロードバランサを使う
  • リダンダンシー : 冗長性、多重化
  • フォールトトレラレンス : 耐障害性
  • 高可用性 : 継続して稼働する能力が高いこと
  • RAID : 複数のHDDをひとつのドライブのように認識させる技術。冗長性によりデータ復旧が可能になる
3.9 物理的セキュリティコントロールの重要性について説明することができる。
  • 照明 : セキュリティ上問題のある場所を照明で照らす
  • 表示 : 一定方向からのみ画面が見える偏光フィルタ(画面フィルタ)を使う
  • フェンス/ゲート/ケージ : 施設の周りを巡らせて物理的な侵入を防ぐ
  • 保安要員 : 警備員
  • アラーム : 注意喚起のための警報
  • 金庫 : 情報資産を盗難から防ぐ。データセンタ内に配置
  • セキュアキャビネット/エンクロージャ : 重要な機器や媒体は鍵のかかるところに保管。オフィスに配置
  • 保護された配電装置/保護されたケーブル : 壁内や床下に配線することで、盗聴や意図的な切断を防ぐ
  • エアギャップ : 物理的に隔離された空間
  • マントラップ : 一人ずつしか出入りできないゲート
  • ファラデーケージ : 電波が入り込めないような導体で構成された覆いのこと
  • ロックの種類 : バイオメトリクス、トークン/カード など
  • 生体認証 : バイトメトリクス認証。社外持ち出しするモバイル機器やデータセンタに配置する
  • バリケード/ボラード : 人の移動を妨げる障害物
  • トークン/カード : 物理的な鍵の代わりに使う場合もある
  • 環境管理
    • HVAC (Heating, Ventilation, and Air Conditioning) : 暖房、換気、空調の3つの要素を管理する
    • ホットアイル、コールドアイル : サーバーの排熱だけを集めた空間 / 空調機が送り出してサーバーが吸引する冷気を集めた空間
    • 消火 : システム機器を守るために水の代わりに不活性ガスを使う
  • ワイヤーロック : ケーブルロック。持ち運び可能な機器の盗難を防ぐ。監視のない場所の機器に配置
  • 画面フィルター : 一定方向からのみ画面が見える偏光フィルタ(画面フィルタ)を使う
  • カメラ : CCTVをデータセンタ内に配置
  • モーション検知 : 人の動きを検知
  • ログ
  • 赤外線検知
  • 鍵管理 : 鍵を保管するケージで管理し、いつ誰がいつまで使ったという記録を残す

4.0 アイデンティティとアクセス管理

4.1 アイデンティティとアクセス管理のさまざまなコンセプトを比較対照することができる。
  • 識別、認証・認可・アカウンティング(AAA) : 認証認可アカウンティングの3つの制御を持った仕組み
  • 多要素認証 : 複数の認証情報を組み合わせた認証
    • Something you are : 身体的特徴(指紋、虹彩など)
    • Something you have : 所有(スマートカードなど)
    • Something you know : 知識(パスワードなど)
    • Somewhere you are : 場所(IPアドレス、GPS情報など)
    • Something you do : 行動(自己署名など)
  • フェデレーション : 一度認証されるとSSO (シングルサインオン) などの情報が自動的に送られる
  • シングルサインオン : 一度認証されると複数のシステムで認証なしでアクセスできる仕組み
  • 推移する信頼関係 : 関係ないドメインを信頼すると、そのドメインからもアクセスできてしまう
4.2 与えられたシナリオに基づいて、アイデンティティ管理サービスのインストールと設定ができる。
  • LDAP : ディレクトリアクセスのためのプロトコル (389/tcp)
  • Kerberos : RADIUSのようなネットワークアクセス制御に加えて、シングルサインオンを提供するプロトコル (88/tcp,udp)
  • TACACS+ : Cisco独自のネットワークアクセス制御のセキュリティプロトコル (49/tcp)
  • CHAP : PPPで使用されるユーザ認証の方式。パスワードをハッシュ化して送信
  • PAP : PPPで使用されるユーザ認証の方式。パスワードを平文で送信
  • MSCHAP : CHAPを元にマイクロソフトが独自拡張したプロトコル
  • RADIUS : ネットワークアクセス制御のセキュリティプロトコル (1812/tcp)
  • SAML : クラウド型のシングルサインオン (Kerberosのクラウド版)
  • OpenID Connect : OAuthの認可の仕組みに、認証もできるように拡張した仕組み
  • OAUTH : リソースへのアクセス権の一部をアプリに移譲するための仕組み。
  • Shibboleth : シングルサインオンやフェデレーションを実現するためのWeb上の技術
  • Secure Token : 認証時に発行されるトークン。Kerberosで使われている
  • NTLM : Windowsの認証で使われる認証方式
4.3 与えられたシナリオに基づいて、認証管理とアクセス管理のコントロールを実装することができる。
  • アクセス制御モデル
    • MAC : 強制アクセス制御。セキュアOSで使われる
    • DAC : 任意アクセス制御。オブジェクト所有者は自由にアクセス権限を設定できる
    • ABAC : 属性ベースアクセス制御。名前、役職、位置情報、時間、日付などを使用
    • ロールベースアクセス制御 : RBAC。役割毎にアクセス権を与える
    • ルールベースアクセス制御 : ルーターやファイアウォールで使われる
  • 物理的アクセス制御
    • 近接型(非接触)カード
    • ICカード
  • バイオメトリクス対応
    • 指紋スキャナー
    • 網膜スキャナー
    • 虹彩スキャナー
    • 音声認識
    • 顔認識
    • 他人受入率 : 他人の生体情報を照会したときに本人と誤認される確率
    • 本人拒否率 : 本人の生体情報を照会したときに拒否される確率
    • クロスオーバーエラー率 : 他人受入率と本人拒否率のバランス
  • トークン
    • ハードウェア
    • ソフトウェア
    • HOTP/TOTP : HMACに基づくワンタイムパスワード / パスワード発行時間に基づくワンタイムパスワード
