【情報処理安全確保支援士】午後問題の頻出分野「ファイアウォール」の攻略ポイントと過去問

情報処理安全確保支援士(登録セキスペ)の午後問題の頻出分野「ファイアウォール」の攻略ポイントと過去問についてまとめました。

【関連技術】ファイアウォールの主なキーワード

ファイアウォールの種類 概要
ゲートウェイ方式 アプリケーションのプロトコル(HTTP,FTP,SMTPなど)ごとにゲートウェイ機能の設定が必要。
トランスポートゲートウェイ方式 トランスポート層レベルでコネクションを中継する。
パケットフィルタリング方式 パケットのヘッダ部の内容に基づいてフィルタリングを行う。(電子メールの内容などはパケットのペイロード部に格納されているためチェックできまない。
ステートフルインスペクション方式 通信内容の通過可否(ポートの開閉)を動的に判断するファイアウォールの方式。セッション毎に通信順序が矛盾した攻撃パケットを遮断することができたり、最小限の許可ルール設定で済むため「設定不備に対するサイバー攻撃に強い」という利点がある。
ステートフルフェールオーバー方式 システム障害時に別のファイアウォールへ通信を引き継ぐ機能。
検知手法 概要
パターンマッチング法 既知ウイルスのシグネチャと比較し、ウイルスを検出します。
コンペア法 感染前のファイルと感染後のファイルを比較し、ファイルに変更が加わったかどうかを調べてウイルスを検出します。既知の検体と同一のウイルスのみ検出可能です。
ビヘイビア法 ウイルスに起因する異常現象を監視し、ウイルスを検出します。
チェックサム法 ファイルのチェックサムと照合し、ウイルスを検出します。
用語 概要
WAF(Web Application Firewall) 「通過するパケットのIPアドレス」「ポート番号」「ペイロード部(データ部分)」をチェックして、Webアプリケーションに対する攻撃を検知し、通信をブロックできるファイアウォール。ただし、HTTPS通信が行われている経路上のパケットは暗号化されているため、これらの検知手法が使えない。そのためHTTPの経路に設置する。
SSLアクセラレータ SSL/TLS通信におけるパケットの暗号化/復号を高速に行う専用機器。Webサーバの処理負荷を軽減する目的で「ファイアウォールとWebサーバーの間」に設置される。またSSLアクセラレータのWAN側はHTTPSとなる(LAN側はHTTP)。
SIEM 様々なシステムの動作ログを一元的に蓄積・管理し、セキュリティ上の脅威となる事象をいち早く検知・分析します(Security Information and Event Management)。
UTM ファイアウォール機能を有し、ウイルス対策や侵入検知などを連携させ、複数のセキュリティ機能を統合的に管理します(Unified Threat Management)。
TPM Trusted Platform Moduleの略で、PCのマザーボード上に直付けされ「RSA暗号の暗号/復号」や「鍵ペアの生成」、「SHA-1ハッシュ値の計算」「デジタル署名の生成・検証」などの機能を有したセキュリティチップです。業界団体であるTCG(Trusted Computing Group)によって仕様が策定されています。
SDN SDN(Software Defined Network)の略で、ネットワーク上の様々な通信機器を集中的に制御しネットワーク構成やセキュリティ設定などを動的に変更します。
DMZ DeMilitarized Zone(非武装地帯)の略で、公開サーバなどの外部からアクセスされる可能性のある情報資源を設置するための、外部でも内部でもない中間的な位置に存在するセグメントです。インターネットと内部ネットワークおよびDMZは、ルータやファイアウォールで隔てられています。外部からのアクセスを受け付ける公開サーバを内部ネットワークに設置すると、攻撃を受けた際の被害が、内部ネットワークの他のサーバに波及する恐れがあるため、Webサーバは被害発生時の影響を最小限にするためDMZに設置するのが一般的です。一方、DBサーバへのアクセスはWebサーバを介して行われるため、外部から直接アクセスさせる必要がなく内部ネットワークに設置するのが一般的です。
NAPT プNetwork Address Port Translationの略で、プライベートIPアドレスとグローバルIPアドレスの相互変換するNATの考え方にポート番号を組み合わせた技術。NAPT機能には内部ネットワークを秘匿できるというセキュリティ上の副次的効果がある。
TPM PCのマザーボード上に直付けされ、RSA暗号の暗号/復号や鍵ペアの生成、ハッシュ値の計算、デジタル署名の生成・検証などの機能をもつセキュリティチップです。(Trusted Platform Module)。
【情報セキュリティ対策とは】マルウェア・不正プログラム、不正アクセスなど
情報セキュリティ対策とは?マルウェア・不正プログラム、不正アクセスなどについてまとめました。

【平成29年度・秋・午後Ⅰ問3】PKI

項目 答え
公式 午後Ⅰ問題解答(公式)講評
設問1(1)a コ(ディジタル証明書)
設問1(1)b カ(共通鍵暗号)
設問1(1)d オ(鍵交換)
設問1(1)d イ(EV証明書)
設問1(2) 正規のECサイトのURLでアクセスしたときに、偽のECサイトに誘導する
設問1(3) エ(予測不可能である)
設問2(1)ア 利用
設問2(1)イ 失効
設問2(2)① 鍵が危たい化したWebのFQDN
設問2(2)② 鍵が危たい化したと思われる日時
設問2(3)e 鍵ペア
設問3(1) SSL3.0を利用しない設定にする。
設問3(2) ウ、オ(DHE、ECDHE)
設問3(3) エ(取得された通信データの全てを復元される恐れがある。)
設問3(4) ドメイン認証証明書ではサーバの運営者がC社であることを確認できないため
情報処理安全確保支援士試験(登録セキスペ)の概要、攻略法
情報処理安全確保支援士試験(登録セキスペ)の概要、攻略法についてまとめました。
【情報処理入門】テクノロジ系、マネジメント系、ストラテジ系、資格試験
情報処理の基礎知識(テクノロジ系、マネジメント系、ストラテジ系)や資格試験についてまとめました。なお、情報処理技術者試験の出題分野別(テクノロジ系、マネージメント系、ストラテジ系)に各項目を整理しています。そのため、ITパスポート、基本情...

コメント

タイトルとURLをコピーしました