情報セキュリティスペシャリスト試験(SC) の勉強メモ

今更勉強中。明日試験なわけですがががが過去問題を解いたり出題範囲を確認していく中で、知らない or 気になった単語があったので調べてみた。自分用の勉強メモでしかない、雑なまとめ。
明日の朝見て復習するとかそんな用途。

メモ

コンティンジェンシープラン

• http://www.itmedia.co.jp/im/articles/0510/26/news138.html
• 事件・事故・災害などの不測の事態が発生することを想定し、その被害や損失を最小限にとどめるために、あらかじめ定めた対応策や行動手順のこと。
  • 災害などでどうしようもないときは運用でカバーするので、ちゃんと手順を策定しておこうね、的な？

JIS Q 27001

• http://jisq27001.info/iso/index.html
• http://ja.wikipedia.org/wiki/情報セキュリティマネジメントシステム
• JISQ27001 とは、国際的に整合性のとれた情報セキュリティマネジメントに対する第三者適合性評価制度（ISMS適合性評価制度）の基準となる規格のことです。
  • よくわかっていないけど、情報セキュリティに関するPDCAの国際基準、ってことなのかな。
  • あと、会社単位ではなくて業種・業務分野ごとに取得できるらしい。

IPスプーフィング

• http://ja.wikipedia.org/wiki/IPスプーフィング
• IPアドレスを偽装する攻撃方法。
  • IPパケットの送信元IPを書き換えるようだ。で、そうすることでFWをすり抜ける、と。
  • 対策としては、WAN→LANのとき送信元IPがLAN内部のIPアドレスだと捨てる。
  • もしくはループバック以外にlocalhostのIPを持つパケットが到達したら、怪しいので捨てる。

サイドチャネル攻撃

• http://ja.wikipedia.org/wiki/サイドチャネル攻撃
• 暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃方法である。
  • ほほう…物理的な手法でブラックボックステストして仕様を割り出すわけね。
  • タイミング・故障利用・電力解析・電磁波解析・キャッシュ・音響解析
    • どこの魔法使いだよ・・・

PCIデータセキュリティ基準

• http://ja.wikipedia.org/wiki/PCIデータセキュリティスタンダード
• 2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準

WAF(Web Application Firewall)

• http://www.sophia-it.com/content/WAF
• http://www.atmarkit.co.jp/ait/articles/0603/02/news107.html
  • Webアプリケーションに対し、通信内容をアプリケーションレベルで監視する感じですかね。

SMTPのSPF(Sender Policy Framework)

• http://ja.wikipedia.org/wiki/Sender_Policy_Framework
• http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/
• http://blog.livedoor.jp/dankogai/archives/50809900.html
  • メールサーバーがメールを受信時、DNSに送信者のドメインを問い合わせて結果をヘッダ情報に付与する、それを使って送信者がドメインの詐称をしていないかチェックする。といった感じかも。

DNS amp

• http://www.sophia-it.com/content/DNSアンプ
• http://itpro.nikkeibp.co.jp/article/COLUMN/20060824/246356/
• DNSキャッシュサーバーの再帰的問合せ機能を悪用して、パケットを増幅（amplify）させ、大量のDNSパケットを生成して攻撃に利用する手法のことである。

SMTP-AUTH

• http://e-words.jp/w/SMTP20Authentication.html
• http://co-akuma.directorz.jp/blog/2010/03/smtp-authものがたり/
  • 小悪魔さんわかりやすかった

SSID

• http://e-words.jp/w/SSID.html
• IEEE 802.11シリーズの無線LANにおけるアクセスポイントの識別子
• 最大32文字までの英数字を任意に設定できる
  • 無線LANアクセスポイントの名前。

SNMP trap

• http://www.atmarkit.co.jp/ait/articles/0303/21/news002.html
• trap ・・・ 自発的に状態（変更）を通知

QoS(Quality of Service)

• http://e-words.jp/w/QoS.html
• 特定のサービスのために、あらかじめ帯域を予約しておく技術。

OSI基本参照モデル

• http://ja.wikipedia.org/wiki/OSI参照モデル
• 物理層～アプリケーション層、っていう、いつものアレ。

RADIUS(Remote Authentication Dial In User Service)

• http://ja.wikipedia.org/wiki/RADIUS
• RADIUSプロトコル。RADIUSクライアント・RADIUSサーバがある
  • ネットワーク上の資源の利用可否を認証するサービス、なのかな。

HDLC(High-Level Data Link Control)

• http://ja.wikipedia.org/wiki/High-Level_Data_Link_Control
• ビットオリエンテッドなフレーム同期型のデータリンク層プロトコルである。

WPA2

• http://itpro.nikkeibp.co.jp/article/Keyword/20110405/359089/

　
ソースがwikipediaばっかり・・・

---

2013/06/21 追記
こんなので受かってました。