  • コンテキストベース認証 : デバイスや位置情報に基づく認証
    • PIV/CAC/ICカード : 認証デバイス
    • IEEE 802.1x : 認証VLAN。LAN接続時に使用する認証規格
  • ファイルシステムのセキュリティ
  • データベースのセキュリティ
4.4 与えられたシナリオに基づいて、一般的なアカウント管理手法の差異を明らかにすることができる。
  • アカウントの種類
    • ユーザーアカウント : 一般ユーザのアカウント
    • 共有/包括的なアカウント/資格情報 : アカウントを共用で使うとインシデント時に個人特定が困難
    • ゲストアカウント : 一時利用のアカウント。ゲスト用
    • サービスアカウント : システム設定の変更を行えるアカウント。管理者用
    • 特権アカウント : 管理者権限を持つアカウント
  • 一般的なコンセプト
    • 最小権限 : 付与する権限を最小限にする
    • オンボーディング/オフボーディング : 入社時・退職時にアカウントを使用可・不可にする
    • 承認状況の監査および評価 : アカウントが不正利用されていないか
    • 利用状況の監査および評価 : リソース利用状況が適切かどうか
    • 時間帯制限 : アカウントの利用可能時間の設定
    • 再認証 : 組織の規定に従って行う
    • 標準命名規則 : システム機器名は組織の命名規則に従う
    • アカウントメンテナンス : 付与した権限の定期的な見直し。不使用アカウントの削除
    • グループベースアクセス制御 : グループポリシー。グループに付与するアクセス権限
    • ロケーションベースのポリシー : 社内・社外などのロケーションによるアクセス制御
  • アカウントポリシーの執行
    • クレデンシャルマネジメント : アカウントの監査やポリシーを管理する
    • グループポリシー : グループベースアクセス制御
    • パスワードの複雑さ : 文字の種類、簡単なパスワードの拒否など
    • 有効期限
    • 復旧
    • 無効化
    • ロックアウト : 指定回数入力パスワードを間違えるとロックをかける
    • パスワード履歴 : 過去に使用したパスワードを再利用できる期間・頻度
    • パスワード再利用
    • パスワード文字数

5.0 リスク管理

5.1 組織のセキュリティに関連するポリシー、プラン、手順の重要性について説明することができる。
  • 標準業務手順書
  • 合意書のタイプ
    • BPA (Blanket Purchase Agreement) : 政府機関が提供するサービスを購入するときの合意書
    • SLA (Service Level Agreement) : 品質保証の同意書
    • ISA (Interconnection Security Agreement) : 組織間でシステムを接続するときの合意書
    • MOU/MOA (Memorandum of Understanding / Agreement) : 覚書 / 合意覚書
  • 人事管理
    • 強制的な休暇 : 従業員に休暇を取らせてから監査する
    • ジョブローテーション : 業務内容を入れ替える。不正の抑止
    • 職務分離 : 職務と責務を分ける(作業者と確認者を分けるなど)
    • クリーンデスク
    • バックグラウンドチェック : 入社時や新規取引先が不正な人物や業者ではないか確認
    • 退職者面接 : 退職時に面談をして情報収集する
    • ロールベースの意識向上トレーニング
      • データオーナー : データの所有者。個人データと業務データを分離すること
      • システム管理者 : システムの管理者
      • システムオーナー : システムの所有者
      • ユーザー : 一般権限
      • 特権ユーザー : 管理者権限
      • エグゼクティブユーザー : 上級管理職権限
    • NDA : 秘密保持契約
    • オンボーディング
    • 継続教育
    • アクセプタブルユースポリシー/行動ルール
    • 有害な行動
  • 一般セキュリティポリシー
    • ソーシャルメディアネットワーク/アプリケーション
    • 個人的なEメール
5.2 ビジネスインパクト分析に関するコンセプトを要約することができる。
  • RTO/RPO : 障害発生時の復旧の指標。復旧時間目標 (RTO) / 復旧地点目標 (RPO)
  • MTBF : 平均故障間隔
  • MTTR : 平均復旧間隔
  • ミッションエッセンシャル機能
  • クリティカルなシステムの特定
  • 単一障害点 : SPoF (Single Point of Failure)。クリティカルシステムやボトルネックのこと
  • インパクト : リスク発生時の影響度
    • 人命 : 医療システムなど
    • 資産 : 組織の資産に影響あり
    • 安全 : 安全性に影響あり
    • 財務 : 財務諸表に影響あり
    • 評判 : ソーシャルメディアなど
  • プライバシー影響評価 : PIA (Privacy Impact Assessment)。個人情報を収集するシステムの構築時に、プライバシーを事前評価する
  • プライバシー閾値評価 : プライバシーが維持されているか評価する
5.3 リスク管理のプロセスとコンセプトについて説明することができる。
  • 脅威アセスメント : 脅威の分析
    • 環境的なもの : 災害など
    • 人為的なもの : 組織内外からの攻撃
    • 内部と外部の違い : 組織内外に脅威あり
  • リスクアセスメント
    • SLE (Single Loss Expectancy) : 単一損失予測。SLE=資産価値×危険度(0~1)
    • ALE (Annualized Loss Expectancy) : 年間損失予測。ALE=SLE×年次発生頻度
    • ARO (Annualized Rate of Occurrence) : 年間発生頻度
    • 資産価値
    • リスク登録簿
    • 発生可能性
    • サプライチェーンアセスメント : 流通における脅威の分析
    • インパクト
    • 定量的 : 具体的な数値によるリスク分析
