企業の出入り口に設けられた 入退室管理用のゲート

机上に情報を記録した媒体を放置しないということ

端末の画面上に情報を表示したままにしないこと

集められたログを一元管理するシステム

モバイル端末用管理ツール

通信データの盗聴、不正アクセスを防ぐ

IPsec SSL/TLS HTTPS/HTP over TLS SSH

IP層で安全に通信を行うためのプロトコル群

AH(認証) ESP(認証/パケット暗号化) IKE(秘密鍵の交換)

トランスポート層のプロトコル WebブラウザーとWebサーバ間で認証と暗号化通信を行う

HTTP通信に暗号化機能を追加したもの

暗号化と認証によって安全にコンピュータを遠隔操作するプロトコル

DNSの問い合わせに対する応答の正当性を保証する拡張仕様

EAP-TTLSをもとにした認証方式

メール受信の際に用いられるPOP3の認証時パスワードを暗号化する方式

なりすましによる不正アクセスやサービスの不正利用を防ぐ

SPF DKIM SMPT-AUTH OAuth

SMTPを利用したメール送受信で 送信者のドメイン偽造を防ぎ、正当性を検証するための仕組み

受信した電子メールが "正当な送信者から送信された改ざんされてないメール" かどうかを検証できる送信ドメイン認証技術

メール送信プロトコルSMPTに 利用者認証機能を追加したもの

複数のWebサービスを連携して動作させるための仕組み

RADIUS(認証)サーバーとクライアント間において 様々な認証方式が使えるように拡張するプロトコル

PCの起動に先立って、ファームウェアによって行われるセキュリティ検査機能

社内LANを外部ネットワークからの攻撃や侵入から守る為の仕組み

通信データ(パケット)に含まれる情報を手掛かりに 不正なパケットを通過させないようにする方法

外部とのやり取りが直接発生するサーバを 社内LANとは別セグメントに分けることで システムやデータを外部の攻撃から守る役割をする

TCP/IPで使用される

FTP(ファイル転送)

TELNET(仮想端末)

SMTP(メール送信)

HTTP(WWWの閲覧)

POP3(メール受信)

NNTP(ネットニュース)

各ポートにアクセスして調べることで アクセス可能なポートや稼働中のサービスを調べる 管理用のソフトウェア

社内LANとインターネット間にプロキシサーバを設置 全てのやり取りをプロキシサーバーを介する LAN内部_プライベートIPアドレス LAN外部_グローバルIPアドレス

全てのパケットについてデータの中身まで検査できるため 特定のサイトのアク禁、メールのフィルタリングが出来ること

侵入検知システム パケットやコンピュータ内部の挙動を監視して不正な侵入を検知

侵入防止システム 不正な侵入を検知と同時に遮断する

サーバーへのリクエストを中継するプロキシサーバ。 中継時にパケットをチェック、シングルサインオンを実現

リモートアクセスサーバ 利用者が正規の利用者かどうかの認証を行ったうえで社内LANに接続する

利用者の認証などを行うプロトコル

宛先ポート番号25への送信を禁止すること

統合脅威管理及びその機器

仮想的な専用線として利用するセキュリティ技術

IP-VPN インターネットVPN

IP網を利用したVPN

インタネットを利用したVPN

VPNのこと 第三者がアクセスできない仮想トンネルを作ることに由来

無線通信の暗号化

WEP WPA2

初期の暗号化規格 脆弱性を指摘されている

暗号化方式 : より安全性の高いCCMP 暗号化アルゴリズム : より強度の高いAES暗号方式

事前共有鍵 認証サーバ不使用。利用者入力のバスフレーズを暗号鍵として利用。

チェック専用のネットワーク マルウェアやセキュリティホールなど検知し 正常であれば接続許可する

意図的に脆弱性を残し、囮として設置するサーバやネットワークシステムのこと

データベースの暗号化 データベースのアクセス制御 障害時の復旧対策 ログの取得

暗号化するデータを絞る

不必要な権限を与えないよう管理

データベースのバックアップ

アクセスログを取得、監視

WAF セキュアプログラム 脆弱性低減技術

利用者からの通信内容などを あらかじめ設定した検出パターンに基づいて検査する

脆弱性を作らないこと、予防としての準備をしておく

様々な検査を行う

ソースコード静的検査 プログラムの動的検査 ファジング

ソースコードを実行せずに検査する

プログラム実行結果を解析

あり得ないデータや異常を引き起こしそうなデータを入力すること

システム設計段階からセキュリティ方策を考慮する

企画プロセスや要件定義プロセスを明らかにした必要機能を 具体的なシステムに展開し実装するまでのプロセス

1.システム要件定義 2.ソフトウェア要件定義 3.設計 4.実装・構築 5.統合・テスト 6.導入・受け入れ支援 7.保守・廃棄

システムを機能的な単位に切り分ける (ハード/ソフト、データや人間、プロセスや手順を含む) 工程の最後にシステムの要件を要件定義書に纏め 利用者側とともにレビューを行い結果を確認

デザインビュー コードビュー

設計工程で仕様書を検査

コーディング段階で検査

ウォークスルー インスぺクション

プログラム作成者などが相互助言を行う

モデレータと呼ばれる責任者が検討議会の準備と進行を行う 会議形式で不具合の検出と修正を行う

構築システムのソフトウェア部分について要件を確立する

業務の詳細な流れをシステムとして形にする データの流れをつかむ UIを設計 セキュリティ対策を決める システム保守を決める

開発者-利用者の認識一致のために行う聞き取り調査

システムを具体化する

システム設計 ソフトウェア設計

ハード/ソフト/サービスの利用/手作業に分け 各々に必要なシステム構成を決める

1.ハードウェア構成の決定 2.ソフトウェア構成の決定 3.システムの処理方式の決定 4.データベース方式の決定

システムを部品単位に分けて機能決定 さらに各部品におけるインターフェース設計を行う

実際にコーディングを行う また完成したソフトウェアユニットにおいてユニットテストを行う

機能単位でソフトウェアを統合し 更にそれらをまとめシステムとして統合する

導入計画を作成。 マニュアルなどを整備し保守。

データが処理を起動するという考えに基づく設計手法

統一モデリング言語 業務の流れの分析やシステムに要求される機能、構造を図示

アクティビティ図 ユースケース図 クラス図 オブジェクト図 シーケンス図

対象システム全体の処理内容とその流れを表す

システムと利用者とのやり取りを整理 アクタ(人やコンピュータ)ごとにユースケース(アクタに提供する機能)をまとめる

システムの構成要素となるクラスの概念や属性、クラス間関係を表現

クラスを具体化したインスタンス同士のつながりを表現

オブジェクト間のメッセージのやり取りを表現

データフロー図 業務内容を、業務構成機能/データの流れに着目してモデル化

1.データ源泉/データ吸収 2.データストア 3.プロセス 4.データフロー

データ間の関連をE-Rモデルによって表した図式表現