【基本情報技術者試験】よく出る問題(VLAN編)

基本情報技術者

基本情報技術者試験の午後問題では、VLAN(Virtual Local Area Network)に関する問題が出ています。応用情報技術者試験でも出ていたりと情報処理技術者試験では頻出と言える問題であると考えています。

今回はそんな「VLAN(Virtual Local Area Network)」について見ていきます。

※どちらかというとネットワークの問題ですが、情報セキュリティの問題としても出題される可能性があるのでは?と思ってます!

 

 

目次

 

 

VLANの話をする前に前提知識となるについて確認していきましょう!

 

ネットワークの範囲について

 

ネットワークの範囲によって名称が異なります。LANのみ押さえておけば問題ないですが、他にも種類があることは知っておきましょう!
 
PAN(Personal Area Network)
PANは個人領域ネットワークを指します。個人や個人のデバイスによって使用される小規模なネットワークです。一般的なPANの例は、Bluetoothを使用してスマートフォンとヘッドセットを接続する場合や、個人のコンピュータと周辺機器(プリンターやキーボードなど)を接続する場合などがあります。
 
LAN(Local Area Network)

LANはローカルエリアネットワークを指します。一定の地理的領域(建物やキャンパスなど)内で使用されるネットワークです。LANは、複数のコンピュータやネットワークデバイスが相互に接続され、リソース共有やデータ通信を行うための環境を提供します。イーサネットWi-Fiなどの技術がLANの構築に使用されます。

 

MAN(Metropolitan Area Network)
MANは都市域ネットワークを指します。都市や地域内の広範な地理的領域で使用されるネットワークです。MANは、複数のLANを相互に接続し、データ通信を提供する役割を果たします。光ファイバーケーブルや専用の通信回線がMANの構築に使用されることがあります。
 
WAN(Wide Area Network)

WANは広域ネットワークを指します。大きな地理的領域をカバーし、複数の都市や地域を相互に接続するネットワークです。WANは、インターネットや専用線などの通信回線を使用して構築され、異なる地域や組織間でのデータ通信を可能にします。WANは、グローバルな通信インフラストラクチャを構築するために使用されます。

 

 

 

 

 

ネットワーク層の接続について

ネットワークへの接続時に使用されるデバイスの種類を紹介します。

 

リピータ

ネットワーク上の信号を増幅・再生して伝送するためのデバイスです。物理的なケーブルの長さによる信号の減衰やノイズの影響を軽減し、信号の強度と品質を維持します。リピータは、ネットワークの範囲を延長する目的で使用されますが、ネットワークのセグメントを分割することはできません。

 

ブリッジ

ネットワーク上のトラフィックをセグメントごとに分割し、トラフィックの制御を行うためのデバイスです。ブリッジは、MACアドレスをもとにパケットの転送を決定します。複数のLANセグメントを接続し、トラフィックの制御やセグメント間の通信を行うことができます。

 

ハブ

ネットワーク上の複数のデバイスを接続し、データの送受信を行うためのデバイスです。ハブは、ネットワーク上のデータを受信すると、接続された全てのポートにデータを転送します。ハブは物理的なレベルでのデータのブロードキャストを行い、データの転送効率が低下する可能性があります。近年のハブはスイッチングハブと呼ばれ、MACアドレスをもとにデータの転送を制御することができます。

 

ルータ

コンピューターネットワークにおいて、異なるネットワークを相互に接続し、パケットの転送とネットワーク間の通信を制御する役割を持つネットワークデバイスです。パケット交換方式を使用してデータを転送します。パケットは、送信元から送信先へのアドレス情報やデータを含む小さなデータの塊です。ルータは、パケットのヘッダ情報を解析し、目的地のネットワークを特定してパケットを転送します。

 

 

 

VLAN(Virtual Local Area Network)とは??

