アットウィキロゴ
学習帳@Wiki
掲示板 掲示板 ページ検索 ページ検索 メニュー メニュー

学習帳@Wiki

セキュリティ分野

最終更新:

Bot(ページ名リンク)

- view
管理者のみ編集可
  1. 暗号化技術
  2. セキュリティ通信機器
  3. ファイアウォール
  4. アクセス管理
  5. コンピュータウイルス
  6. 文字コードの種類
  7. ガイドラインと法制度
  8. 標準圧縮形式
  9. 文章の標準化

暗号化技術


暗号化とは、インターネット上を流れる情報に対する不正行為を防止するために開発された技術のひとつです。さまざまな不正から情報を守るため、多くの方式や応用技術が考え出されています。元の情報(平文)の意味がわからないように変換することを暗号化、暗号化された情報(暗号文)を元に戻すことを復号といいます。

①共通(秘密)かぎ暗号方式

暗号化と復号に同一のかぎを用いる方式です。送信者と受信者が共有する1つのかぎを、第三者に知られないよう保持し、それを用いて暗号化と復号を行います。この方式で多数の相手とやり取りするためには、別々のかぎを必要とするため管理が困難です。

②公開かぎ暗号方式

暗号化かぎと復号かぎが異なり、一方のかぎを公開(公開かぎ)し、もう一方のかぎはかぎを作った本人のみが持つ秘密(秘密かぎ)にしておく方式です。「公開かぎで暗号化した暗号文は、対となる秘密かぎでのみ復号が可能」で、逆に「秘密かぎで暗号化した暗号文は、対となる公開かぎのみ復号が可能」になります。オンラインショップなど、複数の相手に対してデータのやり取りを行う際に有効です。

Q&A

「非常に大きな数は素因数分解することが困難である」という特性を利用した暗号方式はどれか。
  • 共通かぎ暗号
  • 公開かぎ暗号
  • 電子署名(ディジタル署名)
  • 認証局(CA:Certificate Authority)

解説

正解:公開かぎ暗号
共通かぎ暗号
1つのかぎで暗号と復号を行う方式。送信者が共通かぎで暗号化したデータを、受信者もおなじかぎで復号する。代表的なものにDESがある。かぎのサイズは56ビットで暗号処理を16段繰り返す。
公開かぎ方式
暗号化のかぎと復号のかぎが異なる方式。送信者は、まず受信者の公開かぎを手に入れ、次にその公開かぎを使って暗号化して送信する。一方受信者は、自分だけが持つ秘密かぎを使って復号する。代表的なRSAは、復号かぎがわかっていないと大きな数の素因数分解が必要であり、その計算時間が膨大になることを利用して安全性を保っている。
電子署名(ディジタル署名)
公開かぎ暗号方式のかぎを逆に使うことで実現される技術。送信者の秘密かぎで暗号化し、送信者の公開かぎで復号する。暗号化としては意味を持たないが、受信者が送信者の公開かぎで復号できたということは、暗号化を行ったのが対になる秘密かぎを持った者であること、また送信の途中で改ざんがなかったことが証明される。
認証局(CA:Certificate Authority)
Webページや電子メールなどについて、現実に存在する組織や個人が作成したことを証明する電子的な電子証明書(ディジタル証明書)を発行する機関。認証局が発行した送信者のディジタル証明書に含まれている公開かぎを使うことで、証明された送信者本人から送られたものであることを確認できるため、なりすましを防止できる。

セキュリティ通信機器


電子メールやWebブラウザを利用したデータのやり取りには、さまざまな不正に対する防衛策を考えておかなければなりません。現在では電子署名やセキュリティプロトコルを利用した不正アクセス対策が常識といえるでしょう。

①電子的なやり取りに対する不正とは

盗聴
情報を不正に入手すること。メールを盗み読む行為など。
なりすまし
他人のIDやパスワードを使ってネットワークシステムに入ったり、他人になりすましてデータ送信を行うこと。受信者は本来送られていない情報うあ不正な情報を受け取ることになる。
改ざん
元の情報を不正に書き換えること。発信者が送った情報とは異なる情報が受信者に送られてしまう。
窃取
メールなどの情報を盗み取ること。正当な受信者には情報が届かないことになる。