    • 定性的 : 発生確率や影響度の目安によるリスク分析
    • テスト
      • ペネトレーションテスト承認 : 承認を受けてからペネトレーションテストを行う
      • 脆弱性テスト承認 : 承認を受けてから脆弱性テストを行う
    • リスク対応の手法 : 以下4つ
    • 受容
    • 移転
    • 回避
    • 低減
  • 変更管理 : 変更要求を検討し、承認・却下した結果、必要となる対策を実施する
5.4 与えられたシナリオに基づいて、インシデント対応の手順を実行することができる。
  • インシデント対応計画
    • 文書化されたインシデントの種類/カテゴリーの定義
    • 役割と責任
    • 報告義務/エスカレーション
    • サイバーインシデント対応チーム : CSIRT
    • 演習 : 机上演習もある
  • インシデント対応プロセス
    • 準備 : 対応手順の確認。関係各所へ連絡
    • 識別 : 情報収集と証拠保全をして影響範囲を特定
    • 封じ込め : 原因デバイスをネットワークから隔離
    • 根絶 : 原因デバイスの検疫
    • 復旧 : システムやネットワークを元に戻す
    • 教訓の管理 : 再発防止策の適用
5.5 フォレンジックの基本的なコンセプトを要約することができる。
  • 揮発性の順序(Order of volatility) : 情報収集するデータの順番
  • 証拠の連鎖(Chain of custody) : フォレンジックで確保した証拠は厳密にセキュアで文書化される
  • 訴訟ホールド : 訴訟発生の可能性がある時点で課せられる電子文書の保全義務
  • データ取得
    • システムイメージのキャプチャ
    • ネットワークトラフィックおよびログ
    • 動画のキャプチャ : ビデオ撮影による作業記録
    • タイムオフセットの記録 : PCの時間と実際の時間が異なるときにその差を記録する
    • ハッシュの取得
    • スクリーンショット
    • 証人への聴取 : インシデント発生の早い段階で行う
  • 保全
  • 復旧
  • インテリジェンス/カウンターインテリジェンスの戦略的収集 : 情報を分析して対応する
    • アクティブログ
  • 工数の記録 : 証拠解析の工数と費用の確認
5.6 災害復旧と事業継続のコンセプトについて説明することができる。
  • リカバリサイト
    • ホットサイト : 稼働状態の環境。データは随時複製する
    • ウォームサイト : 稼働状態の環境。データは災害発生時に持ち込む
    • コールドサイト : 非稼働状態の環境
  • 復旧の順序
  • バックアップのコンセプト
    • 差分 : フルバックアップとの差分のみコピー
    • 増分 : 前回のバックアップ以降からの変更分のみコピー
    • スナップショット : 仮想マシンの状態を一時保存。データがある場所の情報 (ポインタ) を保存する
    • フル : システム上の全てのデータをコピー
  • 地理的な検討項目
    • オフサイトバックアップ
    • 距離
    • ロケーション選定
    • 法的な影響
    • データの主権性
  • 事業継続計画の策定
    • 演習/机上演習
    • 対応報告
    • フェールオーバー
    • 代替処理サイト
    • 代替業務手順
5.7 さまざまな管理タイプを比較対照することができる。
  • 抑止 : 警備員や警備犬
  • 予防 : マントラップ
  • 検知 : アラームやIDS
  • 補正 : DBバックアップ
  • 補完 : パッチ適用
  • 技術 : マントラップやIDSなど技術面全般
  • 運用管理 : 利用規約やポリシー、アクセス権限
  • 物理 : 柵や扉、鍵
5.8 与えられたシナリオに基づいて、データのセキュリティとプライバシーを守る手順を実行することができる。
  • データの破壊とメディアの消去
    • 焼却 : 燃やして消去
    • シュレッディング : 紙などを小さな破片にする
    • 溶解 : 紙書類を溶かす
    • 粉砕 : 細かく砕く
    • 消磁 : 磁気データを破壊する
    • パージング (Purge) : データの完全消去
    • ワイプ : データ消去と初期化
  • データの機密度表示と取り扱い
    • コンフィデンシャル : 機密情報
    • プライベート : 秘密・私用情報
    • パブリック : 公開情報
    • プロプライエタリ : 組織内の仕様やサービスの情報。外部には公開しない
    • 個人情報(PII) : Personally Identifiable Infomation。特定の人物の情報
    • 医療情報(PHI) : Protected Helth Information。患者の治療記録など
  • データに関する役割
    • オーナー : データのアクセス権や公開方法などの決定者
    • Steward : スチュワード。データのやり取りの管理者。ラベル付けや格納
    • プライバシーオフィサー : プライバシーポリシーやコンプライアンス問題に取り組む組織幹部
  • データ保全
  • 法規とコンプライアンス : データの取り扱いは法律とコンプライアンスに従うこと

6.0 暗号化とPKI

6.1 暗号化の基本的なコンセプトを比較対照することができる。
  • 対称アルゴリズム : 共通鍵暗号方式
  • 利用モード : ブロック暗号の暗号化方式
  • 非対称アルゴリズム
  • ハッシュ化
  • ソルト、IV、ノンス
  • 楕円曲線
  • 弱い/非推奨のアルゴリズム
  • 鍵交換
  • デジタル署名
  • 拡散
  • 撹乱
  • 衝突
  • ステガノグラフィ
  • 難読化
  • ストリームとブロックの違い
  • 鍵強度
  • セッション鍵
  • 一時的な鍵
  • 秘密アルゴリズム
  • データ伝送時(Data-in-transit)
  • データ格納時(Data-at-rest)
  • データ使用時(Data-in-use)
  • 乱数/擬似乱数の生成
  • 鍵ストレッチング
  • 実装とアルゴリズム選択
    • 暗号サービスプロバイダー
    • 暗号モジュール
