From df5d0a163d34564814ab9fb2a9500765e69f37d4 Mon Sep 17 00:00:00 2001 From: Rikuoh Tsujitani Date: Fri, 29 Mar 2024 15:09:40 +0900 Subject: [PATCH] 3/29 --- kijo.txt | 57 +++++++++++++++++++++++++++++++++++++++++++++++--------- 1 file changed, 48 insertions(+), 9 deletions(-) diff --git a/kijo.txt b/kijo.txt index 5bc40cf..5b11a66 100644 --- a/kijo.txt +++ b/kijo.txt @@ -218,13 +218,52 @@ SNMP:TCP/IPにおけるネットワーク管理を行うためのプロトコ 270ページまで ## 3/29 - - - - - - - - - +シャドーIT:禁止されているにもかかわらず無許可でBYODを行うこと +サラミ法:被害者にわからないようにほんの少額ずつ詐取する手法 +クロスサイトスクリプティング(XSS):Webサイトの掲示板など書き込み欄のあるアプリケーションの脆弱性を突き、スクリプトを埋め込むことで偽ページを表示させ、閲覧者を他のサイトに誘導する方法 +クロスサイトリクエストフォージェリ(CSRF):SNSなどにログイン中、細工されたリンクをクリックすることでリンク中に仕掛けられた悪意のある要求を本人であるかのように偽って実行させる行為 +キャッシュポイズニング:偽のDNS応答をDNSサーバのキャッシュに記憶させ、利用者を有害サイトに誘導する攻撃 +SQLインジェクション:データベースに悪意のある問い合わせや操作を行うSQL文を入力し、データを改ざんしたり不正に取得したりする +ディレクトリトラバーサル:相対パス記法を悪用し、管理者が意図しないファイルへアクセスする行為 +中間者攻撃:マルウェアを使い、やり取りしている2者の間に入り込み、通信内容を盗み見たり、中継したり、相手になりすまして改ざんを行う行為 +MITB攻撃:サーバとWebブラウザの間に入り込む中間者攻撃 +APT:標的型攻撃の一種。標的の弱点を研究し、攻撃方法をカスタマイズする +S/Key方式:パスワードそのものをアクセスの度に計算によって変更する方法 +ペリル:損失原因や事故を意味する言葉で、リスクにつながる直接的な原因のこと +CSIRT:インシデントに対応するための組織 +ISO/IEC15408:セキュリティ評価基準の一つ +CVSS:共通脆弱性評価システム。情報システムの脆弱性を評価する汎用的な手法 +耐タンパ性:システムの内部構造や記憶しているデータの解析の困難度を表す指標 +ビヘイビア法:ウィルスが疑われる実行ファイルを実際に動作させ、挙動を監視して見つけ出す方法。ヒューリスティック法とも言う +デジタルフォレンジックス:情報漏えいなどの犯罪捜査などを行う際、パソコンやスマートフォンなどに残されている電子記録を収集解析し、証拠とすること +DNSSEC:DNSへの問い合わせに対する応答の正当性を保証する拡張仕様 +IPsec:IP層で安全に通信を行うためのプロトコル群で、含まれるプロトコルには認証を行うAH、認証とパケットの暗号化を行うESP、秘密鍵の交換を行うIKEなどがある +EAP:拡張認証プロトコル。認証サーバとクライアントの間において、さまざまな認証方式が使えるように拡張する +IDS:侵入検知システム +IPS:侵入防止システム +リバースプロキシ:特定のサーバの代理としてそのサーバへのリクエストを中継するプロキシサーバのこと +ファジング:通常の入力ではありえないデータを入力することでバグが脆弱性を見つけ出す手法 +WAF:脆弱性を突く攻撃からWebアプリケーションを守る機器またはソフトウェアのこと +システム要件定義:システムを機能的な単位に切り分けること +ソフトウェア要件定義:構築するシステムのソフトウェア部分について要件を確立する +設計:要件定義を受けてシステムを具体化していく。システム要件をハード、ソフト、サービスの利用、手作業に振り分けていき、それぞれに必要なシステム構成を決めていく。ハードウェア構成(クラウドサービスを含む)を決めたり、ソフトウェア構成を決定する +ソフトウェア設計:コンポーネントやモジュール単位にシステムを分割し、それぞれの機能を決める +実装・構築:実際にコーディングを行う +統合・テスト:機能単位に分割されたソフトウェアを統合する。そのうえでテストを実施する +導入・受け入れ支援:完成後は導入計画を作成し、計画に基づき導入を行う。マニュアルの整備や教育訓練などの工程も含まれる +UML: +アクティビティ図-対象システム全体の処理内容とその流れを表すためのもの +ユースケース図-システムとその利用者とのやり取りを整理し、利用者の視点でシステムの機能を表すための図 +クラス図-システムの構成要素となるクラスの型や属性、クラス間の関係などそのシステムの概念を表現する +オブジェクト図-概念であるクラスを具現化したインスタンス同士の繋がりを表現する図 +シーケンス図-オブジェクトの間に生じるメッセージのやり取りを表現する +DFD:データフロー図とも呼ばれ、業務内容を業務を構成する機能とデータの流れに着目してモデル化したもの +E-R図:業務活動やデータ間の関連をE-Rモデルにより表した図式表現で、物や人、概念などに相当するエンティティと、エンティティ同士の関連を示すリレーションシップを使って、現実世界をモデル化していく +決定表(デシジョンテーブル):条件とそれに対する行動を整理した表で、各条件の組み合わせによってどのような行動をとるべきかを明らかにしたり、条件に応じた結果を評価する際に用いる +状態変遷図(STD):情報や状態について時間的な移り変わりを表現する図式手法のこと +NS図:構造化プログラミング向きの処理手順の図式表現で、連続、選択、反復で構成する +ジャクソン法:入力データと出力データの構造の違いから処理プログラムの構造を明らかにする図法 +ワーニ工法:データを集合としてとらえ、そこがどこでいつ何回使われるかを明確化することで入力データの構造からプログラム構造を明らかにする +構造化チャート:アルゴリズムを構造化定理に基づいて図式的に表現する図法 +335ページまで