2019-02-07

情報処理安全確保支援士 H23午前2

春25問中19問正解 76%
秋25問中18問正解 72%

要チェックメモ

春No11
IPsecのトランスポートモードでは，ゲートウェイ間の通信経路上だけでなく，送信ホストと受信ホストとの間の全経路上でメッセージが暗号化される。ホスト同士がEnd-to-Endで暗号化通信を行う。
もう1つの「トンネルモード」では、VPN装置でカプセル化・復号が行われるので装置間でのみ暗号化通信が行われる。

春No13
ソフトウェア管理ガイドラインは、ソフトウェアの違法複製を防止するため，法人や団体などを対象として、ソフトウェアを使用するに当たって実施されるべき事項をとりまとめたもの。

春No18
IPsecは、カプセル化したパケットをAHやESPなどの認証・暗号化プロトコルを用いてIPsec プロトコル上で安全にやり取りすることができるのでVPNの構築に用いられる。

春No20
ASN.1(Abstract Syntax Notation one)は、主にコンピュータネットワークの通信プロトコルのデータ構造を記述するために使われる記法。SNMPをはじめ、SSL，S/MIME，KerberosなどがASN.1で記述されている。

秋No4
SSl-VPN装置(SSL-VPN ゲートウェイ)は、企業内ネットワークとインターネットの境に設置され、クライアントからの要求を受け付けサーバへの要求を代理するリバースプロキシの役割をもつ機器。
SSL通信ではサーバ認証が必須になっているため、例え同一ドメイン内に設置する場合であっても、装置ごとに固有のディジタル証明書を組み込む必要がある。

秋No7
ARPスプーフィング攻撃は、IPアドレスからMACアドレスを得るプロトコル ARPの仕組みを悪用して機器のなりすましなどを行う行為。
ARPでは、ブロードキャストでARP要求を行い、該当するノードがARP応答をユニキャストで行うことでアドレス解決をするが、この攻撃方法では正規のノードよりも先に偽のARP応答を返すことでARPアドレス対応表の不正に書き換えを行う。

秋No15
AH(Authentication Header:認証ヘッダ)は、IPsecにおいて通信データの認証のために使用されるプロトコルで、暗号化の機能はない。
AHヘッダに含まれる主なパラメタについては以下。
・SPI(セキュリティパラメタインデックス)
　データを通信するためのコネクションであるIPsecSAを識別するのに使用される情報
・シーケンス番号
　リプレイアタックを防止するために各パケットごとに付与される順序番号
・認証データ
　IPヘッダも含めたパケット全体の完全性をチェックするデータで、HMACを用いて生成される

2019-01-30

情報処理安全確保支援士 H24午前2

春25問中21問正解 84%
秋25問中19問正解 76%

要チェックメモ

春No3
ディジタル証明書は、SSL/TLS通信において次の3つの目的で使用されている。
・サーバ認証
・クライアント認証(オプション)
・クライアント側からサーバ側への共有秘密鍵(暗号化鍵)の送付

春No9
・Payment Card Industry(PCI)データセキュリティ基準(DSS)は、カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するためにクレジットカードの国際ブランド大手5社共同により策定された基準。
・WAF(Web Application Firewall)は、パケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、ウェブアプリケーションに対するXSSやSQLインジェクション，OSコマンドインジェクションなどの攻撃を検知・遮断するソフトウェア(またはハードウェア)。

春No15
SMTP-AUTH(SMTP Authentication)は、ユーザ認証の仕組みがないSMTPを拡張した仕様。使用するにはメールサーバとクライアントの双方が対応していなければなならない。
メール送信するときにユーザ名とパスワードで認証を行い、認証されたユーザのみからのメール送信を許可することで不正な送信要求を遮断する。

春No18
PPPoE(PPP over Ethernet)は、電話回線やISDNでインターネットを接続する際に使われるPPPをイーサネット上で利用できるようにしたもの。