  • PFS(Perfect forward secrecy) : 秘密鍵が漏洩してもそのセッションの暗号文しか復号できない
  • 隠蔽によるセキュリティ(Security through obscurity) : 非推奨の考え方
  • 一般的な適用例
    • ローパワーデバイス : スマホやモバイルでは暗号強度と守るべき情報のバランスを考慮して、消費電力の少ない暗号を選択すること
    • 低レイテンシー : 遅延が少ない。ストリーム暗号など
    • 高レジリエンス : 弾力性(回復性)が高い
    • 機密保持への対応 : 適切な暗号化をする
    • 完全性保護への対応 : ハッシュ値の利用
    • 難読化への対応 : 難読化してから暗号化
    • 認証への対応 : 公開鍵暗号
    • 否認防止への対応 : 電子署名
    • リソース上の制約とセキュリティ上の制約
6.2 各種の暗号アルゴリズムとそれぞれの基本的な特徴について説明することができる。
  • 対称アルゴリズム
    • AES
    • DES
    • 3DES
    • RC4
    • Blowfish/Twofish : AESの候補としてTwofishは最終候補まで残った
  • 暗号利用モード
    • CBC
    • GCM
    • ECB
    • CTR
    • ストリームとブロック
  • 非対称アルゴリズム
    • RSA
    • DSA
    • ディフィー・ヘルマン
      • グループ
      • DHE
      • ECDHE
    • 楕円曲線
    • PGP/GPG
  • ハッシングアルゴリズム
    • MD5
    • SHA
    • HMAC
    • RIPEMD
  • 鍵ストレッチングアルゴリズム : 鍵導出関数
    • BCRYPT
    • PBKDF2 : RFC8018で定義
  • 難読化
    • XOR
    • ROT13
    • 換字式暗号
6.3 与えられたシナリオに基づいて、ワイヤレスセキュリティ設定をインストール、実装することができる。
  • 暗号化プロトコル
    • WPA
    • WPA2
    • CCMP : IEEE802.11iで規定された暗号化プロトコル
    • TKIP : 暗号化通信の規格であるWEPの脆弱性に対応するために規定された暗号化プロトコル
  • 認証プロトコル : 無線LANの認証
    • EAP : PPPで認証できるように拡張した認証プロトコル
    • PEAP : 暗号化されたEAP認証プロトコル
    • EAP-FAST : Windows認証を使うことで証明書が不要なEAP認証プロトコル。RFC4851
    • EAP-TLS : TLSでクライアント認証とサーバ認証を行う認証プロトコル
    • EAP-TTLS : EAP-TLSに対してクライアント認証せずにユーザ名とパスワードで認証
    • IEEE 802.1x : イーサネット上で認証を行うための仕組み。RADIUSサーバと認証プロトコルにEAPを使う
    • RADIUS Federation : 複数のRADIUSサーバを結合して互いのユーザをアクセスできるようにする
  • 方式
    • PSK、エンタープライズ、オープンの違い :
      • アクセスポイントとの認証 (PSK)
      • アクセスポイントを経由して認証サーバと認証 (エンタープライズ)
      • 認証なしでアクセスポイントに接続可能 (オープン)
    • WPS (Wi-Fi Protected Setup) : 無線LAN設定を1クリックで設定する規格
    • キャプティブポータル : Wi-Fiでインターネットに接続する前に特定のWebページに強制的に遷移し、認証を行う方法
6.4 与えられたシナリオに基づいて、公開鍵インフラストラクチャを実装することができる。
  • コンポーネント
    • CA
    • 中間CA
    • CRL : 証明書失効リスト
    • OCSP : オンラインで公開鍵証明書の有効性を検証するプロトコル
    • CSR : 証明書署名要求。公開鍵や識別名を入れて認証局に送る
    • 証明書
    • 公開鍵
    • 秘密鍵
    • オブジェクト識別子(OID)
  • コンセプト
    • オンラインCAとオフラインCAの違い : 基本的にオンライン。特定用途だけの場合はオフライン
    • ステープリング : OCSPステープリング。OCSPプロトコルによる証明書の検証時間を短縮する
    • ピンニング : 特定の公開鍵ハッシュを一定期間記憶し、その期間は他の公開鍵ハッシュを無視する
    • 信頼モデル : 信頼できる第三者機関としての認証局
    • キーエスクロー : 鍵預託。秘密鍵を第三者に預けること
    • 証明書チェーン : 各証明書の認証パスをたどるとルートCAにたどり着くこと
  • 証明書の種類
    • ワイルドカード
    • SAN
    • コード署名
    • 自己署名
    • マシン/コンピューター
    • Eメール
    • ユーザー
    • ルート
    • ドメイン認証
    • EV(Extended validation)証明書
  • 証明書の形式
    • DER : DERでエンコーディングされた証明書の形式
    • PEM : 最も使用されている証明書ファイル形式
    • PFX : 中間証明書、サーバー証明書、および秘密鍵を含めることのできる形式 (Windows)
    • CER : DERでエンコーディングされた証明書の形式
    • P12 : 中間証明書、サーバー証明書、および秘密鍵を含めることのできる形式 (Windows)
    • P7B : 一つのファイルに複数の証明書を含めることができ、中間証明書も含めて配布することのできる形式 (Windows, Tomcat)

CompTIA Security+ 略語一覧

  • 3DES : Triple Digital Encryption Standard
  • AAA : Authentication, Authorization, and Accounting
  • ABAC : Attribute-based Access Control
  • ACL : Access Control List
