2005年 05月 24日
伝送交換設備及び設備管理平成15年度第2回問5
|
(1)電子商取引におけるセキュリティ
〔SSLの処理順序〕
①クライアント端末からSSL通信が要求される。
②WebサーバがCAの発行するディジタル証明書、自分の公開鍵をクライアント端末に送信する。
③クライアント端末から公開鍵暗号方式で暗号化した共通鍵をWebサーバに送信する。
・メッセージダイジェストの作成を行うことにより、データの改ざんを防止できる
・ディジタル証明書を検証することで、Webサーバの真正性を確認できる
*間違ってもクライアント端末のなりすましじゃありませんよwそれはディジタル署名だからね。騙されないように(プゲラwww
(2)IDS
・不正侵入、情報漏洩などセキュリティ上の問題を分析・検知するために、ネットワークあるいはコンピュータシステム上で起こった事象の監視・通知を行う
*情報漏洩の検知までできたっけ(;´・ω・)?
・ネットワークあるいはコンピュータシステム上で起こり得る不審な通信について、監視・アクセス制御を行う
*「ユーザの挙動」「試験」が怪しいのは分かるが、それに代わる解説がなんでネットワーク型とかホスト型とかの分類の説明なの?w
・侵入検知を分析するための情報収集、取得したイベント内容の分析、イベントデータの格納及び分析結果からのアラート情報の発信などを行う
・IDSの運用を行う場合、豊富な知識と的確な状況判断が行えるエンジニアが必要である。エンジニアは、監視対象ネットワーク及びホスト環境、IDSの知識及び緊急時の運用手順などを把握しておく必要がある
(3)ディジタル証明書
・ディジタル証明書には、CAの公開鍵が含まれているため、それを用いることにより、ディジタル証明書に含まれる公開鍵が、その証明書に記述されている人や組織のものであることを確認できる
●RA(登録局):PKIを利用しようとする利用者の確認と審査を行い、認証局に対する登録業務を受け付ける機関
・ディジタル証明書には、公開鍵とその所有者、所有者に関する情報+付帯情報(証明書の有効期限、どのような目的に証明書を利用できるか)を含ませることができる
・ディジタル証明書として広く利用されているものに、ITU X.509がある。このディジタル証明書は、WebにおけるSSLなどで利用されている
*解説にはなぜかWebブラウザと訂正されているが、これって結局WebのSSLだろうにw
(4)情報セキュリティの脅威やその対策
●トラッシング:捨てられたゴミの中から情報を拾い出す手口
*解説にはわざわざトラッシングの別の定義を載せてるが、これって単に②の定義を利用すればいいのでは?w
逆に①の「偽装したWebサイトを作成して利用者自身に情報を入力させる手口」ってまさかフィッシング詐欺のこと(´・ω・)?
●スプーフィング:なりすまし
●ソーシャルエンジニアリング:人間心理の弱点を狙われたり、巧みな言葉にユーザが騙されて、ユーザアカウントやパスワードを搾取する手口
④「施設に受付、警備員を配置しておけば、ターゲットの関係者に偽装した者に構内に侵入されて情報を盗み出されることはない」ってのが誤りなのはわかるが、それが内部セキュリティという観点で弱いということだからなのだろうか?単にソーシャルエンジニアリングによる侵入はそういった人たちすら巧みに騙すので、必ずしも完全ではありませんよという意味だと思うんだが
⑤「利用者がIDやパスワードを開示する際は、電話を避け、電子メールを利用すべきである」
P部長キタ━━━━━━(゚∀゚)━━━━━━!!
確かに平文の電子メールでそのまま本文に直接パスワードが記載されてるのも問題ありの気もするが(ただし、実用上は当たり前のようによく行われているw)、それに代わる解説が認証機能の利用とアクセス権の設定って(ノ∀`)
(5)ワームなどの有害プログラム対策
・企業・組織などで、複数のコンピュータのうち、1台でもセキュリティホールが存在すれば、被害が発生する可能性があるため、組織的なウイルス対策が必要である
・イントラネットにおいても、FDなどのデバイス(メディアじゃないのか?)、外部からのウイルスに感染することもあり得るので、ウイルス対策は必要である
・見知らぬ人からの添付ファイル付きのメールが送られてきた場合は、メールを廃棄するか、メール及び添付ファイルのウイルス検査が必要である。悪意のメールを送る心配のない友人からのメールでも、ウイルスが侵入する場合もあり、安全とは言えない
〔SSLの処理順序〕
①クライアント端末からSSL通信が要求される。
②WebサーバがCAの発行するディジタル証明書、自分の公開鍵をクライアント端末に送信する。
③クライアント端末から公開鍵暗号方式で暗号化した共通鍵をWebサーバに送信する。
・メッセージダイジェストの作成を行うことにより、データの改ざんを防止できる
・ディジタル証明書を検証することで、Webサーバの真正性を確認できる
*間違ってもクライアント端末のなりすましじゃありませんよwそれはディジタル署名だからね。騙されないように(プゲラwww
(2)IDS
・不正侵入、情報漏洩などセキュリティ上の問題を分析・検知するために、ネットワークあるいはコンピュータシステム上で起こった事象の監視・通知を行う
*情報漏洩の検知までできたっけ(;´・ω・)?