秋No20
・ダイジェスト認証
ユーザ名とパスワード、およびランダムな文字列をMD5でハッシュ化して送信する方式。通信経路上に流れるのは認証の度に異なるハッシュ値だけなので盗聴や改ざんに強い。
・ベーシック認証
ユーザ名とパスワードの組みを":"(コロン)でつなぎ、Base64でエンコードして送信する方式。Base64は64種類の印字可能な英数字のみを用いて、それ以外の文字を扱うことの出来ない通信環境にてマルチバイト文字やバイナリデータを扱うためのエンコード方式で、認証情報が暗号化されているわけではないので盗聴や改ざんが簡単に行われてしまう欠点がある。

2019-01-29

情報処理安全確保支援士 H25午前2

春25問中22問正解 88%
秋25問中20問正解 80%

要チェックメモ

春No13
ウィルス検出技術
・ビヘイビア法
　ウイルスの実際の感染・発病動作を監視して検出する手法。感染・発病動作によって起こる環境の様々な変化を検知することによる場合もこの手法に分類。
・コンペア法
　ウイルスの感染が疑わしい対象(検査対象)と安全な場所に保管してあるその対象の原本を比較し、異なっていれば感染を検出する手法。
・パターンマッチング法
　「パターンデータ」「ウイルスパターン」「パターンファイル」「ウイルス定義ファイル」等を用いて、何らかの特徴的なコードをパターンとしてウイルス検査対象と比較することで検出する手法。
・チェックサム法/インテグリティチェック法
　検査対象に対して別途ウイルスではないことを保証する「チェックサム」「ディジタル署名」等の情報を付加し、保証がないか無効であることで検出する手法。
・ヒューリスティック法
　ウイルスのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する手法。

春No22
DFD
構造化分析では、「現物理モデル→現論理モデル→新論理モデル→新物理モデル」の順でシステムをモデル化。
・現物理モデル
　現行業務の流れを具体的にありのままを表現した業務フロー。
・現論理モデル
　現物理モデルから物理的な仕組みを取り除き、データと処理を中心としたDFD。
・新論理モデル
　現論理モデルに、新機能要件を加えたDFD。
・新物理モデル
　新論理モデルに物理的要件を加え、業務遂行のフローを記述したモデル。

秋No4
WPA2(Wi-Fi Protected Access 2)は、無線LANのセキュリティプロトコルWPAの脆弱性を改善した次期バージョン。暗号化アルゴリズムがWEP、WPAで使用されていた脆弱性のある「RC4」からNIST標準の「AES」に変更され、解読攻撃に対する耐性が高められている。

秋No18
リンクアグリゲーションは、複数の物理的な回線を仮想的に束ね、論理的な１つの回線として取り扱う技術で、IEEE 802.3adとして標準化されている。

秋No24
ITサービスマネジメントにおける問題管理は、インシデントや障害原因の追及、および恒久的な対策、再発防止策を目的としたプロセス。
プロアクティブ(proactive)とは、「率先した」や「積極的な」などの意味を持つ英語形容詞であり、発生したインシデントへのリアクティブ(reactive:反応的な)活動に対して、将来起こるかもしれないインシデントを予防を目的に行う、先を見越した活動という意味を持つ。