  • AES : Advanced Encryption Standard
  • AES256 : Advanced Encryption Standards 256bit
  • AH : Authentication Header
  • ALE : Annualized Loss Expectancy
  • AP : Access Point
  • API : Application Programming Interface
  • APT : Advanced Persistent Threat
  • ARO : Annualized Rate of Occurrence
  • ARP : Address Resolution Protocol
  • ASLR : Address Space Layout Randomization
  • ASP : Application Service Provider
  • AUP : Acceptable Use Policy
  • AV : Antivirus
  • AV : Asset Value
  • BAC : Business Availability Center
  • BCP : Business Continuity Planning
  • BIA : Business Impact Analysis
  • BIOS : Basic Input/Output System
  • BPA : Business Partners Agreement
  • BPDU : Bridge Protocol Data Unit
  • BYOD : Bring Your Own Device
  • CA : Certificate Authority
  • CAC : Common Access Card
  • CAN : Controller Area Network
  • CAPTCHA : Completely Automated Public Turing
  • Test : to Tell Computers and Humans Apart
  • CAR : Corrective Action Report
  • CBC : Cipher Block Chaining
  • CCMP : Counter-Mode/CBC-Mac Protocol
  • CCTV : Closed-circuit Television : 監視カメラ/防犯カメラシステム
  • CER : Certificate
  • CER : Cross-over Error Rate
  • CERT : Computer Emergency Response Team
  • CFB : Cipher Feedback
  • CHAP : Challenge Handshake Authentication Protocol
  • CIO : Chief Information Officer
  • CIRT : Computer Incident Response Team
  • CMS : Content Management System
  • COOP : Continuity of Operations Plan
  • COPE : Corporate Owned, Personally Enabled
  • CP : Contingency Planning
  • CRC : Cyclical Redundancy Check
  • CRL : Certificate Revocation List
  • CSIRT : Computer Security Incident Response Team
  • CSO : Chief Security Officer
  • CSP : Cloud Service Provider
  • CSR : Certificate Signing Request
  • CSRF : Cross-site Request Forgery
  • CSU : Channel Service Unit
  • CTM : Counter-Mode
  • CTO : Chief Technology Officer
  • CTR : Counter
  • CYOD : Choose Your Own Device
  • DAC : Discretionary Access Control
  • DBA : Database Administrator
  • DDoS : Distributed Denial of Service
  • DEP : Data Execution Prevention
  • DER : Distinguished Encoding Rules
  • DES : Digital Encryption Standard
  • DFIR : Digital Forensics and Investigation Response
  • DHCP : Dynamic Host Configuration Protocol
  • DHE : Data-Handling Electronics
  • DHE : Diffie-Hellman Ephemeral
  • DLL : Dynamic Link Library
  • DLP : Data Loss Prevention
  • DMZ : Demilitarized Zone
  • DNAT : Destination Network Address Transaction
  • DNS : Domain Name Service (Server)
  • DoS : Denial of Service
  • DRP : Disaster Recovery Plan
  • DSA : Digital Signature Algorithm
  • DSL : Digital Subscriber Line
  • DSU : Data Service Unit
  • EAP : Extensible Authentication Protocol
  • ECB : Electronic Code Book
  • ECC : Elliptic Curve Cryptography
  • ECDHE : Elliptic Curve Diffie-Hellman Ephemeral
  • ECDSA : Elliptic Curve Digital Signature Algorithm