・ネットワークあるいはコンピュータシステム上で起こり得る不審な通信について、監視・アクセス制御を行う
*「ユーザの挙動」「試験」が怪しいのは分かるが、それに代わる解説がなんでネットワーク型とかホスト型とかの分類の説明なの?w
・侵入検知を分析するための情報収集、取得したイベント内容の分析、イベントデータの格納及び分析結果からのアラート情報の発信などを行う
・IDSの運用を行う場合、豊富な知識と的確な状況判断が行えるエンジニアが必要である。エンジニアは、監視対象ネットワーク及びホスト環境、IDSの知識及び緊急時の運用手順などを把握しておく必要がある
(3)ディジタル証明書
・ディジタル証明書には、CAの公開鍵が含まれているため、それを用いることにより、ディジタル証明書に含まれる公開鍵が、その証明書に記述されている人や組織のものであることを確認できる
●RA(登録局):PKIを利用しようとする利用者の確認と審査を行い、認証局に対する登録業務を受け付ける機関
・ディジタル証明書には、公開鍵とその所有者、所有者に関する情報+付帯情報(証明書の有効期限、どのような目的に証明書を利用できるか)を含ませることができる
・ディジタル証明書として広く利用されているものに、ITU X.509がある。このディジタル証明書は、WebにおけるSSLなどで利用されている
*解説にはなぜかWebブラウザと訂正されているが、これって結局WebのSSLだろうにw
(4)情報セキュリティの脅威やその対策
●トラッシング:捨てられたゴミの中から情報を拾い出す手口
*解説にはわざわざトラッシングの別の定義を載せてるが、これって単に②の定義を利用すればいいのでは?w
逆に①の「偽装したWebサイトを作成して利用者自身に情報を入力させる手口」ってまさかフィッシング詐欺のこと(´・ω・)?
●スプーフィング:なりすまし
●ソーシャルエンジニアリング:人間心理の弱点を狙われたり、巧みな言葉にユーザが騙されて、ユーザアカウントやパスワードを搾取する手口
④「施設に受付、警備員を配置しておけば、ターゲットの関係者に偽装した者に構内に侵入されて情報を盗み出されることはない」ってのが誤りなのはわかるが、それが内部セキュリティという観点で弱いということだからなのだろうか?単にソーシャルエンジニアリングによる侵入はそういった人たちすら巧みに騙すので、必ずしも完全ではありませんよという意味だと思うんだが
⑤「利用者がIDやパスワードを開示する際は、電話を避け、電子メールを利用すべきである」
P部長キタ━━━━━━(゚∀゚)━━━━━━!!
確かに平文の電子メールでそのまま本文に直接パスワードが記載されてるのも問題ありの気もするが(ただし、実用上は当たり前のようによく行われているw)、それに代わる解説が認証機能の利用とアクセス権の設定って(ノ∀`)
(5)ワームなどの有害プログラム対策
・企業・組織などで、複数のコンピュータのうち、1台でもセキュリティホールが存在すれば、被害が発生する可能性があるため、組織的なウイルス対策が必要である
・イントラネットにおいても、FDなどのデバイス(メディアじゃないのか?)、外部からのウイルスに感染することもあり得るので、ウイルス対策は必要である
・見知らぬ人からの添付ファイル付きのメールが送られてきた場合は、メールを廃棄するか、メール及び添付ファイルのウイルス検査が必要である。悪意のメールを送る心配のない友人からのメールでも、ウイルスが侵入する場合もあり、安全とは言えない
by 9denki
| 2005-05-24 00:49
| 伝送交換設備及び設備管理