②SSL(Secure Sockets Layer)

ネットスケープコミュニケーションズ社が提供するセキュリティ機能で、HTTP、SMTP、FTP、NNTPなど上位のプロトコルに共通のセキュリティ機能(暗号化や電子署名など)を提供します。例えば、インターネット経由で、Webサーバにアクセスして商取引をしたいときにサーバ提供者の信頼性を確認することができます。

Q&A

電子メールのやり取りの際、メールの内容の機密性を高めるために用いられるプロトコルはどれか。
  • S/MIME
  • WEP
  • HTTPS
  • IMAP4
  • VPN(Vertual Private Network)

解説

正解:S/MIME
S/MIME
電子メールの送受信のときにメッセージを暗号化したり電子署名を施すことで、盗用や改ざんを防止するプロトコル。電子メールでマルチメディアデータを送受信するMIMEプロトコルにセキュリティ機能を追加した規格。
WEP
無線LANにおいて、アクセスポイントと無線LANカードの電波による通信を暗号化してセキュリティを確保する規格。さらに安全性の高い方式にWPAがある。ユーザ側では接続時にパスワードを入力する。
HTTPS
Webによるやり取りに用いるHTTPプロトコルに、暗号化機能を持たせたもの。サーバとクライアントとのやり取りに利用される。主要なWebブラウザに含まれており、使用時にはhttps://~と表示される。上位プロトコルに共通の暗号化機能を提供するSSLを利用している。
IMAP4
メールサーバからメールを読み出すためのプロトコル。メールの中から読みたいものだけを取り出せるなど、使いやすいコマンドが用意されている。例えば、迷惑メールを取り込まずサーバ側で消去できる。
VPN(Vertual Private Network)
インターネットを使って構築した仮想的な専用ネットワーク。企業間や取引先のみが利用でき、安全な通信を可能しする。コストのかかる専用線の代替になるインフラとして、企業を中心に浸透している。

ファイアウォール


社内LANをインターネットなど外部ネットワークからの攻撃や不正侵入から守るための仕組みをファイアウォールと呼びます。具体的な方法としては、パケットフィルタリングやアプリケーションゲートウェイが使われています。

①パケットフィルタリング

送信するデータが納められている通信パケットに含まれる情報を手がかりに、不正なデータを通過させないように設定する方法です。
例えば、IPヘッダ情報を見て通信を行おうとしているコンピュータを特定し、ポート番号を見てアプリケーションを特定できるため、「取引先からの」、「メールサーバへの要求」といった判断ができます。

②アプリケーションゲートウェイ

通信パケットのヘッダ情報を見るだけでなく、アプリケーションのレベルまで確認して許可/不許可の判断を行う方法です。具体的には、社内LANとインターネットの間にProxyサーバを設置し、インターネットのやり取りは、全てProxyサーバを通して行うことでデータの内容を確認します。例えば、LANの内部から外部への接続要求があると、クライアントに代わってやり取りし、要求元に結果を戻します。

Q&A

ファイアウォールの機能のうち、特定のTCPポートを持ったパケットだけに、インターネットから内部ネットワークへの通過を許すものはどれか。
  • パケットフィルタリング
  • アプリケーションゲートウェイ
  • プロキシサーバ
  • RAS(Remote Access Service)

解説

正解:パケットフィルタリング
パケットフィルタリング
パケットに含まれる情報を手がかりに、不正なパケットを通過させない機能。パケットには、送信元IPアドレス、宛先IPアドレス、使用するプロトコルを特定するポート番号などの情報が含まれており、これらをもとに、ルータ内のフィルタリングテーブルで、パケットの通過または廃棄条件の設定を行う。
:アプリケーションゲートウェイ社内LANとインターネットの間にプロキシ(代理)サーバを設置し、インターネットとのやり取りをプロキシサーバを通して行う方法。
プロキシサーバ
クライアントのIPアドレスの代わりに自分自身のIPアドレスを用いて要求を出すサーバ。外部ネットワークから見た場合、内部のネットワーク内を隠ぺいできるため、セキュリティの向上に役立つ。また、Webサーバへアクセスでは、データをキャッシュに保存しておき、次回以降のアクセスにはこれを利用することで、Webへのアクセスを高速化できる。
RAS(Remote Access Service)
客先から社内のデータベースにアクセスして資料を見たいときなど、ネットワークに外部からのアクセスを受け付けるサーバまたはサーバソフトウェア。外部から接続するには、ダイヤルアップ(電話をかけて回線を接続すること)でRASサーバに接続し、RASサーバは正規のユーザかどうかを確認して、社内LANに接続する。