  • EFS : Encrypted File System
  • EMI : Electromagnetic Interference
  • EMP : Electro Magnetic Pulse
  • ERP : Enterprise Resource Planning
  • ESN : Electronic Serial Number
  • ESP : Encapsulated Security Payload
  • EF : Exposure Factor
  • FACL : File System Access Control List
  • FAR : False Acceptance Rate
  • FDE : Full Disk Encryption
  • FRR : False Rejection Rate
  • FTP : File Transfer Protocol
  • FTPS : Secured File Transfer Protocol
  • GCM : Galois Counter Mode
  • GPG : Gnu Privacy Guard
  • GPO : Group Policy Object
  • GPS : Global Positioning System
  • GPU : Graphic Processing Unit
  • GRE : Generic Routing Encapsulation
  • HA : High Availability
  • HDD : Hard Disk Drive
  • HIDS : Host-based Intrusion Detection System
  • HIPS : Host-based Intrusion Prevention System
  • HMAC : Hashed Message Authentication Code
  • HOTP : HMAC-based One-Time Password
  • HSM : Hardware Security Module
  • HTML : Hypertext Markup Language
  • HTTP : Hypertext Transfer Protocol
  • HTTPS : Hypertext Transfer Protocol over SSL/TLS
  • HVAC : Heating, Ventilation and Air Conditioning
  • IaaS : Infrastructure as a Service
  • ICMP : Internet Control Message Protocol
  • ICS : Industrial Control Systems
  • ID : Identification
  • IDEA : International Data Encryption Algorithm
  • IDF : Intermediate Distribution Frame
  • IdP : Identity Provider
  • IDS : Intrusion Detection System
  • IEEE : Institute of Electrical and Electronic Engineers
  • IIS : Internet Information System
  • IKE : Internet Key Exchange
  • IM : Instant Messaging
  • IMAP4 : Internet Message Access Protocol v4
  • IoT : Internet of Things
  • IP : Internet Protocol
  • IPSec : Internet Protocol Security
  • IR : Incident Response
  • IR : Infrared
  • IRC : Internet Relay Chat
  • IRP : Incident Response Plan
  • ISA : Interconnection Security Agreement
  • ISP : Internet Service Provider
  • ISSO : Information Systems Security Officer
  • ITCP : IT Contingency Plan
  • IV : Initialization Vector
  • KDC : Key Distribution Center
  • KEK : Key Encryption Key
  • L2TP : Layer 2 Tunneling Protocol
  • LAN : Local Area Network
  • LDAP : Lightweight Directory Access Protocol
  • LEAP : Lightweight Extensible Authentication Protocol
  • MaaS : Monitoring as a Service
  • MAC : Mandatory Access Control
  • MAC : Media Access Control
  • MAC : Message Authentication Code
  • MAN : Metropolitan Area Network
  • MBR : Master Boot Record
  • MD5 : Message Digest 5
  • MDF : Main Distribution Frame
  • MDM : Mobile Device Management
  • MFA : Multi-Factor Authentication
  • MFD : Multi-function Device
  • MITM : Man-in-the-Middle
  • MMS : Multimedia Message Service
  • MOA : Memorandum of Agreement
  • MOU : Memorandum of Understanding
  • MPLS : Multi-protocol Label Switching
  • MSCHAP : Microsoft Challenge Handshake Authentication Protocol
