ITと哲学と

IT系エンジニアによる技術と哲学のお話。

情報セキュリティマネジメント試験を受けてきた(本番編〜その4)

OECDプライバシーガイドラインについて

下記のガイドラインについての内容。 課外授業 プライバシー保護のあれこれ|プライバシーマーク制度 講座|よくわかる プライバシーマーク制度

原則名と説明が正しく対応しているものを選ぶ問題。

個人情報の定義について

個人を特定できる情報が個人情報であるという大原則を覚えておけばとける。 公表されていようがいまいが、個人情報になるので注意が必要。 営業機密とかあそこらへんと混同して覚えているとひっかかるかも。

電子計算機破壊等業務妨害について

「破壊等」なのでそれに合致しそうな内容が正解。 商標保護に違反したら商標違反で、不正な利益を得たら詐欺になると思われます。 Webサイトの複製は著作権法侵害になるんですかね??

スパムメールの定義について

送信することに承諾を得られていない状態で不特定多数の人にメールを送ったらそれはスパムメールになります。 あらかじめ承諾を取っていれば製品の広告メールだろうがなんだろうが送ることは可能です。 もちろん、承諾時に提示した目的に合致していることが必要。

不正競争防止法によって保護されるもの

営業秘密が保護されるので、営業秘密に当たるものを選ぶ。 自然法則を利用した云々は特許にあたる。 プログラム著作物は著作権で保護されます。

請負契約について

請負契約では契約先に指揮命令権などはありません。 雇用者が従業員を指揮命令して仕事をさせます。 雇用者は成果を契約先企業にコミットします。

監査について

コントロールの監査という点がポイントになると思われる。 というかそもそもこの中で指摘になりそうなものは1つしかないので、それが正解ですね。

守秘義務についての監査

雇用終了に伴って守秘義務が解消されるとした場合、雇用終了したとたんに秘密が漏れることになるのでこれは監査での指摘事項になるでしょう。

情報セキュリティ監査基準に基づく監査対象について

監査対象は情報システムではなく、情報資産そのものであり、情報資産とは単にコンピューター上のデータのみを示すわけではありません。 紙に書かれた情報も情報資産たりえるので、そちらも監査の対象に入ることから、コンピューターが無い部署であっても監査対象になります。

SLAについて

サービスレベルアグリーメントというもので、サービスやサービス目標を定義し、顧客と提供者側で合意がとれたもののことをSLAといいます。

情報セキュリティマネジメント試験を受けてきた(本番編〜その3)

クロスサイトスクリプティングについて

不正なスクリプトを実行させる攻撃のことを指す。

入力項目に入れる値を工夫して、DBに命令をうまいこと送る攻撃はSQLインジェクションだし、 大量のパケットを送り付けてネットワークトラフィックを高める攻撃はDos攻撃のコネクションフロッド攻撃。 メモリの上限を超えさせて不正なコードを実行させる攻撃はバッファオーバーフロー攻撃です。

クリックジャッキング攻撃について

とあるWebサイトAに薄皮Bを被せて、あたかもAを操作しているように思わせながらも実はBを走査させているという攻撃をクリックジャッキングという。

ディジタル署名で実現可能なことについて

文章ファイルとそのファイルのディジタル署名を同時におくることで、受け取った側は改ざんされていないことと、送信者が正しいことを確認できる。

受信者はディジタル署名を送信者の公開鍵で開けることで、元の文章ファイルのハッシュ値を手に入れることが出来ます。 それを、受信した文章ファイルをハッシュ化したものと比べます。

等しければ、送信者の公開鍵で正しくディジタル署名が開けたことになるので、このディジタル署名は送信者の秘密鍵で署名されたことが証明でき、 送信者が正しいことが確認できます。 また、ハッシュ値が正しいので途中でファイルが改ざんされていないことも確認できます。