アクセス管理


正当なユーザ(利用者)以外の人に不正にシステムを利用されないよう、ユーザを識別・管理することをユーザ管理といいます。一般に、ユーザを識別するユーザIDと正当なユーザ本人であることを認証するためのパスワードが用いられます。

①ユーザIDとパスワードの管理

コンピュータは、ユーザIDやパスワードが、記憶している情報と一致すれば、利用許可を与えてしまいます。したがって、ユーザの一人ひとりがパスワードを第三者に知られないように管理するとともに、システムに保管してあるこれらのデータが盗まれないような対策が重要です。
このようなユーザIDやパスワードに関する取り扱いの基準を定めたものに「コンピュータ不正アクセス基準」があります。

②アクセス管理(アクセスコントロール)

多くの人が同で使用するファイルやデータベースは、機密情報を見られたり、重要なデータが書き換えられたりすることを防がなくてはなりません。実際の方法としては、ユーザごとに、システムやファイルの使用権限、例えば「読み書き可能」、「読出しのみ可能」、「アクセス不可」などのアクセス権を設定します。また、コンピュータルームへの入退出管理など人的なものまで含めます。

Q&A

アクセス権を持つ端末であることを確認するため、回線を一端切り、システム側から再発信してから通信を開始する方法はどれか。
  • ワンタイムパスワード
  • コールバック
  • アクセスログ
  • セキュリティホール

解説

正解:コールバック
ワンタイムパスワード
利用者の認証のために使うパスワードを毎回変更する方法。あらかじめ定められたクライアントとサーバで同じパスワード生成ルーチンを走らせ、双方のパスワードが一致すればログインを許可する。これにより、部外者がパスワードを盗んで不正アクセスすることを防止できる。
コールバック
利用者からのログイン時、いったん通信回線を切り放し、通信相手の確認をとるために、受信側から登録名に対応する電話番号で端末に接続し直す方式。情報処理システムのデータ保護や不正防止を図るためのセキュリティ対策のひとつ。ユーザ登録名とパスワードを盗まれても、決められた電話番号からしかログインできないため安全度が高い。
アクセスログ
不正アクセスを素早く発見し対応するため、どのユーザがいつどんな操作をしたいかを確認するアクセス記録のこと。アクセス記録は随時分析を行い、一定期間保存して、後日問題が発生したときに参照できるようにしておく。不正アクセスが発見された場合、該当のユーザIDを使用禁止にする、データベースのアクセスを禁止するなどの措置を行う。
セキュリティホール
ソフトウェアの設計ミスなどが原因で、不正にシステムが利用できる欠陥。セキュリティホールが見つかると、OSの欠陥を利用して管理者しか利用できないプログラムを実行したり、Webサイトにアクセスした利用者の情報を盗んだりするような不正を起こさせる原因となる。

コンピュータウイルス


コンピュータウイルスとは、第三者のプログラムやデータベースに対して、意図的になんらかの被害を及ぼすように作られた悪性プログラムです。ワープロ文書や電子メールに感染するマクロウイルスや、OSや電子メールソフトのセキュリティホールを悪用して感染するタイプのウイルスがあります。

①ウイルスの3つの機能

経済産業省による「コンピュータウイルス対策基準」では、自己伝染機能、潜伏機能、発病機能のうち、1つ以上の機能を持つものと定義されています。
ウイルスの感染経路は、電子メールの添付ファイル、ホームページの閲覧、外部からのファイルの持ち込みなどです。いったん感染すると、ファイルの消去や書き換え、ハードディスクの破壊などの深刻な被害を与えるものから、いたずら目的で画面に意味のない情報を表示するものまでさまざまな行動をします。

