高度情報技術者試験の午前問題（午前１と午前２の選択問題）で問われるセキュリティ技術のポイント

■はじめに
■セキュリティ対策組織
■プログラムの脆弱性対策
■デジタル証明書を用いた認証方式
■システムに対する攻撃手法
■セキュリティ通信の方式
■セキュリティ用語
■SSL
■TSL
■メールサーバー（SMTP）の不正利用防止
■参考書籍
■関連ブログ

■はじめに

IPA（情報処理推進機構）が実施している高度情報処理技術者試験※で問われる午前問題（午前１と午前２の選択問題）で問われるセキュリティ技術のポイントをまとめみました。

ITストラテジスト試験
システムアーキテクト試験
プロジェクトマネージャ試験
ネットワークスペシャリスト試験
データベーススペシャリスト試験
エンベデッドシステムスペシャリスト試験
ITサービスマネージャ試験
システム監査技術者試験

参考書籍も紹介しています。

■セキュリティ対策組織

〇CSIRT（シーサート：Computer Security Incident Response Team）とは、国家や企業内においてコンピュータやネットワークで発生する問題の監視、原因解析、影響調査する組織の総称である。

〇JIPDEC（Jpan Insitute for Promotion of Digitarl Economy and Community：一般財団法人　日本情報経済社会推進協会）とは、JIS Q 15001：2006に適合して、個人情報について適切な保護措置を講じる体制を整備、運用をしている事業者などのを認定する組織である。

〇CRYPTREC ( Cryptography Research and Evaluation Committees）とは、電子政府のセキュリティを確保するために、安全性や実装性に優れるとされる暗号技術を評価、選出する組織である。

〇NISC（Natoional center of Incident readiness and Strategy for Cybersecurity：内閣サイバーセキュリティセンター)とは、内閣官房に設置され、サイバーセキュリティ対策に関する総合調整を行い、世界を率先する、強靭な、活力あるサイバー空間の構築に向けた活動を行う組織である。

■プログラムの脆弱性対策

〇バッファーオーバーフロー攻撃とは、プログラムの脆弱性をついた攻撃の一つで、バッファの許容量を超えるデータを送り付けてシステムの停止を引き起こしたりして、意図的にバッファーをオーバーフローさせて、あふれ出た実行させたり、攻撃することである。
バッファーオーバーフローに対しては、検知機能を備えたプログラムを

〇クロスサイトスクリプティングやSQLインジェクションに対しては、入力内容をそのまま表示せず、コードやパラメータを無効化するといい。

〇セッションハイジャックに対しては、セッション情報の生成に
ミドルウェアなどの用意した管理機能を利用したり、有効期限を設けるといい。

〇ディレクトリトラバーサルに対しては、パス名として識別される文字列に非公開ページが指定されていないかチェックするとよい。

■デジタル証明書を用いた認証方式

〇DKIM（DomainKeys Identified Mail）は、デジタル証明書を用いた電子メールの送信ドメイン認証の実現方式である。送信ドメイン認証とは、電子メールの送信元アドレスや送信元アドレスのドメイン名のサーバから、間違いなく送信された電子メールであることを検証する認証技術である。
　送信側メールサーバではデジタル署名を作成して電子メールのヘッダに付加して、受信側メールサーバーに送信する。
　受信した電子メールのデジタル署名を復号し、復号し、送信側ドメインの真正性を検証する。

〇DNSSECは、DNS応答にデジタル署名を含めることによって、DNSサーバーと応答内容の正当性を検証する仕組みである。

〇Authは、複数のサービス間でアクセス権限などの許可情報をやり取りする仕組みである。

〇OP25B (Outbound Port25 Blocking):ISP(プロバイダ）が実施するスパムメール対策の一つである。メールサーバーの不正利用を防ぐために、ユーザーから外部に向けてのポート番号25を用いたSMTP通信要求をブロックする。

■システムに対する攻撃手法

〇サイドチャンネル攻撃とは、暗号処理装置（暗号モジュール）の処理時間や消費電力、漏洩電磁波などを解析し、暗号を解読する攻撃である。その攻撃手法は、解析する情報によって、タイミング攻撃、電力解析攻撃、電磁波攻撃などと呼ばれている。

〇中間者攻撃とは、通信を行う二者間に割り込んで、両者の交換する情報を攻撃者のも

〇RLO(Right to Left Override)を利用した攻撃とは、文字の表示順を変える制御文字を利用して、ファイル名の拡張子を偽装することでそのファイルを実行させ、マルウェアに感染させる攻撃である。