CAの役割について

CAは認証局であり、ディジタル署名を発行する役割を持ちます。 署名の管理やパスワード管理を行う機関はありませんし、CAが秘密鍵を受け取ることもありません。

ドライブバイダウンロードについて

感染者の端末上で、勝手に変なファイルをダウンロードしてくるウイルスをドライブバイダウンロード型といいます。 勝手にPCを暗号化して、解凍のためにパスワードの購入を促してくるウイルスはランサムウェアと呼ばれ、最近流行っています。

パスワードリスト攻撃について

どっかのサイトで得られたパスワードとIDのリストをもとに、別のサイトでのログインを試みる攻撃のこと。 AサービスとBサービスでパスワードを使いまわしている際に、AサービスでIDパスワードが漏れ、それを使ってBサービスに侵入されてしまう攻撃です。 だから、パスワードは使いまわしてはいけないわけですね。

ちなみに、辞書に基づいた攻撃を辞書攻撃、総当たりをブルートフォース攻撃といいます。 パスワード側の総当たりをパスワードブルートフォースとも言ったりします。

バックドアについて

バックドアとは、一度侵入に成功した攻撃者が、再度侵入するために経路を確保しておくことです。

IPSecアルゴリズム

IPSecは共通鍵を用いてIPパケット単位で秘匿したり改ざん防止したりする。

ポートスキャンの目的

攻撃できる脆弱性がないかを攻撃者が探す行為がポートスキャン。 攻撃のための下ごしらえみたいなこと。

公開鍵暗号

公開鍵暗号化のアルゴリズムの理解は試験に合格するために必須だと思います。 簡単に言うと、公開鍵と秘密鍵という2つセットになった鍵を使い分けて暗号化する方式です。

公開鍵はその名の公開される鍵で全ての人が全ての人の公開鍵を見ることが出来ます。 対して秘密鍵は絶対に他人には見せない鍵で、自分しか知らない鍵です。

内緒にしたい事柄を、受信者が公開している公開鍵で暗号化して、暗号化した内容を誰でも見ることができる場所に置いておきます。 だれでも暗号化された内容を見ることはできますが、そこから暗号を解除するためには、暗号化する公開鍵と対になる秘密鍵を使って解除する必要があります。 受信者の公開鍵で暗号化したので、受信者の秘密鍵でのみ解除することが出来るわけです。

そのため、暗号化したデータをみんなが見れる場所に置いてあっても、解除できる人は受信者のみなので、セキュアな通信が出来るわけです。

情報セキュリティマネジメント試験を受けてきた(本番編〜その2)

BYODセキュリティリスクについて

BYODは従業員が私的に保有する端末を持ち込んで業務に利用することを指す。 これはセキュリティ設定などが所有者個人に任された場合にセキュリティリスクになる

IDSの説明

IDSとはサーバやネットワークへの侵入を検知するシステムのこと。

WAFの説明

SQLインジェクションなどの悪意のある通信を遮断するためのアプリケーションに設定できるファイアウォールをWAFという

マルウェア対策

PCの修正パッチは常に最新にしておく必要がある。 ウイルス手動検索では、前回実行より後に出来たファイルだけではなく、常に全てのファイルを検索する必要がある。 ウイルス定義ファイルが更新されたことにより、前回実行時には検知できなかったウイルスを新たに検出できるようになっている可能性があるから。 また、TCPポートはメールの添付ファイルのダウンロードには使用されないので、これを塞いでもメールに添付されるマルウェアを防ぐことはできない。

システム管理者の不正を防ぐための施策

システム管理者はその職務から一般的な利用者に比べてシステムへの権限が広いため不正を行うことが容易になるし、管理者の不正は気が付かれにくい。 この管理者の不正を防ぐためには本人以外の監視者を設ける必要がある。

デジタルフォレンジックにおけるハッシュ値の目的

ハッシュ値は文字列から導出される値であり、文字列が異なればハッシュ値も全く別の値になる。 逆に言えば、ある2つの文字列から導出されるハッシュ値が等しければ、その文字列は等しいと言える。