  • MSP : Managed Service Provider
  • MTBF : Mean Time Between Failures
  • MTTF : Mean Time to Failure
  • MTTR : Mean Time to Recover or Mean Time to Repair
  • MTU : Maximum Transmission Unit
  • NAC : Network Access Control
  • NAT : Network Address Translation
  • NDA : Non-disclosure Agreement
  • NFC : Near Field Communication
  • NGAC : Next Generation Access Control
  • NIDS : Network-based Intrusion Detection System
  • NIPS : Network-based Intrusion Prevention System
  • NIST : National Institute of Standards & Technology
  • NTFS : New Technology File System
  • NTLM : New Technology LAN Manager
  • NTP : Network Time Protocol
  • OAUTH : Open Authorization
  • OCSP : Online Certificate Status Protocol
  • OID : Object Identifier
  • OS : Operating System
  • OTA : Over The Air
  • OVAL : Open Vulnerability Assessment Language
  • P12 : PKCS #12
  • P2P : Peer to Peer
  • PaaS : Platform as a Service
  • PAC : Proxy Auto Configuration
  • PAM : Pluggable Authentication Modules
  • PAP : Password Authentication Protocol
  • PAT : Port Address Translation
  • PBKDF2 : Password-based Key Derivation Function 2
  • PBX : Private Branch Exchange
  • PCAP : Packet Capture
  • PEAP : Protected Extensible Authentication Protocol
  • PED : Personal Electronic Device
  • PEM : Privacy-enhanced Electronic Mail
  • PFS : Perfect Forward Secrecy
  • PFX : Personal Exchange Format
  • PGP : Pretty Good Privacy
  • PHI : Personal Health Information
  • PII : Personally Identifiable Information
  • PIV : Personal Identity Verification
  • PKI : Public Key Infrastructure
  • POODLE : Padding Oracle on Downgrade Legacy Encryption
  • POP : Post Office Protocol
  • POTS : Plain Old Telephone Service
  • PPP : Point-to-Point Protocol
  • PPTP : Point-to-Point Tunneling Protocol
  • PSK : Pre-shared Key
  • PTZ : Pan-Tilt-Zoom
  • RA : Recovery Agent
  • RA : Registration Authority
  • RAD : Rapid Application Development
  • RADIUS : Remote Authentication Dial-in User Server
  • RAID : Redundant Array of Inexpensive Disks
  • RAS : Remote Access Server
  • RAT : Remote Access Trojan
  • RBAC : Role-based Access Control
  • RBAC : Rule-based Access Control
  • RC4 : Rivest Cipher version 4
  • RDP : Remote Desktop Protocol
  • RFID : Radio Frequency Identifier
  • RIPEMD : RACE Integrity Primitives Evaluation Message Digest
  • ROI : Return on Investment
  • RMF : Risk Management Framework
  • RPO : Recovery Point Objective
  • RSA : Rivest, Shamir, & Adleman
  • RTBH : Remotely Triggered Black Hole
  • RTO : Recovery Time Objective
  • RTOS : Real-time Operating System
  • RTP : Real-time Transport Protocol
  • S/MIME : Secure/Multipurpose Internet Mail Extensions
  • SaaS : Software as a Service
  • SAML : Security Assertions Markup Language
  • SAN : Storage Area Network
  • SAN : Subject Alternative Name