②コンピュータウイルス対策

最も重要なことは、感染の予防と早期発見です。ウイルス対策ソフト(ワクチンソフトは、ウイルスの検出や駆除を行う機能を備えたソフトウェアです。パターンファイル(ウイルス定義ファイル)と呼ばれる、すでに発見されたウイルスの情報を記録したファイルと照合してウイルスの検出と駆除を行います。コンピュータウイルスは、日々新種のものが発生しているため、パターンファイルは常に最新のものを利用することが重要です。また、未知のウイルスを防ぐことはできません。

Q&A

多数の電子メール利用者に対する広告や勧誘などの目的で、受信者の意向とは無関係に大量に送られ、場合によってはメールサーバダウンにもつながるものを何と呼ぶか。
  • マクロウイルス
  • ワーム
  • トロイの木馬
  • スパムメール
  • チェーンメール

解説

正解:スパムメール
マクロウイルス
表計算ソフトなどのマクロ機能を悪用したウイルスで、文書ファイルに感染する。潜伏したデータファイルを開いた時点で感染するため気がつかないことが多く、感染力が非常に強力である。
ワーム
ネットワークや記憶媒体を通じて、自ら次々に感染を広げていく性質を持つ。悪性のものは、電子メールに自身のコピーを勝手に添付したり、登録してあるメールアドレスにユーザが知らないうちに勝手にメールを送信するなどの方法で感染を拡大させる。
トロイの木馬
無害を装って潜伏し、ネットワークを介して他人のコンピュータを自由に操ったり、パスワードなどの重要な情報を盗むことを目的とするもの(スパイウェアとも呼ぶ)。また、あらかじめ設定されたタイミングで破壊活動を開始するものもある。
スパムメール
不特定多数の人に無差別に送られてくる広告や勧誘のメール。この名称はハムメーカの「スパム」という商品のCMが、商品名を連呼するものだったことをもじって付けられた。
チェーンメール
文中に別の人にメールを送信することを強要する指示があり、受信者がこの指示に従うことで次々に広まる迷惑メール。

文字コードの種類


コンピュータ内部では、文字や記号も2進数を用いて表現されています。
1つの文字には、ある特定のビットパターンが割り当てられており、このビットパターンを、文字コード(情報交換用符号)と呼びます。コンピュータ間でデータをやり取りするには、文字コード体系が異なっていると不都合が生じますから、文字コードの規格化や標準化が行われてきました。

①文字をコードで表す

コンピュータは、すべての情報を0と1を並べたビット列で扱います。キーボードで入力した文字も、0と1に置き換えて記憶します。
例えば、ビット列01000001を文字のAと決めれば、文字をコンピュータで扱うことができます。
つまり、一文字ごとに番号を付けて文字を管理するのです。

②文字を数値として処理するためには変換が必要

例えば、キーボードから「1」、「2」、「3」と入力した時点では、3文字の数字ですが、コンピュータの内部で計算に利用するためには「123」という3桁の数字で扱わなければなりません。そこで「文字→数値」の変換が行われます。計算結果をディスプレイやプリンタに出力する際は、「数値→文字」の変換が行われます。

Q&A

コンピュータで使われている文字コードのうち、漢字に関する規定がないものはどれか。
  • ASCIIコード(アスキーコード)
  • EUCコード
  • Unicode(ユニコード)
  • シフトJISコード