証拠となりうる原本のハッシュ値をあらかじめ取得しておき、複製のハッシュ値を計算して比較するとその同一性が検証できる。 もしもハッシュ値が異なっている場合は原本からのコピー後に複製が改ざんされていることを示唆する。

PCの磁気ディスク廃棄方法について

PC上でデータを削除しても復旧することが可能である。 廃棄する際には第三者に拾われて復旧されることを防ぐためにランダムなビット列でディスク上のデータをすべて上書きする必要がある。

2要素認証について

全くべつのもので認証を行う必要がある。 虹彩と指紋は一人の人間が同一に持っているものなので2つの要素にはならない。

APTの説明

APTは高度で執拗な攻撃のことを指す。 プロ仕様な感じ。

HDDのセキュリティ

HDDの起動自体にパスワードを設定することができる。 これを行っておけば第三者がHDDを取得できたところで、パスワードの認証が通らずにアクセスできない。

全部解説しようとすると長いなこれ。。。

情報セキュリティマネジメント試験を受けてきた(本番編〜その1)

情報セキュリティマネジメント試験を受けてきました。 手元に実際の問題もあることですし、復習も兼ねて解説でも地味にしていこうかと思います。

午前問題は全部で50問で、すべて4択です。 午後問題は大問が3問で、選択式です。

午後問題は長いので思い出したくないので、スルーしようと思う。 あっている保証はないです。

CSIRTとは何か?

事前準備で見たことのある問題でした。 4つの説明の中からCSIRTを示しているものを選択する問題。

情報セキュリティインシデントへの調査対応を行う、組織内に設置された機関で、他組織のCSIRTと連携する。 的なのが答え。

情報セキュリティ対策のクリアデスクとは何か?

席を離れる際には情報を机の上や周りから片付けて他の人に見られないようにしましょうねって内容。 ロックスクリーンとはまた別の対策。

情報セキュリティ監査についての問題

問題文に説明が書かれており、その説明が何を示すかを選択する問題。 選択肢は他には

がある。 それぞれを理解しておけば消去法で導くこともできる。

モバイル機器の紛失を想定した情報漏洩対策について

モバイル機器を「紛失」した際に有効なセキュリティ対策を回答する問題。 紛失した機器が他人の手に渡った場合にどんな対策をすればいいかを考えれば良い。 選択肢1つ1つはセキュリティ的に妥当性のある内容であるが、紛失時に有効なものは?を問う問題。 リモートワイプが正解であろう。

リスク受容プロセスにおいて求められること

リスク受容については、リスク所有者が承認することが必要になる。 他の選択肢は誤り。 受容したリスクもモニタリングやレビューの対象に、もちろんなる。リスクの大きさや状況が変わる可能性があるので。 また、リスク分析の前にリスク対応の一種であるリスク受容は行えない。

情報セキュリティ方針の取り扱いについて

情報セキュリティ方針は社内の関係者並びに外部関係者にも通知する必要がある。 機密情報として管理しないといけないようなものではなく広く知ってもらうべきものである。

組織における内部不正防止ガイドラインに記載されたセキュリティ対策について

コンテンツフィルタはセキュリティを向上させるために有効である。 メールの私用アドレスの転送やウイルス対策ソフトの無効化、従業員判断のソフトウェアインストールは行うべきではない。

特権的アクセス権とは?

通常与えられる権限ではなく、管理者に与えられる権限のこと。

不正のトライアングル理論について

不正のトライアングル理論における3要素とは何かを問う問題。 機会・動機・正当化

組織における内部不正防止ガイドラインに記載された内部不正早期発見のための適切な行動について

内部不正発生を知るためにはアクセスログを単に取得するだけではなく、不正なアクセスがないかを定期的に確認する必要がある。

情報セキュリティマネジメント試験を受けてきた(事前準備編)

仕事柄セキュリティに携わっていることもあり、基本情報処理技術者試験などを行っているIAPから今年新設された「情報セキュリティマネジメント試験」なるものを受けてきました。