VLAN(Virtual Local Area Network)は、物理的なネットワークインフラストラクチャを論理的に分割するための技術です。スイッチやルータなどのネットワーク機器を使用して、複数のネットワークを仮想的に作成することができます。

通常、ローカルエリアネットワーク(LAN)は物理的に接続された機器で構成されていますが、VLANを使用すると、異なる物理的な場所にある機器を同じネットワーク上に存在しているかのように論理的にグループ化することができます。

VLANを使用すると、以下のような利点があります。

  1. セキュリティの向上: VLANを使用することで、異なるセキュリティ要件を持つネットワークグループを分離することができます。ネットワークのトラフィックを制御することで、セキュリティの向上やネットワークリソースの保護が可能になります。
  2. パフォーマンスの最適化: VLANを使用することで、トラフィックの優先順位付けやセグメンテーションを行うことができます。これにより、ネットワークの帯域幅を最適に活用し、パフォーマンスの向上が期待できます。
  3. フレキシビリティの向上: VLANを使用することで、ネットワーク上の機器やユーザを柔軟にグループ化できます。物理的な配置にとらわれずに、論理的なネットワークグループを作成することができます。
  4. 管理の簡素化: VLANを使用することで、ネットワーク上の機器の管理が容易になります。特定のネットワークグループに対する設定や制御を一元化して行うことができます。

VLANは、企業内のネットワークセグメンテーションや仮想化環境など、さまざまなシナリオで使用されます。

 

 

 

まとめ

基本的にはVLANはどんなものかを押さえておけば問題ないと考えています。

また、VLANに関する問題が出るとは限りません。特にネットワークの問題と思われるなので、参考程度に出てくるかもしれませんがメインの問題としては出題されないものと考えています。(科目Aでは出てくるとは思います。)

ただ、どんなものか知っておくだけで解答のスピードは格段に上がり、他の問題に費やせる時間が出てくると思います。

無駄とは思わず、旧基本情報技術者試験(午後問題)の過去問を一度見返してみてはいかがでしょうか。

【基本情報技術者試験】よく出る問題(3ウェイハンドシェイク編)

基本情報技術者

 

基本情報技術者試験の午後問題では、3ウェイハンドシェイクに関する問題が出ています。応用情報技術者試験でも出ていたりと情報処理技術者試験では頻出と言える問題であると考えています。

今回はそんな「3ウェイハンドシェイク」について見ていきます。

※どちらかというとネットワークの問題ですが、情報セキュリティの問題としても出題される可能性があるのでは?と思ってます!

 

 

目次

 

 

 

TCPUDPについて

3ウェイハンドシェイクの話をする前に前提知識となる「TCP」や「UDP」について確認していきましょう!

TCPUDPインターネットプロトコルスイートの一部であり、ネットワーク通信を行うためのトランスポート層プロトコルです。

 

TCPは信頼性のあるコネクション指向のプロトコルです。以下はTCPの特徴です。

  1. コネクション指向: TCPは通信の確立と終了の手順を持ち、データの信頼性を確保するための機構が組み込まれています。パケットの順序性や欠損の検出・修復を行うことで、データの完全性を保証します。

  2. ストリーム指向: TCPはデータをストリームとして扱います。データはバイト単位で分割されず、連続したデータストリームとして送受信されます。

  3. 遅延が少ない: TCPはパケット到着の確認を行い、再送制御を行うため、データの到着までに若干の遅延が発生することがあります。

  4. ポート番号を使用: TCPは送信元と宛先のポート番号を使用して、アプリケーション間の通信を識別します。これにより、正しいアプリケーションにデータを配信します。

UDPコネクションレスで信頼性の低いプロトコルです。以下はUDPの特徴です。

  1. コネクションレス: UDPは通信の確立や終了の手順を持たず、データの送受信を即座に行います。データグラムと呼ばれるパケット単位で通信を行います。

  2. ベストエフォートデリバリ: UDPはデータの到着確認や再送制御を行わず、データを送信するだけです。そのため、パケットの順序性や欠損の確認は行われず、信頼性は低いです。

  3. 高速性: UDPは信頼性よりもデータの即時性を重視します。そのため、遅延が少なく、リアルタイム性の要求があるアプリケーションに適しています。

  4. ポート番号を使用: UDPTCP同様にポート番号を使用して通信を識別します。

 

 

3ウェイハンドシェイクとは??