解説

正解:ASCIIコード(アスキーコード)
ASCIIコード(アスキーコード)
ANSI(米国規格協会)が判定した米国標準情報交換用コード。1文字を、7ビットの符号とパリティビット1ビットを加えた8ビットで表す。英数字と制御文字の128文字を扱う(漢字の扱いはない)。
EUCコード
拡張UNIXコード。UNIXで2バイトコードを扱うために、決められた範囲内に各国独自の文字を定義することで、世界各国の異なった言語にも対応できるコード体系。日本語や中国語などの、非アルファベットを使用する国の文字コードにUNIXを適応するため制定された。
Unicode(ユニコード)
世界中の文字を2バイトで表現する文字コードの国際標準規格。アルファベットや漢字などを統一的に取り扱う。ISOの標準になり、JIS規格に定められた。
シフトJISコード
日本で使用されているパソコンの標準的な文字コード体系。1バイト文字(英数字)と2バイト文字(漢字やひらがな)を混在して利用することができる。日本独自の規格。

ガイドラインと法制度


企業にとって、品質保証、環境への配慮などは、これからの重要な課題です。
また、コンピュータやネットワークを使った業務が広く普及したことによって、トラブルや犯罪の発生も増加しています。そこで、さまざまな基準や法律が策定されています。

①品質管理と環境管理

ISOシリーズは、ISOが定めた品質管理、環境管理のための国際規格の総称です。これには製品やサービスを提供する企業に対して備えるべきガイドラインが示されています。ISO9000シリーズ品質管理と品質基準の規格です。ISO9000で品質マネジメントシステムの基本理念を、ISO9001で認証にあたっての要求事項、ISO9004でガイドラインを示しています。
ISO14000シリーズ環境管理に関する規格です。

②セキュリティのガイドライン

英国のセキュリティ認証規格BS7799をもとに、日本国内のISMSが作られました。
これにはセキュリティマネジメントを実施していく際に、どのような設備を投入すればいいのか、組織や人的な管理はどうすればいいのか、システムの運用にはどのような注意点があるのかといったことが規定されています。

Q&A

ネットワークの利用に際して、権限外利用などの行為によって発生する被害に関する対策をとりまとめたものはどれか。
  • ISO 9001
  • ISO 14001
  • ISMS
  • コンピュータウイルス対策基準
  • コンピュータ不正アクセス対策基準
  • ソフトウェア管理ガイドライン

解説

正解:コンピュータ不正アクセス対策基準
ISO 9001
顧客の要求する品質を満たした製品やサービスを供給するための仕組みである「品質マネジメントシステム」を認証する規格。工業製品のほか、ソフトウェア開発にも適用される。
ISO 14001
環境マネジメントシステムに関する国際規格。環境問題に対する方針や取り組み、点検や是正措置などに関する要求事項が規定されている。
ISMS
日本国内のセキュリティ認証規格。認証基準を満たした企業や組織には、認定マークが授与され、業務に際してセキュリティの取り組みをアピールすることができる。
コンピュータウイルス対策基準
コンピュータウイルスに対する予防、発見、駆除、復旧等について実効性の高い対策をとりまとめたもの。
コンピュータ不正アクセス対策基準
アクセス権限のない利用者による不正アクセスなどの被害に対する対策をまとめたもの。不正アクセスによる被害の予防、発見、復旧、拡大、再発防止について、企業などの組織や個人が実行すべき対策が示されている。
ソフトウェア管理ガイドライン
ソフトウェアの違法複製防止を目的に経済産業省が策定したガイドライン。法人や団体が対象で、内容は、「ソフトウェア管理責任者による管理体制の整備」、「ソフトウェア管理規則の策定」、「ユーザの教育と啓蒙」、「違法複製を発見した場合の適切な措置」である。

標準圧縮形式


コンピュータで扱うデータは、文字や数字だけではありません。マルチメディアデータとして、文章、画像(静止画、動画)、音声、音楽などさまざまです。これらのデータは、文字や数字に比べてデータ容量が膨大になるため、用途の優先度に応じて容量を減らす工夫がされ、圧縮形式として数多くの規格が作られています。

①圧縮と伸張(解凍):データの意味を変えずに、データの容量を小さくする処理を圧縮、圧縮したデータを元の状態に復元する処理が伸張(または解凍)です。

圧縮を行うことで、記憶領域や伝送時間の削減が可能になります。

②可逆圧縮と非可逆圧縮ってなに?

