情報セキュリティのポイント (分野別のポイント)
| 過去10回分の出題傾向分析 |
|
1. 平成28年春期 Webサーバへの不正侵入
電子証明書の再発行、Telnet・SSH、パスワードの変更、パスワードの強度 |
|
2. 平成27年秋期 ログ管理システム
ログ管理システムの仕組み、アクセス権、暗号化の鍵の個数、不正アクセスを早期に検知 |
|
3. 平成27年春期 インターネットを利用した受注管理システムのセキュリティ
HTTPS通信、攻撃、ログインでの脆弱性 |
|
4. 平成26年秋期 Webサイトで会員登録とメールマガジン発行
HTTPS通信、パケットフィルタ型のファイアウォール、SSH(暗号や認証の技術を利用して、安全にリモートコンピュータと通信するためのプロトコル)、公開鍵暗号方式 |
|
5. 平成26年春期 情報資産についてのリスクアセスメント
情報資産の洗出し、情報資産の価値の数値化 、脅威の数値化 、脅威に対する脆弱性の数値化、リスク値 |
|
6. 平成25年秋期 VPN
IPsec の要素技術の説明、相手のVPNルータを認証する仕組み、暗号化、ディジタル署名 |
|
7. 平成25年春期 IC カードを利用した入退室管理システム
ICカードの耐タンパ性、入退室管理システムは入退室のログ、ICカード状態遷移図、自分のICカードを使わずに入退室する者の対策 |
|
8. 平成24年秋期 インターネットを利用した会員制のサービスのセキュリティ事故の対応
SQLインジェクション攻撃、セキュアプログラミング |
|
9. 平成23年秋期 自社の情報セキュリティにおけるリスクを数値化して管理
機密性・完全性・可用性、リスクの値=情報資産の価値×脅威×脆弱性 |
|
10. 平成22年秋期 認証システム
ケルベロス認証、認証サーバ,鍵データベース、チケット発行サーバ、共通鍵暗号方式 |
|
11. 平成21年秋期 利用者認証の方式
利用者 ID とパスワード方式 、チャレンジレスポンス方式、トークン(パスワード生成器)方式、総当たり方式 |
| 必要な知識分析 |
|
情報セキュリティの「午前レベルの知識がある」という前提で、問題文を読みこなす「読解力」が必要です。 以下は、傾向より分析した問題を解くための必要な前提知識です。
1. ファイアウォールのパケットフィルタリングの仕組みの理解
2. ファイアウォールの設置とDMZの理解
3. 暗号化の「共通鍵暗号方式」「公開鍵暗号方式」「ハイブリッド暗号方式」の理解、※暗号化は盗聴のリスク対策
4. 認証方式「ID・パスワード認証」「チャレンジレスポンス認証」「トークン認証」
5. その他の認証「所有物(ICカード等)による認証」「バイオメトリクス認証」の理解
6. ディジタル署名、ハッシュ関数の理解、※ディジタル署名は、なりすまし・改ざん検出のリスク対策
7. PKI(ディジタル証明書・認証局・リポロジ)の仕組みの理解
8. SSL(https通信)の仕組みの理解
9. システムの各種攻撃手法の理解
10. マルウェアの種類の理解
11. マルウェア対策のマルウェア検出方法の理解
12. 機密性・完全性・可用性の理解
13. リスク分析の数値化の方法を理解 ※リスクの値=情報資産の価値×脅威×脆弱性 14. 発展項目として「VPN(IPsec使用)」「ケルベロス認証」の理解。※但し、これらは問題文に仕組みの記載があります |
| 対策 |
|
1. 上記の出題傾向「No 1.~14.」に関しての理解は必須です。これは、午前の「インプット学習」で言及しています。以下よりご確認ください。
5-1. 情報セキュリティ管理 ※時間は、「約15分」を目安とします。 |