3ウェイハンドシェイク(Three-Way Handshake)は、TCP(Transmission Control Protocol)において、通信を確立するための手順です。3ウェイハンドシェイクは、クライアントとサーバ間で確実な通信の開始を保証するために使用されます。

以下が3ウェイハンドシェイクの手順です。

  1. クライアントからサーバへのリクエスト(SYN): クライアントがサーバに対して通信の開始を要求するため、SYN(Synchronize)パケットを送信します。このパケットには、ランダムなシーケンス番号(Sequence Number)が含まれます。これにより、クライアントが通信を識別できます。
  2. サーバからクライアントへの応答(SYN+ACK): サーバはクライアントからのリクエストを受信し、通信の確立を受け入れるために応答します。サーバはSYN+ACK(Synchronize-Acknowledge)パケットをクライアントに送信します。このパケットには、サーバからのシーケンス番号と、クライアントからのシーケンス番号に1を加えた値が含まれます。
  3. クライアントからサーバへの確認(ACK): クライアントはサーバからの応答を受信し、通信の確立を確認するためにACK(Acknowledge)パケットをサーバに送信します。このパケットには、サーバからのシーケンス番号に1を加えた値が含まれます。

 

 

これにより、クライアントとサーバの間で通信が確立され、データの送受信が開始されます。この3ウェイハンドシェイクにより、通信の信頼性と整合性が確保されます。また、通信開始前にお互いのシーケンス番号を交換することで、パケットの順序や重複を検出するための手段も提供されます。

3ウェイハンドシェイクは、TCPプロトコルにおいて重要な役割を果たしており、信頼性のあるデータ通信の確立に不可欠な手順です。

 

 

まとめ

基本的には3ウェイハンドシェイクはどんなものか、通信を確立する手順等を押さえておけば問題ないと考えています。

また、3ウェイハンドシェイクに関する問題が出るとは限りません。特にネットワークの問題と思われるなので、参考程度に出てくるかもしれませんがメインの問題としては出題されないものと考えています。(科目Aでは出てくるとは思います。)

ただ、どんなものか知っておくだけで解答のスピードは格段に上がり、他の問題に費やせる時間が出てくると思います。

無駄とは思わず、旧基本情報技術者試験(午後問題)の過去問を一度見返してみてはいかがでしょうか。

【基本情報技術者試験】よく出る問題(ディジタル署名編)

基本情報技術者

 

基本情報技術者試験の午後問題では、ディジタル署名に関する問題が出ています。応用情報技術者試験でも出ていたりと情報処理技術者試験では頻出と言える問題であると考えています。

今回はそんな「ディジタル署名」について見ていきます。

 

 

目次

 

 

ディジタル署名とは??

ディジタル署名(Digital Signature)は、デジタル情報の真正性、完全性、および認証を確保するための技術です。デジタルドキュメントやデータの送信者が確認され、データの改ざんが検知されないことを保証していて、公開鍵暗号学とハッシュ関数を組み合わせて使用されます。

以下の手順でディジタル署名が作成されます。

  1. ハッシュ関数の適用: 署名を作成するデジタルデータに対してハッシュ関数が適用されます。ハッシュ関数は、データの固定長のハッシュ値を生成します。

  2. ハッシュ値の署名: データのハッシュ値を、送信者の秘密鍵で暗号化して署名を生成します。これにより、ハッシュ値秘密鍵の組み合わせがデータの送信者を特定するためのディジタル署名となります。

  3. 署名の検証: データの受信者は、送信者の公開鍵を使用してディジタル署名を復号化し、元のハッシュ値と一致するかどうかを検証します。公開鍵は一般的に公開されており、ディジタル署名の検証に使用されます。

ディジタル署名によって、データの送信者が確認され、データの改ざんが検知されないことが保証されます。これにより、ディジタル署名は重要な文書や電子取引、電子メールの送信など、デジタルデータの信頼性とセキュリティを確保するために広く使用されています。

 

 

 

ディジタル署名を使うメリット

メリットは下記が挙げられます。

  1. 身元の確認: ディジタル署名は、データの送信者の身元を確認することができます。公開鍵暗号学に基づく非対称暗号方式を使用するため、署名者の秘密鍵で署名が作成され、公開鍵で署名が検証されます。これにより、データの送信者が信頼できるかどうかを確認することができます。

  2. データの完全性の確保: ディジタル署名は、データの改ざんが検知されないことを保証します。署名作成時にハッシュ関数が使用され、データの一意のハッシュ値が作成されます。ハッシュ値は署名と共に検証者に送信され、データの受信後に再計算されます。もしハッシュ値が一致しなければ、データが改ざんされていることが分かります。

  3. 否認防止: ディジタル署名は、署名者がデータの送信を後で否認することを防ぎます。署名は署名者の秘密鍵によって作成され、公開鍵によって検証されるため、署名者は自身の行動を否認することができません。