データ圧縮は、可逆圧縮と非可逆圧縮に分けられます。圧縮したデータを100%完全に再現できる方式を可逆圧縮、復元(伸張)するときに完全には再現できない方式を非可逆圧縮といいます。非可逆圧縮は、画質や音質が劣化してしまうことがありますが、可逆圧縮に比べて圧縮率が非常に高いのが特徴です。代表的なJPEGでは、用途に応じて複数の圧縮率を選択できます。

Q&A

画像の圧縮形式で、汎用的に用いられるフルカラー静止画像の圧縮形式はどれか。
  • MP3(MPEG Layer-3)
  • JPEG(ジェイペグ)
  • MPEG(エムペグ)
  • CSV(Comma Separated Value)

解説

正解:JPEG(ジェイペグ)
MP3(MPEG Layer-3)
インターネットでの音楽配信などで広く利用されている非可逆圧縮の音声データ形式。PCM(パルス符号変調)方式のデータを圧縮して保存するもので、PCM方式の10分の1にまで圧縮することができる。
JPEG(ジェイペグ)
静止画の圧縮/伸張に関する国際標準規格。24ビットフルカラーで非常に圧縮率が高いため、フルカラー静止画の配布は主にJPEGが利用される。ただし、非可逆圧縮であり、圧縮したデータを元の画像とまったく同じ状態に戻すことはできない。
MPEG(エムペグ)
動画の圧縮/伸張に関する国際標準規格。MPEGには、DVDなどで利用されているMPEG2や、数k~数十kbpsの通信を前提としたMPEG4がある。
CSV(Comma Separated Value)
表計算ソフトや関係データベースなどの表形式のデータを、テキストファイルで表すときの標準的な形式。項目(セル)間をカンマ(,)で区切り、行ごとに改行コードを挿入する。異なるソフトウェア間でデータ交換を行ったり、データを取り込む場合などに利用される。

文章の標準化


インターネットを介した企業と個人とのデータのやり取りなど、多数の人たちとデータの送受信を行う際には特定のハードやソフトだけに対応するようなデータ形式では不便です。そこで、データ形式の統一を図るため、さまざまな標準化が行われています。

①マークアップ言語とは

文書のテキスト属性(文字サイズ、字体、文字装飾、位置)、体裁(余白、タイトル、目次、見出し、本文、参照関係、図表、索引)、他の文書とリンク(ハイパーテキスト)を論理的に定義できる言語。"<"
と">"で囲まれたタグを使用して定義します。タグは<name>~</name>のように2つを対で使用し、その間の文字列に対して何らかの編集や操作を行う仕組みです。

②環境が変わってもレイアウトが崩れないPDF形式

PDF形式は、インターネットで配信される電子文書の標準的なファイル形式です。HTMLでは、使用しているOSやWebブラウザによってレイアウト表示が異なることがありますが、PDF形式ではPostScript技術により、ファイル内にレイアウトやフォントの情報を持っているため、異なる環境でも同じレイアウトで見ることができます。

Q&A

インターネットを利用した企業間取引において、取引データをそのまま起票したり、社内文書に変換したりすることが容易にできるマーク付け言語はどれか。
  • HTML
  • SGML
  • XML
  • PDF

解説

正解:XML
HTML
ホームページの記述に使われるマークアップ言語。HTMLで記述された文書は、Webブラウザと呼ばれるソフトを使うことで画面に表示できる。1つのページ内で画像や音声、動画などを扱うことができることや、リンク先のURLを指定することで他のページへジャンプできるハイパーリンク機能が特徴。
SGML
電子文書を記述するための汎用規格で、文書構造を記述できる。HTMLやXMLのもとになった。文章やマニュアルのデータベース化などに用いられる。
XML
SGMLが持つタグの拡張機能を、We上でも利用できるようにしたもの。独自のタグを定義して利用できるので、電子商取引のデータの記述や、社内文書の記述に使用することができる。
PDF
Webページや電子メールでやり取りされる電子文書の形式。配信先と配信元のOSやアプリケーションの違いをほとんど意識せず、画像を含むオリジナル文書の体裁を再現できるため、文書閲覧や配布によく使用される。
最近更新されたスレッド
ウィキ募集バナー