受験地は大阪の電気通信大で結構な人数が受けていました。 なんとなーく周りの人たちの参考書をチラチラ覗いていましたが、これを使っている人が結構多かった印象です。

結果はまだ出ていませんが午前問題は結構簡単でした。午後問題は問題が長く結構苦戦しましたが、まあ大丈夫だと思います。 ので、受かってるんじゃないですかね?と思っています。 結果はまた更新するとして、ここではどんな事前準備をしたかを残したいと思います。

回答がなんか見つかったぽいので自己採点してみた 午前が46/50で午後が31/32だった。

事前準備

下記2種類の参考書を読み、下記1種類の問題集を解きました。

情報処理教科書 情報セキュリティマネジメント 要点整理&予想問題集

まずはこれを読みました。 要点がぎゅっとまとめられており、1テーマごとにとても短くまとまっているので、読みやすいです。

ただその分、少し不親切な印象は受けました。 正直これ一冊だと必要な知識は網羅できないかもしれないと感じています。

が、ある程度セキュリティ関係に知識がある人であれば試験で求められていることのアウトラインが簡単にわかりますのでそういう方々にはオススメです。

(PDF・スマホ単語帳付)徹底攻略 情報セキュリティマネジメント教科書 平成28年度(2016年度)

上記の本で得られる知識の深さに懸念を感じていたので、次にこの教科書を読みました。

書かれている内容の濃さ的にはかなり濃いように感じます。 本試験に合格する上で必要不可欠な知識よりは上かな?と感じました。 ゼロからでも時間をかければセキュリティを理解して本試験に合格することができる参考書だと感じました。

が、前述の参考書に比べるとかなり分厚いし、時間がかかります。

あ、ちなみにPDFとかスマホ単語帳は別に使いませんでした。 単語帳で勉強できたら便利かなーとか思ってましたが、なんかこう、単語と意味をガチッと一致させて丸暗記する的なのはあんまり合わないかなと感じました。 午後問題では知識を使って実践的な回答を考える必要があるので、丸暗記では対処が難しく、その背景や意味を理解しておく必要があるからです。

(PDF・スマホ単語帳付)徹底攻略 情報セキュリティマネジメント予想問題集 ベテラン講師が徹底分析!

最後にこの問題集の午前問題を試験前日に解きました。

この時点でほぼ間違えることもなかったので、最終確認的な感じでした。 が、結構実際のテストと近かったと思います。 最終確認にはいいかもしれません。

午後問題は、文章問題読むのがめんどくさすぎて、参考書の付録の1問を解いたくらいで、問題集の方も解きませんでした。 まあ、そのせいで本番で結構苦労したんですけどね。

オススメ勉強法

まずは「情報処理教科書 情報セキュリティマネジメント 要点整理&予想問題集」を読み、ざっくりとしすぎていてなんかイマイチつかめないなーと思いながらもアウトラインをはっきりさせます。これによってある程度下地が出来た状態になるので「(PDF・スマホ単語帳付)徹底攻略 情報セキュリティマネジメント教科書 平成28年度(2016年度) 」を読んでその知識を深堀ります。可能であれば問題集を解いておいてもいいかもしれません。

そんな感じできっと合格できてるんじゃないかなーと思える試験後感を得ました。

5/22追記

受かってました!よかったよかった

AWSの認定試験2つ取ってみた

仕事上AWSを使うことが増えており、どうせなのでお勉強がてら資格を取ってみた。

Solution architect associate

とりあえずAWSのサービスでどんなものがあって、どんなことができるかはすべて押さえてみた。 サービスの名前と、それらがどんなことを叶えてくれるのかが1行で説明できるようなレベルでまずは浅〜くお勉強した。

そのあとはデザインパターン本(設計と実装)を読んででてきたサービスについてホワイトペーパーを読んで自分なりにまとめた。 さらにAmazon Web Services パターン別構築・運用ガイドも最後まで目を通した。