  4. セキュリティの向上: ディジタル署名はデジタルデータの信頼性とセキュリティを向上させます。改ざんやなりすましの試みが検知されるため、データの送信者と受信者の間で信頼性のある通信が確立されます。

  5. 法的な効力: ディジタル署名は、法的な文書や契約においても使用されることがあります。ディジタル署名は、署名の作成者とデータの完全性を保証するための法的な証拠として扱われることがあります。

 

 

 

ディジタル署名を使うデメリット

デメリットは下記が挙げられます。

  1. 複雑さと導入コスト: ディジタル署名の実装や導入には、専門的な知識や技術が必要となる場合があります。また、適切なセキュリティインフラストラクチャや鍵管理の構築にもコストとリソースが必要です。

  2. キーマネジメント: ディジタル署名には公開鍵と秘密鍵のペアが必要です。これらの鍵の適切な管理と保管が重要であり、鍵の漏洩や紛失によるセキュリティリスクが存在します。

  3. 信頼性の依存: ディジタル署名の検証は、公開鍵の信頼性に依存します。公開鍵の発行者が信頼できる認証機関やキーサーバーから提供されている必要があります。公開鍵の信頼性が低下すると、ディジタル署名の信頼性も低下します。

  4. ディジタル署名の普及と互換性: ディジタル署名が普及していない場合や、異なるディジタル署名方式が使用されている場合、ディジタル署名の検証や相互運用性に問題が生じる可能性があります。

  5. 暗号アルゴリズム脆弱性: ディジタル署名の安全性は、使用される暗号アルゴリズム脆弱性に依存します。暗号アルゴリズムが攻撃に対して脆弱である場合、ディジタル署名のセキュリティが脅かされる可能性があります。

  6. 鍵の長さとパフォーマンスのトレードオフ: 強力なセキュリティを提供するためには、長い鍵長が必要となります。しかし、鍵の長さが増えると署名や検証の処理にかかる時間が増加し、パフォーマンスが低下する可能性があります。

 

 

まとめ

基本的にはディジタル署名はどんなものか、署名の手順等を押さえておけば問題ないと考えています。

 

また、ディジタル署名に関する問題が必ず出るとは限りません。ただ、どんなものか知っておくだけで解答のスピードは格段に上がり、他の問題に費やせる時間が出てくると思います。

無駄とは思わず、旧基本情報技術者試験(午後問題)の過去問を一度見返してみてはいかがでしょうか。

【基本情報技術者試験】よく出る問題(ハッシュソルト編)

基本情報技術者

 

基本情報技術者試験の午後問題では、ハッシュソルトに関する問題が出ています。応用情報技術者試験でも出ていたりと情報処理技術者試験では頻出と言える問題であると考えています。

今回はそんな「ハッシュソルト」について見ていきます。

 

目次

 

 

ハッシュソルトとは??

ハッシュソルトは、パスワードなどの機密情報を保護するために使用されるセキュリティ技術の一つです。ハッシュ関数によってパスワードを変換する際にランダムなデータを追加することで、パスワードの解読や総当たり攻撃に対するセキュリティを強化します。

通常、パスワードはハッシュ関数を使用してハッシュ値に変換され、データベースなどに保存されます。しかし、ハッシュ関数は入力が同じであれば常に同じハッシュ値を生成するため、ハッシュ値が漏洩した場合、攻撃者は総当たり攻撃などの手法を使ってハッシュ値を解読することができます。

ハッシュソルトを導入することで、パスワードのハッシュ化をより強固にし、攻撃者の解読を困難にします。ハッシュソルトはランダムな文字列やバイト列で構成されており、パスワードと組み合わせてハッシュ関数に渡されます。ハッシュソルトを使用すると、同じパスワードでも異なるハッシュ値が生成されます。

 

具体的なハッシュソルトの処理手順は次のようになります。

  1. パスワードとランダなハッシュソルトを組み合わせます。

  2. ハッシュ関数を使用して、組み合わせたパスワードとハッシュソルトをハッシュ化します。

  3. ハッシュ化されたパスワードとハッシュソルトの結果をデータベースなどに保存します。

 

ログインの際にも同じ手順を再現し、入力されたパスワードとハッシュソルトを組み合わせてハッシュ化し、その結果をデータベースに保存されたハッシュ値と比較します。

ハッシュソルトを使用することで、同じパスワードを持つユーザーでも異なるハッシュ値が生成されるため、パスワードの解読や総当たり攻撃に対して強力なセキュリティを提供が可能になります。

