実際にコーディングを行う また完成したソフトウェアユニットにおいてユニットテストを行う

メール受信の際に用いられるPOP3の認証時パスワードを暗号化する方式

RADIUS(認証)サーバーとクライアント間において 様々な認証方式が使えるように拡張するプロトコル

ソースコード静的検査 プログラムの動的検査 ファジング

データが処理を起動するという考えに基づく設計手法

AH(認証) ESP(認証/パケット暗号化) IKE(秘密鍵の交換)

全てのパケットについてデータの中身まで検査できるため 特定のサイトのアク禁、メールのフィルタリングが出来ること

システムを部品単位に分けて機能決定 さらに各部品におけるインターフェース設計を行う

トランスポート層のプロトコル WebブラウザーとWebサーバ間で認証と暗号化通信を行う

PCの起動に先立って、ファームウェアによって行われるセキュリティ検査機能

ソースコードを実行せずに検査する

統一モデリング言語 業務の流れの分析やシステムに要求される機能、構造を図示

オブジェクト間のメッセージのやり取りを表現

クラスを具体化したインスタンス同士のつながりを表現

データベースの暗号化 データベースのアクセス制御 障害時の復旧対策 ログの取得

構築システムのソフトウェア部分について要件を確立する

社内LANとインターネット間にプロキシサーバを設置 全てのやり取りをプロキシサーバーを介する LAN内部_プライベートIPアドレス LAN外部_グローバルIPアドレス

統合脅威管理及びその機器

開発者-利用者の認識一致のために行う聞き取り調査

外部とのやり取りが直接発生するサーバを 社内LANとは別セグメントに分けることで システムやデータを外部の攻撃から守る役割をする

プログラム実行結果を解析

受信した電子メールが "正当な送信者から送信された改ざんされてないメール" かどうかを検証できる送信ドメイン認証技術

机上に情報を記録した媒体を放置しないということ

メール送信プロトコルSMPTに 利用者認証機能を追加したもの

データフロー図 業務内容を、業務構成機能/データの流れに着目してモデル化

HTTP(WWWの閲覧)

VPNのこと 第三者がアクセスできない仮想トンネルを作ることに由来

モデレータと呼ばれる責任者が検討議会の準備と進行を行う 会議形式で不具合の検出と修正を行う

機能単位でソフトウェアを統合し 更にそれらをまとめシステムとして統合する

意図的に脆弱性を残し、囮として設置するサーバやネットワークシステムのこと

様々な検査を行う

WEP WPA2

1.データ源泉/データ吸収 2.データストア 3.プロセス 4.データフロー

EAP-TTLSをもとにした認証方式

IP層で安全に通信を行うためのプロトコル群

利用者の認証などを行うプロトコル

システムの構成要素となるクラスの概念や属性、クラス間関係を表現

IPsec SSL/TLS HTTPS/HTP over TLS SSH

企業の出入り口に設けられた 入退室管理用のゲート

システムを具体化する

プログラム作成者などが相互助言を行う

対象システム全体の処理内容とその流れを表す

通信データの盗聴、不正アクセスを防ぐ

暗号化と認証によって安全にコンピュータを遠隔操作するプロトコル

コーディング段階で検査

複数のWebサービスを連携して動作させるための仕組み

あり得ないデータや異常を引き起こしそうなデータを入力すること

社内LANを外部ネットワークからの攻撃や侵入から守る為の仕組み

SMTP(メール送信)

事前共有鍵 認証サーバ不使用。利用者入力のバスフレーズを暗号鍵として利用。

SMTPを利用したメール送受信で 送信者のドメイン偽造を防ぎ、正当性を検証するための仕組み

NNTP(ネットニュース)

端末の画面上に情報を表示したままにしないこと

通信データ(パケット)に含まれる情報を手掛かりに 不正なパケットを通過させないようにする方法

インタネットを利用したVPN

集められたログを一元管理するシステム

無線通信の暗号化

暗号化方式 : より安全性の高いCCMP 暗号化アルゴリズム : より強度の高いAES暗号方式

企画プロセスや要件定義プロセスを明らかにした必要機能を 具体的なシステムに展開し実装するまでのプロセス

FTP(ファイル転送)

HTTP通信に暗号化機能を追加したもの

侵入検知システム パケットやコンピュータ内部の挙動を監視して不正な侵入を検知

侵入防止システム 不正な侵入を検知と同時に遮断する

暗号化するデータを絞る

モバイル端末用管理ツール

ウォークスルー インスぺクション

宛先ポート番号25への送信を禁止すること

ハード/ソフト/サービスの利用/手作業に分け 各々に必要なシステム構成を決める

WAF セキュアプログラム 脆弱性低減技術

導入計画を作成。 マニュアルなどを整備し保守。

データ間の関連をE-Rモデルによって表した図式表現

サーバーへのリクエストを中継するプロキシサーバ。 中継時にパケットをチェック、シングルサインオンを実現

IP網を利用したVPN

設計工程で仕様書を検査

デザインビュー コードビュー

チェック専用のネットワーク マルウェアやセキュリティホールなど検知し 正常であれば接続許可する

データベースのバックアップ

DNSの問い合わせに対する応答の正当性を保証する拡張仕様

TCP/IPで使用される

SPF DKIM SMPT-AUTH OAuth

脆弱性を作らないこと、予防としての準備をしておく

1.ハードウェア構成の決定 2.ソフトウェア構成の決定 3.システムの処理方式の決定 4.データベース方式の決定

IP-VPN インターネットVPN

リモートアクセスサーバ 利用者が正規の利用者かどうかの認証を行ったうえで社内LANに接続する

仮想的な専用線として利用するセキュリティ技術

システム設計段階からセキュリティ方策を考慮する

初期の暗号化規格 脆弱性を指摘されている

1.システム要件定義 2.ソフトウェア要件定義 3.設計 4.実装・構築 5.統合・テスト 6.導入・受け入れ支援 7.保守・廃棄

システムを機能的な単位に切り分ける (ハード/ソフト、データや人間、プロセスや手順を含む) 工程の最後にシステムの要件を要件定義書に纏め 利用者側とともにレビューを行い結果を確認

なりすましによる不正アクセスやサービスの不正利用を防ぐ

不必要な権限を与えないよう管理

アクセスログを取得、監視

アクティビティ図 ユースケース図 クラス図 オブジェクト図 シーケンス図

POP3(メール受信)

業務の詳細な流れをシステムとして形にする データの流れをつかむ UIを設計 セキュリティ対策を決める システム保守を決める

システムと利用者とのやり取りを整理 アクタ(人やコンピュータ)ごとにユースケース(アクタに提供する機能)をまとめる

各ポートにアクセスして調べることで アクセス可能なポートや稼働中のサービスを調べる 管理用のソフトウェア

利用者からの通信内容などを あらかじめ設定した検出パターンに基づいて検査する

TELNET(仮想端末)

システム設計 ソフトウェア設計