で、模擬試験を一旦受けてみたところ6割くらいで不合格。。。

VPCやEC2の深い部分への理解が足りていなかったのでそこら辺を再度洗い直した。

合格したのは1/29だった。

Amazon Web Services パターン別構築・運用ガイド

Amazon Web Services パターン別構築・運用ガイド

Amazon Web Services クラウドデザインパターン設計ガイド 改訂版

Amazon Web Services クラウドデザインパターン設計ガイド 改訂版

Amazon Web Services クラウドデザインパターン実装ガイド 改訂版

Amazon Web Services クラウドデザインパターン実装ガイド 改訂版

Developer associate

こちらは本やホワイトペーパーでの学習は行わなかった。

ちょうど英語の勉強をしていること、Udemyが大幅なディスカウントをしていたこともあってこれを受講した。

www.udemy.com

10時間くらいの動画講義だったので朝ちょっと早く会社に行って動画見てというのをちまちま積み重ねてお勉強してみた。 最後まで通して見て、模擬試験を受けたところ9割ほど取れていたので、速攻で予約して受験した。

結果3/12に89%で合格することができた。

日本語ではこういう動画見つけられなかったので英語できると色々と捗るなと感じた。

次は今年新しく始まる情報セキュリティマネジメント資格を取って、それからSysAdminを受けようと思う。

AWS Cloud Roadshow

KeyNote1 普及期に来たクラウド。安心して企業に導入するためのポイント

去年は大阪で1000人のエントリ。今回は1300人を超えるエントリ。

クラウドとはIT利用の新しい形

キャズムを超えて普及期に入ったAWS=>2014年時点で25%の企業が利用中

Amazonのサービスを以下の観点から支えるために生まれたのがAWS

  • スケール
  • スピード
  • UX

AWSと同じことはやろうと思えば自前でもできる。 でも皆さんのやりたいことはそんなことじゃないはず。=>「価値をお客様に届ける」ことにAWSの顧客を集中させる

クラウドに踏み出せない方々の声

ICT白書によるとクラウドサービスを利用しない理由として以下の3つがよく挙げられる。

  • 必要がない(今のままで回ってるし業務)
  • セキュリティに不安(どうなの?)
  • クラウドへの移行コスト(どうなの?)

必要がないと思う人たちへ

2つのアプローチでAWSの利用を促進している。

カイゼン的アプローチ

御社のITを楽に早く安く実現できますよ

イノベーション的アプローチ

今までできなかったことができるようになりますよ

例えばソラコム

ソラコムはAWSを使ってフルクラウドな通信事業基盤を作っているので、他の通信事業者よりも格安なSIMが提供できている。 =>AWSを使うことで安くサービスが提供できるようになった。

セキュリティに不安を感じている人たちへ

導入後企業の多くがクラウド化することでセキュリティが向上するという感想を持つことが多いことがアンケートで分かっている。

なぜ?

災害対応などのために冗長化は必須だが自社でやろうとすると複数のDC契約して、それぞれを管理するというのはとっても面倒だし大変。

脆弱性対応のパッチをAWSのエンジニアが当ててくれるので早期対応ができ、自分でやる必要がない。

第三者認証もこれだけのものを自社で取得するのは大変だ。

移行コストが大変と思っている人たちへ

VPCを使って閉域網を構築できるし、専用物理サーバーを提供することもAWSではできるようになった。 すぐに試せる仕組みがあるので、とりあえず試してみましょうよ。

AWSのソリューションアーキテクトや多数のパートナーがお手伝いできます。

最後に

なぜクラウドにするとコストが下がるのか?

Sony銀行の公開している資料で詳しく説明がされているのでオススメ。

クラウドは失敗のコストを低減できる

オンプレミスでハードウェア買ってとかやってたら失敗した時に大きな損失につながる。

クラウドであれば最小限のコストで済む。

失敗のコストが下がれば挑戦のコストが下がるのでビジネスを加速させることができる!