 

 

 

ハッシュソルトを使うメリット

上記でも少し取り上げていますがメリットはいくつかあります。

  1. パスワードの保護: ハッシュソルトを使用することで、パスワードのハッシュ化が強化されます。ハッシュソルトにより、同じパスワードを持つユーザーでも異なるハッシュ値が生成されるため、パスワードの解読が困難になります。

  2. 総当たり攻撃への対抗: ハッシュソルトはランダムなデータであり、ハッシュ関数によるハッシュ値の生成を予測困難にします。そのため、総当たり攻撃などの手法によるハッシュ値の解読を困難にし、セキュリティを強化します。

  3. 多重認証への対応: ハッシュソルトを使用することで、同じパスワードを持つユーザーのハッシュ値が異なるため、不正なアクセスによる権限の乗っ取りを防ぐことができます。これにより、多重認証の実装やセキュリティの向上が可能になります。

 

 

 

ハッシュソルトを使うデメリット

上記でも少し取り上げていますがデメリットはいくつかあります。

  1. 追加のストレージ要件: ハッシュソルトはハッシュ値と一緒に保存されるため、データベースやストレージシステムにおいて追加のスペースが必要となります。大量のユーザーデータを扱う場合、ストレージ要件が増加する可能性があります。
  2. パフォーマンスの低下: ハッシュソルトを使用することで、ハッシュ計算の処理時間が増加する場合があります。ハッシュソルトのランダム性や長さによっては、パスワードのハッシュ化に時間がかかり、システムのパフォーマンスに影響を与える可能性があります。
  3. ソルトの管理と保管: ハッシュソルトはセキュリティ上の重要な要素であり、適切に管理・保管する必要があります。ソルトの漏洩や不正利用を防ぐために、適切なセキュリティ対策が必要です。また、複数のシステムやアプリケーションで同じソルトを使用することは避けるべきです。
  4. ユーザーログインの遅延: パスワードのハッシュ化におけるソルトの使用は、ユーザーログインの遅延を引き起こす場合があります。ソルトの追加処理やハッシュ計算の時間が増えるため、ユーザーがアプリケーションにアクセスする際の応答時間が長くなる可能性があります。

 

 

 

まとめ

基本的にはデメリットに関することは今までの経験上、ほとんど出題されていないものと感じています。ハッシュソルトはどんなものか、メリットはどんなものか等を押さえておけば問題ないと考えています。

 

また、ハッシュソルトに関する問題が必ず出るとは限りません。ただ、どんなものか知っておくだけで解答のスピードは格段に上がり、他の問題に費やせる時間が出てくると思います。

無駄とは思わず、旧基本情報技術者試験(午後問題)の過去問を一度見返してみてはいかがでしょうか。

基本情報技術者試験にトレンド技術の勉強は必要ない?

基本情報技術者

ここでは基本情報技術者試験にトレンド技術の勉強は必要なの?どこから情報を取得すればいいんだ?と悩んでいるあなたにぜひ見ていただきたい内容となっています!

 

 

目次

 

 

基本情報技術者試験とは??

基本情報技術者試験は、情報技術に関する基礎的な知識やスキルを評価するための資格試験です。基本情報技術者試験は、情報技術に関連する幅広いトピックにわたる基礎的な知識をテストします。主な試験範囲は以下の通りです。

  1. コンピュータシステムの基礎知識: コンピュータアーキテクチャ、データ表現、論理回路オペレーティングシステムなど、コンピュータシステムの基本的な概念や構成要素に関する知識。
  2. ソフトウェアの基礎知識: プログラミング言語、データ構造、アルゴリズム、ソフトウェア設計など、ソフトウェア開発やプログラミングに関する基本的な知識。
  3. ネットワークの基礎知識: ネットワークアーキテクチャプロトコル、LAN/WAN、インターネットなど、ネットワークの基本的な概念や技術に関する知識。
  4. データベースの基礎知識: データベース設計、SQLトランザクション処理、データベース管理など、データベースに関する基本的な知識。
  5. インフォメーションシステムと組織に関する知識: インフォメーションシステムの構築、情報セキュリティ、プロジェクト管理、ソフトウェアライフサイクルなど、組織内での情報システムの利用や管理に関する知識。

 

 

 

トレンド技術の勉強は必要ない?