2019-01-27

第14回 SQL Server 2019勉強会-参加メモ

SQLServer

第14回 SQL Server 2019勉強会 20190126

https://sqlserver.connpass.com/event/113907/

●SQL Serverのクエリ実行プランとパフォーマンス –クエリインディクスチューニング

・CIDX

　データ行を含む

　A-Z順

→CIDXを持っていないとレコード順に追加、断片化が拡大

・非CIDX

　行識別子を含む（データは持たない

・プランの読み方

　scan→全行、順に確認

　seek→対象行のみ、そのままデータを取り出す

デモ

　実行プランでプランを読む。

●初級～中級のSQL再入門

・SQLは実行前にパースなどいろいろ処理をしている

　→オーバヘッドをなくすため1回で発行したほうが良い（ことが多い

・SQLは手続き型言語に比べて詳細設計に近い

　→パラメータによるロジック判定はDBエンジン側がやっている（内部的に

・Where句で指定・サブクエリで除外・結合条件で指定、等の使い分けを意識する

・LEFT JOINののWHERE指定。

　→バグかINNNER JOINの見分けがつかのなくなるような書き方に注意

・WHEREのAND/ORの書き方。式の考えは因数分解、数式と同じ。（加＋OR/剰×AND）

・SQLの動的生成を避ける

　→条件１ OR @para IS NULL

●RDBのテーブルとインデックス設計

・万能テーブルはやめて機能ごとに

・最終更新情報（日時、人）は全テーブルの必要か

　→削除されたらわからない、削除フラグをたくさんもたせるのも。。。

　→直近しかわからない、２回前に更新した人は追えない

別の履歴管理テーブルとかにもたせるほうが良い

●Configure SQL Server 2019 PolyBase scale-out groups

・外部データソースからデータを読み取る Transact-SQL クエリを SQL Server インスタンスで処理

・2019からSQLServer、オラクル、MySQL等のリソースにアクセス可能になる

●LT－前回ハッカソンの解答等

●MCP試験対策シリーズ、Exam 70-765 Provisioning SQL Databases

・試験概要と問題解説

　パワーシェルのコマンドレットなども出る。資格とは別にパワーシェルは今後必要。

　ラッチ

　　ページラッチ：SQLServerストレージエンジンとページバッファ間

　　ページIOラッチ：ページバッファとデータベース物理ファイル間

　ページラッチに必要なデータはあることが望ましい。メモリ上のデータなので再起動では消える

　システムビューも各種出る。

・tmpdbはコア数単位でデータファイルが分割されるようになってる、ので初期値設定に注意

2019-01-26

情報処理安全確保支援士 H26午前2

春25問中23問正解 92 %
秋25問中21問正解 84%

要チェックメモ

春No24
JIS Q 20000(ISO/IEC 20000)は、組織がサービスマネジメントシステムを計画、確立、導入、運用、監視、レビュー、維持するためのサービス提供者に対する要求事項を規定した規格。
この規格の中の「6.6情報セキュリティ管理」では、次に挙げる2つを特定するために変更要求を評価しなければならない。
・新たな情報セキュリティリスク、又は変化した情報セキュリティリスク
・既存の情報セキュリティ基本方針及び管理策への潜在的影響

秋No20
電子メールはテキスト形式のデータで、ヘッダ－部と本体に分かれる。
メールデータは1行ごとに宛先アドレスや送信元アドレス、件名(Subject)が記録されているヘッダー部から始まり、空白行(改行だけの行)を挟んで本体が記録される。

秋No23
DTCP-IP(DTCP over IP)は、著作権保護されたディジタルコンテンツを伝送するための暗号化技術であるDTCP(Digital Transmission Content Protection)を、主にAV機器を含む家庭内LANなどのIPネットワークで使用できるようにした規格。
DTLAが発行する証明書を用いて相互認証を行い、コンテンツ保護が行えることが確認したときのみ録画・再生が可能となる。

2019-01-25

情報処理安全確保支援士 H27春午前2

25問中16問正解 64%

No1
EV SSL証明書は、CAとWebブラウザベンダで構成される「CA/Browserフォーラム」が定めた「EV証明書ガイドライン」に基づき審査・発行が行われたWebサーバの公開鍵証明書。
subject(認証対象者)フィールドのOrganization Nameは組織名が記述される。

No4
VA(Validation Authority，証明書有効性検証局)は、PKIを構成する機関で以下の方法で公開鍵証明書の有効性を検証し、クライアントからの証明書の有効性に関する問い合わせに応答する役割を担う。
・CAの公開鍵で署名を検証
・証明書の有効期限を確認
・CRLの集中管理
・CRLを確認
クライアントからのリアルタイムの問合せにはOCSP(Online Certificate Status Protocol)やSCVPが用いられ、VAにはレスポンダ(サーバ)の機能が実装される。

No8
CRYPTREC暗号リストは、暗号技術検討会及び関連委員会(CRYPTREC)により電子政府での使用に際しての安全性及び実装性能が確認された暗号のリスト。

No10
NTP(Network Time Protocol)は、ネットワーク経由でシステム時刻の同期を行うプロトコル。
Dos攻撃対策はNTPサーバの状態確認機能(monlist)を無効にする等が必要。
NTPの"monlist"の仕様上、200バイト程度のリクエストに対して、その100倍以上のレスポンスパケットが生じることもあり、パケット増幅率の大きさが特徴。