パケットの改変によてMACアドレス、IPアドレスなどを詐称し、それによるによるアクセス制御を無効化する。 対策 詐称されうる情報に頼ったアクセス制御を利用しない。

正規のユーザーにより確立されたTCP(や、より上位の層の)セッションを横取りし、正規ユーザーの権限でシステムに不正アクセスする。 名前 方法 リスク 対策 セッションハイジャック TCPやHTTPのセッションを奪取しなりすます。 奪取したセッションによる不正…

新しいPCが来たわけですが、OSのインストールで問題発生。CD入れてインストールする途中で"pci.sys"がどうのこうのと書かれた青画面に!ネットで調べてみると、どうもWindowsXPのインストールCDが古いらしく(→自作PCのグレードアップ奮闘記(その1))S-ATAとか…

パスワードを不正に入手し、システムにアクセス。情報漏洩やデータの改ざん、システムの破壊などのリスクにつながる。 名前 方法 対策 ブルートフォースアタック プログラムを利用した総当たり攻撃で、ユーザーのパスワードを得る パスワードを長くする。定…

ソフトウェアの停止やネットワークの負荷をあげ、サービス不能に陥れる。このほか、バッファオーバーフローでサーバープログラム停止→サービス不能とかもできる。(その場合、不正なコマンドを実行されることのほうが問題なのでここにはいれない。)大きく、 …

攻撃対象の情報収集手法のリスト。リスクには直結しないが、脆弱性が発見されることにより次の攻撃につながる。 名前 方法 リスク 対策 フットプリンティング 企業のディスクロージャ情報やWebページ、JPNICデータベース、およびDNSからターゲットとなるホス…

主な攻撃手法はだいたいこんな感じ? 情報収集 DoS(サービス不能)攻撃 パスワードクラック セッションハイジャク スプーフィング バッファオーバーフロー OSコマンドインジェクション SQLインジェクション XSS/CSRF ウイルス/ワーム類 なんか足りない気もする…

text2pngはHTML内の任意のテキストをPNG画像に変換するWebサービスです。 専用のJavaScriptクライアントライブラリのAPIを実行することで、HTML内の要素がPNG画像に置き換わります。 テキストのフォントやサイズは、CSSの値が継承されます。また、APIの引数…

「情報セキュリティマネジメントシステム」と「個人情報の取り扱い」についてそれぞれ認定制度がある。どちらもJIPDECが管轄 ISMS適合性評価制度 企業の情報セキュリティマネジメントシステム(ISMS)が、JIS Q 27001:2006に準拠していることを認定する評価制…

JIS Q15001 (個人情報保護に関するコンプイアンス・プログラムの要求事項) 事業者が業務上取り扱う個人情報を安全で適切に管理するための標準を示した規格。→Wikipedia - JIS Q 15001（個人情報保護マネジメントシステム-要求事項） 事業者が保有する個人情…

電気通信事業法 電気通信の健全な発達と国民の利便の確保の為の、電気通信事業に関する詳細な規定。 通信の秘密 : 電気通信事業者の取扱中の通信を侵してはならない 刑法 以下の悪事は刑法でも規制されている。 電磁的記録不正作出及び供用 人の事務処理を誤…

情報セキュリティマネジメントシステムの構築と運用のために、なにをしないといけないかの規格(JIS Q 27001:2006)と、どうやったらいいかの規格(JIS Q 27002:2006)とがある。 JIS Q 27001:2006 情報技術−セキュリティ技術−情報セキュリティマネジメントシス…

自作Webサイトへ、はてなスターを導入する手順のメモです。次の2つを行えばとりあえず★が付けられるようになります。 はてなスターから提供されているスクリプトを読み込む。 ★を付けられるエントリの一覧を返すメソッド(Hatena.Star.EntryLoader.loadEntrie…

可用性(稼働率)の計算式 可用性(稼働率)は以下の式で求められる。 可用性(稼働率) = MTBF / MTBF+MTTR MTBF(Mean Time Between Failure) 平均故障間隔=動いている期間 MTTR(Mean Time To Repair) 平均修理期間=とまっている期間 MTBF+MTTR 動いている期間+と…

リスクアセスメント リスクの分析と評価のこと。情報セキュリティポリシー対策基準策定時に行う。 リスク分析手法 「IT セキュリティマネジメントのガイドライン−第3部：ITセキュリティマネジメントのための手法（JIS TR X 0036-3:2001）」では次の4つのリス…

ISMSのPDCAサイクルにおけるP(Plan)の部分。 構造 情報セキュリティポリシーは次の3つの階層から構成される。→IPA - 情報セキュリティマネジメントとPDCAサイクル(図つき) 基本方針 経営者の「情報セキュリティに本格的に取り組んでいく」という宣言。 具体…

情報セキュリティマネジメントシステム(ISMS) 情報セキュリティを確保、維持するための、人的、物理的、技術的、組織的な対策を含む、組織的な取組みのこと。 PDCAサイクル Plan-Do-Check-Act の略で、情報セキュリティマネジメントシステムを有効に機能させ…

セキュリティ対策を機能的に分類すると、次の5つに分けることができます。 脅威や脆弱性に対して、これら5つの観点で対策ができていることが重要。 たとえば予防だけして検知や修復の対策を怠ったりするのはまずい。 目的と重要性にあわせてバランスよく対策…

以下の目的のため、各種脅威から情報資産を保護すること。 事業の継続 損害の最小化 利益と事業機会の最大化 具体的には次の3つのポイントを最低限維持することが必要。 機密性 権限が与えられたもののみに情報資産へのアクセスを許す。 可用性 必要なときに…

2月になりました。そろそろ、情報処理技術者試験の勉強をはじめないと!今年も「テクニカルエンジニア-情報セキュリティ」目指してまったりがんばります。ということで、以下のテキストを買ってきました。当面はこれを読みつつ要点をまとめていくことにします…

はてなスターAPIを使ってさくっと取得できます。JSONPに対応しているので、JavaScriptだけ書けばOK。 /** * はてなスター情報取得リクエストから呼ばれるコールバックハンドラ。 * @param {Object} data はてなスター情報 */ function showStar( data ) { do…