個人的にはトレンド技術に関する勉強は必要ないと考えています。

基本情報技術者試験は試験の名の通り「基本」をおさえるための試験です。

試験要項に記載している対象者像はこちらになっています。

基本戦略立案又は IT ソリューション・製品・サービスを実現する業務に従事し,上位者の指導の下に,次のいずれかの役割を果たす。

  1. 需要者(企業経営,社会システム)が直面する課題に対して,情報技術を活用した戦略立案に参加する。
  2. システムの設計・開発を行い,又は汎用製品の最適組合せ(インテグレーショ ン)によって,信頼性・生産性の高いシステムを構築する。また,その安定的な運用サービスの実現に貢献する。

「汎用製品」という単語だったり、「上位者の指導の下に」という言葉からもわかるように基本情報技術者を取得することでやっと半人前になれます。初心者からの脱出です。

異論がある方々もいるかもしれませんが、基本情報技術者はあくまで基礎を抑えるための試験であり、さらなる勉強は仕事をしていく上で必要になります。

 

 

 

基本情報技術者取得のメリット

基本情報技術者試験の合格は、以下のようなメリットがあります。

また、次には応用情報技術者・高度情報処理技術者と続くので勉強のモチベーションも続くという点もメリットと言えるかもしれません。

  1. 就職や転職の強力なアピールポイント: 基本情報技術者の資格を持つことは、企業や雇用主に対して、情報技術分野における基礎的な知識とスキルを有していることを証明するものです。特に、情報技術業界やシステム開発企業などでの求人において、優先的に選考される可能性があります。

  2. キャリアアップのチャンス: 基本情報技術者の資格は、情報技術分野でのキャリアアップに役立つことがあります。例えば、経験に基づいたスキルの習得や上級資格の取得に向けてのステップとして活用することができます。

  3. 情報技術分野への幅広い理解: 情報技術の幅広い領域にわたる基礎的な知識を獲得する機会があります。これにより、ハードウェア、ソフトウェア、ネットワーク、データベースなど、異なる領域の関連性や相互作用を理解することができます。

  4. スキルの補完と強化: 基本情報技術者試験を受験することで、情報技術に関する知識やスキルを総合的に学ぶ機会が得られます。これにより、自己学習や実践的な経験と組み合わせることで、より高度なスキルを身に付ける基盤を作ることができます。

 

 

 

最後に....

いかがだったでしょうか。

トレンドの勉強をしたほうが良いか。と言われえば、したほうが良いに決まっています。ただ試験合格という点においてはトレンドの勉強は必要ないと思っています。

特に科目Bの割合は、データ構造及びアルゴリズムが8割、情報セキュリティが2割の割合で出題されます。アルゴリズムは基本的なものになりますし、情報セキュリティも2割となっています。

トレンド問題が出ても情報セキュリティくらいだと思うので、トレンドの勉強をするくらいであればアルゴリズムの勉強をしたほうが有益だと思っています。

基本情報技術者は勉強さえすれば、確実に合格できる資格です!

まずは、参考書を眺めるところから始めてみてはいかがでしょうか。

【基本情報技術者試験】情報セキュリティ基礎

基本情報技術者

 

ここでは「基本情報技術者試験」に特化した情報セキュリティに関する知識を順を追って説明しています。

基本的な用語となるので、覚えていない方はまず用語から押さえていきましょう!

 

目次

 

 

情報セキュリティとは??

情報システムやデータの機密性、完全性、可用性を保護するための対策や原則に関する知識・仕組みのことを指しています。

具体的には以下のようなものがあります。

1. 暗号化: データを第三者から保護するために暗号アルゴリズムを使用する方法や、暗号化の基本原則、共通鍵暗号公開鍵暗号の違いなどについての知識。

2. 脅威と対策: セキュリティ脅威(ウイルス、マルウェアクラッキングなど)の種類や特徴、それに対する対策や防御策、セキュリティポリシーの設計や実施に関する知識。

3. ネットワークセキュリティ: ネットワーク上での情報の安全性を確保するためのセキュリティ対策や、ファイアウォール、侵入検知システム(IDS)、仮想プライベートネットワーク(VPN)などの技術に関する知識。

4. プライバシーと個人情報保護: ユーザーのプライバシーと個人情報の保護に関する法律や規制、プライバシーポリシーの作成や運用に関する知識。

 

情報セキュリティは、組織や個人が情報資産を適切に保護し、セキュリティリスクに対処するために重要な知識領域です。

科目A・科目B、どちらでも情報セキュリティに関する問題は出題されます。

しっかりと押さえておきましょう!