  • SCADA : System Control and Data Acquisition
  • SCAP : Security Content Automation Protocol
  • SCEP : Simple Certificate Enrollment Protocol
  • SCP : Secure Copy
  • SCSI : Small Computer System Interface
  • SDK : Software Development Kit
  • SDLC : Software Development Life Cycle : ソフトウェア開発ライフサイクル
  • SDLM : Software Development Life Cycle Methodology
  • SDN : Software Defined Network
  • SED : Self-encrypting Drive
  • SEH : Structured Exception Handler
  • SFTP : Secured File Transfer Protocol
  • SHA : Secure Hashing Algorithm
  • SHTTP : Secure Hypertext Transfer Protocol
  • SIEM : Security Information and Event Management
  • SIM : Subscriber Identity Module
  • SLA : Service Level Agreement
  • SLE : Single Loss Expectancy
  • SMB : Server Message Block
  • SMS : Short Message Service
  • SMTP : Simple Mail Transfer Protocol
  • SMTPS : Simple Mail Transfer Protocol Secure
  • SNMP : Simple Network Management Protocol
  • SOAP : Simple Object Access Protocol
  • SoC : System on Chip
  • SPF : Sender Policy Framework
  • SPIM : Spam over Internet Messaging
  • SPoF : Single Point of Failure
  • SQL : Structured Query Language
  • SRTP : Secure Real-Time Protocol
  • SSD : Solid State Drive
  • SSH : Secure Shell
  • SSID : Service Set Identifier
  • SSL : Secure Sockets Layer
  • SSO : Single Sign-on
  • STP : Shielded Twisted Pair
  • TACACS+ : Terminal Access Controller Access Control System Plus
  • TCP/IP : Transmission Control Protocol/Internet Protocol
  • TGT : Ticket Granting Ticket
  • TKIP : Temporal Key Integrity Protocol
  • TLS : Transport Layer Security
  • TOTP : Time-based One-time Password
  • TPM : Trusted Platform Module
  • TSIG : Transaction Signature
  • UAT : User Acceptance Testing
  • UAV : Unmanned Aerial Vehicle
  • UDP : User Datagram Protocol
  • UEFI : Unified Extensible Firmware Interface
  • UPS : Uninterruptable Power Supply
  • URI : Uniform Resource Identifier
  • URL : Universal Resource Locator
  • USB : Universal Serial Bus
  • USB OTG : USB On The Go
  • UTM : Unified Threat Management
  • UTP : Unshielded Twisted Pair
  • VDE : Virtual Desktop Environment
  • VDI : Virtual Desktop Infrastructure
  • VLAN : Virtual Local Area Network
  • VLSM : Variable Length Subnet Masking
  • VM : Virtual Machine
  • VoIP : Voice over IP
  • VPN : Virtual Private Network
  • VTC : Video Teleconferencing
  • WAF : Web Application Firewall
  • WAP : Wireless Access Point
  • WEP : Wired Equivalent Privacy
  • WIDS : Wireless Intrusion Detection System
  • WIPS : Wireless Intrusion Prevention System
  • WORM : Write Once Read Many
  • WPA : Wi-Fi Protected Access
  • WPA2 : Wi-Fi Protected Access 2
  • WPS : Wi-Fi Protected Setup
  • WTLS : Wireless TLS
  • XML : Extensible Markup Language
  • XOR : Exclusive Or
  • XSRF : Cross-site Request Forgery
  • XSS : Cross-site Scripting