〇ディレクトリラバーサルの脆弱性を利用した攻撃とは、相対パス指定を用いることで、プログラムが意図しないファイルにアクセスする攻撃である。

■デジタル証明書の用語

〇CRLは、Certificate Revocation List :証明書失効リストの意味で、有効期間中でも失効となったデジタル証明書の一覧をを示すデータです。

〇CAとは、Cerfication Authoriry：認証局の意味で、デジタル証明書の登録、発効、失効を行う機関です。
なお、デジタル証明書の失効を行うCA自体の正当性の認証は、CAが認証の階層構造を形成することによって行われます。
CAは、

〇CPSは、Cerfication Practice Statement:認証局運用規程は、証明書の仕様などもも説明された認諸局自体の運用規程である。

■セキュリティ通信の方式

〇AES(Advanced Encryption Standard) は、NIST（National Institue of Standards and Technology：米国国立標準技術研究所）
がDESの後継となる標準暗号方式として公募、選択した共通鍵暗号方式です。
鍵長は、128ビット、192ビット、256ビットから選択します。

Rijndaelは、AESの基盤となったという共通鍵（秘密鍵）暗号方式で、ブロック長と鍵長が可変であるが、AESではブロック長が固定で、鍵長が3種類となっている。

〇DESとは、Data Encryption Standard（データ暗号化標準）の意味で、アメリカ合衆国の旧国家暗号規格、もしくはその規格で規格化されている共通鍵暗号である。DESは今では多くの用途において安全ではないと見なされている。これは主に56ビットという鍵長が短すぎることに起因する。近年、Advanced Encryption Standard (AES)に取って代わられた。

■共通鍵方式と公開鍵暗号方式

〇共通鍵暗号方式（秘密鍵暗号方式）は、送信側と受信側が同じ鍵を使用する。

〇共通鍵方式では、通知相手毎に鍵を用意し、通信相手が多くなるに従って、鍵管理の手間が増える。

〇公開鍵暗号方式は、送信側が公開鍵で暗号化を行い、受信側は公開鍵と対となっている秘密鍵で暗号を行います。

〇公開鍵暗号方式の場合、暗号化と復合で異なる鍵を利用しているので暗号化鍵を公開しても、復合鍵さえ秘密であれば、秘密は保たれる。そのため、共通鍵と違い、通信相手毎に鍵を分けるがない。

〇署名には、本人しか知らない秘密鍵を利用して、その復号に公開鍵を利用します。

■セキュリティ用語

〇SSH（Secure Shell）は、リモートログインやリモートファイルコピーなどリモートコマンドを安全に行うためのツール及びプロトコルである。従来のリモートコマンドは、ログインの認証情報や転送するファイルを平文で通信するため、セキュリティが確保されていなかった。SSHでは、サーバー（リモートホスト）とクライアント（ローカルホスト）間で安全に相互認証するとともに、機密性と安全性を保証した各種コマンドを提供しています。

〇S/MINE（Secure Multipurpose Internet Mail Extenshons）は、MIMEを拡張した電子メールの暗号化とデジタル署名に関する標準方式である。

〇SET(Secure Electronic Transaction)や3D Secureは、オンラインショッピングで安全にクレジット決済を行うための仕様です。

〇PGP(Pretty Good Privacy)は、電子メールなどのセキュリティ技術で、対象暗号技術（共通鍵暗号技術）、非対称暗号技術（公開鍵暗号方式）を併用して、電子メールの復号化、暗号化を機能を持つ。

■SSL

〇　SSL(Secure Sockets Layer)は、HTTPのほか、FTPやSMTPなどのTCPを利用するアプリケーション層プロトコルのデータをカプセル化し、通信の安全性を確保するためのセキュリティプロトコルである。

〇　SSLでは、通信相手の認証を行った上で、通信を暗号化するための共通鍵を作成する。

〇　SSLでは、通信相手の認証にはクライアントはサーバー証明書（サーバーのデジタル証明書）の提出を受け、それを検証する。

〇　サーバーはクライアント証明書（個人認証用のデジタル証明書）の提出を求めることもできるしが、求めない方式も可能である。
このデジタル証明書は、ICカードあUSBトークンに格納できるので、格納場所を求めて特定のPCに限定させる必要はない。

■TSL

〇　SSLは、最初は「SSL 1.0」という形で開発され、さらに改良後「SSL 2.0」として登場しました。
このバージョンアップの過程の中で、SSLは根本から設計を見直す必要がありました。
そして現在、通称としてSSLと呼ばれているものは、SSLに変わる新しい仕組みの『TLS（Transport Layer Security）』というものになっています。
〇　『TLS』は、一般的には「SSL」や「SSL/TLS」といった表現がされていて、大きな仕組みはSSLと変わっていない。