 

 

 

情報セキュリティの三要素(七要素)

情報セキュリティの三要素と七要素は以下のです。

情報セキュリティを学ぶ、基本情報技術者試験を受ける上での考え方として絶対に必要になり、試験にも出てきます。

各用語とその内容を覚えていきましょう!

 

 

情報セキュリティの三要素
  1. 機密性(Confidentiality): 情報へのアクセスが制限され、許可されていない人々から情報が保護されていることを意味します。機密性の目標は、情報が適切な人々にのみ開示されることを確保することです。
  2. 完全性(Integrity): 情報が正確かつ完全であることを保証することを指します。情報の完全性は、情報が不正な変更や改ざんから保護され、信頼性が確保されることを意味します。
  3. 可用性(Availability): 情報が必要な時に正当な利用者に提供されることを示します。情報の可用性の目標は、サービスやデータが適切な時間内で正常に利用可能であることを確保することです。

 

情報セキュリティの七要素
  1. 機密性(Confidentiality): 情報へのアクセスが制限され、許可されていない人々から情報が保護されることを意味します。
  2. 完全性(Integrity): 情報が正確かつ完全であることを保証することを指します。
  3. 可用性(Availability): 情報が必要な時に正当な利用者に提供されることを示します。
  4. 認証性(Authenticity): 情報やデータの送信元や送信者が確認できることを指します。認証は、情報の信頼性を確保するために重要です。
  5. 可能性(Possession): 特定の情報やリソースが正当な所有者によって管理および制御されていることを指します。
  6. 可疑性(Non-repudiation): データの送信や取引が行われたことを否定できないことを意味します。送信者や受信者がその行動を否定できないことを保証するために使用されます。
  7. 信頼性(Reliability): システムやプロセスが正確かつ信頼できることを指します。信頼性の目標は、情報やサービスの信頼性を確保することです。

 

 

 

具体的な暗号化手法

代表的な暗号化手法はこちらになります。

基本情報技術者試験でそのまま出てきてもおかしくないくらい有名な手法です。

というか問題として出てきます。

各方式についてマスターしておきましょう。

 

<代表例>

 ・共通鍵暗号方式

 ・公開鍵暗号方式

 ・ハイブリット方式

 

 

 

具体的なセキュリティ脅威手法

代表的なセキュリティ脅威はこちらになります。

基本情報技術者試験でそのまま出てきてもおかしくないくらい有名なものです。

というか問題として出てきます。

 

<代表例>

 ・

 ・

 ・

 

 

 

まとめ

基本の知識があれば、応用はいくらでも効きます!

ましてや、基本情報技術者試験は基礎を押さえていれば問題ありません。

今後、ステップアップを目指していくに当たり、これを機会に基礎固めをしていきましょう!

 

ただ、こちらに書いたのは基礎中の基礎です。

参考書を一度読んで、どんな機能を持っているのか・導入することでどんなメリットがあるのかを考え、覚えていきましょう!

 

【基本情報技術者試験】セキュリティ脅威(攻撃手法編③)

基本情報技術者

ここでは「基本情報技術者試験」に特化した情報セキュリティに関する知識を順を追って説明しています。

基本的な用語となるので、覚えていない方はまず用語から押さえていきましょう!

 

目次

 

 

セキュリティ脅威とは??

セキュリティ脅威(Security Threat)とは、コンピュータシステムやネットワーク、データ、ソフトウェアなどの情報セキュリティを危険にさらす要素や事象を指します。セキュリティ脅威は、悪意のある攻撃者や不正な行為、システムの脆弱性、自然災害、人為的なミスなど、さまざまな要因によって引き起こされる可能性があります。

また、悪意のある外部の者からの攻撃はもちろん脅威になりますが、内部のものによる行為も脅威になります。

 

具体的な攻撃手法

なかでも、代表的な攻撃手法を3つほど取り上げます。

特に科目Aでは選択肢としてそのまま出てくるので押さえておきましょう。

科目Bでは単語というよりは、その用語は具体的にどのような攻撃を行うかという点の問題が見られます。

 

