お疲れ様です。きざきまるおです!
今回は基本情報処理技術者試験でも出題範囲となっているセキュリティ項目についてまとめていきたいと思います。
それではどうぞ!
情報セキュリティとは
情報セキュリティとは機密性・完全性・可用性の3つの要素が一般的に定義されています。
それぞれ3つの要素はこのような特徴があります。
機密性:許可されたものだけが情報にアクセスできる
完全性:正確な情報が保持されている
可用性:いつでも情報にアクセスできる
まずはこちらの要素がベースにあることを頭の片隅に置いておきましょう。
サイバー攻撃
SQLインジェクション
SQLインジェクションとはアプリケーションの脆弱性を突いてデータベースの情報を不正に書き換えたり抜き出したりする攻撃です。
ECサイトのログイン画面でID OR 1=1(条件としてすべて該当する)と入力することですべての会員情報を抜き出されるようなイメージです。
クロスサイトスクリプティング
クロスサイトスクリプティングとはWebサイトの脆弱性を突いて悪質なサイトへ誘導するようなスクリプトを仕掛ける攻撃です。
Webサイトを開いてお問い合わせフォームなどに情報を入力して送信ボタンをクリックした際、悪質なサイトに誘導され、入力した情報やCookieが抜き取られる、マルウェアに感染などなどの被害にあってしまいます。
DoS/DDoS攻撃
DoS攻撃とはウェブサイトやサーバーに対して過剰なアクセスをしたり大きいデータを送り続けたりする攻撃です。DoSとDDoSの違いは攻撃が単体か複数かという部分になります。
例えばチケットを購入する際、購入可能時間になったタイミングはとてもアクセスしづらくなりますよね。実はその事象はある意味でDDoS攻撃といえるのです(悪意はありませんが…)。
フィッシング
構造がほぼ同じようなサイトへ被害者を誘導し、そこに入力された個人情報を抜き取る攻撃です。
ログイン画面などなどが本家のWebサイトと全く変わらないので注意です。
パスワードリスト攻撃
攻撃者が何らかの方法で入手したIDとパスワードの組み合わせをあらゆるサイトで片っ端から試してなりすましを行う攻撃です。
パスワードがどこから流出しているかは全くわからないので、パスワードを定期的に変えましょう。
標的型攻撃
明確なターゲットを決めてターゲットに応じて手法を変えて攻撃します。
よく話題に上がるのがメール型の攻撃で、メールを開いた瞬間にスクリプトが作動し、すべてのファイルが暗号化されるなどの被害が発生します。
暗号技術
共通鍵/公開鍵/秘密鍵
暗号化されたデータを送受信する際に復号するための手法。基本的には共通鍵及び公開鍵を秘密鍵で暗号化/複合します。
ハッシュ化
データそのものを不規則な文字列に変換する手法。ダウンロードされたファイルが本当に正しいものか確認するために使用されることが多いです。
認証
ID・パスワード認証
サービス利用前にログインID及びパスワードを用いて本人認証を行う方式。
こちらは皆さんおなじみですね。
多要素認証
認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち2つ以上を組み合わせて認証する方式。各要素に関する説明は以下になります。
知識情報:パスワードやPINコード
所持情報:携帯電話のSMS認証など
生体情報:指紋や声紋など
今回はセキュリティに関する情報について簡単にまとめさせていただきました。
まだまだ身につけておかなければならない知識がありますので、また後日書いていきたいと思います。
それではまた。