<代表的>

パスワードリスト攻撃

パスワードリスト攻撃(Password List Attack)は、予め用意されたパスワードリストを使用して、アカウントやシステムの認証情報を総当たりで試行し、正しいパスワードを見つける攻撃手法です。

一般的なパスワードや一般的な単語、一般的なパターンを含んだ事前に用意されたリストを使用して行われます。攻撃者は、このリストの中から順番にパスワードを試行し、正しいパスワードが見つかるまで続けます。一般的なパスワードや単語を使用している場合、攻撃者は比較的短期間でパスワードを突破することができます。

脆弱なパスワードを使用しているユーザーアカウントやシステムの弱点を突くことを目的としています。攻撃者は、一般的なパスワード(例: "password"や"123456"など)や頻繁に使用されるパスワード(例: "qwerty"や"admin"など)などをリストに含めます。また、特定の組織や個人に関連する情報(例: 誕生日、住所、ペットの名前など)もリストに含まれる場合があります。

 

テンペスト攻撃

テンペスト攻撃(Tempest Attack)は、電子機器から発せられる電磁波を傍受して情報を盗み取る攻撃手法です。この攻撃は、電磁波が電子機器や通信媒体から放射され、周囲の環境中に広がる性質を利用しています。

特にコンピュータモニタやキーボードなどのデバイスが対象とされます。これらのデバイスは、電子的な信号を発信および受信するため、周囲に電磁波が放射されます。攻撃者は、この電磁波を傍受し、デバイスの処理や通信から情報を復元することを試みます。

具体的なテンペスト攻撃の例としては、以下のようなものがあります。

  1. ビデオモニタの傍受: 攻撃者は、対象となるコンピュータのビデオモニタが放射する電磁波を傍受して、画面上の情報(テキストや画像など)を視覚化することが可能です。これにより、盗聴や機密情報の漏洩が起こります。

  2. キーボード入力の傍受: 攻撃者は、対象となるキーボードが放射する電磁波を傍受して、キーストロークを復元し、入力されたテキスト情報を盗み取ることができます。この攻撃は、パスワードや機密情報の盗み取りに使用されることがあります。

テンペスト攻撃は高度な技術や専門的な知識が必要であり、一般的な攻撃手法ではありません。通常、政府機関や軍事組織など、極めて機密性の高い情報にアクセスするために使用されることがあります。

 

DNSキャッシュポイズニング

DNSキャッシュポイズニング(DNS Cache Poisoning)は、DNS(Domain Name System)のキャッシュに不正な情報を注入することで、ユーザーを偽のウェブサイトに誘導する攻撃手法です。

DNSは、ドメイン名(例: example.com)をIPアドレス(例: 192.0.2.1)に変換するためのシステムです。DNSキャッシュは、DNSクエリの結果を一定期間保持し、同じクエリが再度発生した場合にキャッシュから応答を返す仕組みです。これにより、クエリの処理時間やネットワークトラフィックを削減することができます。

攻撃者は、DNSキャッシュに不正な情報を注入することで、正規のDNS応答を置き換えます。具体的な攻撃手順は次のようになります。

  1. 攻撃者は、特定のドメイン名(例: example.com)のIPアドレスを偽のIPアドレス(例: 203.0.113.1)に関連付けます。

  2. 攻撃者は、DNSキャッシュに不正な応答を送信します。これにより、キャッシュは不正な情報を保持し、正規の応答を上書きします。

  3. ユーザーが同じドメイン名をクエリした場合、キャッシュから取得される応答は攻撃者が指定した偽のIPアドレスになります。

  4. ユーザーのブラウザやアプリケーションは、偽のIPアドレスにアクセスし、攻撃者の制御下にある偽のウェブサイトにリダイレクトされます。

DNSキャッシュポイズニングの目的は、ユーザーを偽のウェブサイトに誘導し、個人情報や認証情報を盗み取ることです。また、マルウェアの配布やフィッシング攻撃の実施など、さまざまな悪意のある活動に利用されることもあります。

 

 

 

最後に....

基本の知識があれば、応用はいくらでも効きます!

ましてや、基本情報技術者試験は基礎を押さえていれば問題ありません。

今後、ステップアップを目指していくに当たり、これを機会に基礎固めをしていきましょう!

 

ただ、こちらに書いたのは基礎中の基礎です。

参考書を一度読んで、どんな機能を持っているのか・導入することでどんなメリットがあるのかを考え、覚えていきましょう!