基本情報技術者試験で出題される「情報セキュリティ」について

いちばんやさしい 基本情報技術者 で、4/16に受験予定の基本情報技術者試験の対策を行なっています。

この記事では、情報セキュリティについて学んだことを書いていきます。

情報セキュリティの脅威

ランサムウェア

端末等に保存されているデータを暗号化して使用できないようにした上で、回復のための金銭(身代金)を要求するプログラム。

SQLインジェクション

Webアプリケーション上で、不正なSQL文を実行することでデータベースを改ざんしたり、不正にデータを取得したりする攻撃。

DNSキャッシュポイズニング

DNSサーバーにキャッシュされているドメイン名とIPアドレスの対応を書き換えることで、ユーザーを偽サイトに誘導する手法。

ディレクトリトラバーサル攻撃

攻撃者がパス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する手法。

暗号化技術の基本

共通鍵暗号方式

暗号化と復号で同じ鍵を使用する暗号方式。復号とは暗号分を通常の分(平文)にすること。

公開鍵暗号方式

公開鍵と秘密鍵の二つの鍵を使用する暗号化方式。

共通鍵暗号方式よりも処理に時間がかかる。

ハイブリット暗号方式

共通鍵暗号方式と公開鍵暗号方式を組み合わせた暗号方式。

暗号化アルゴリズム

名前	暗号方式	説明
AES	共通鍵暗号方式	アメリカで規格された。DESの代わりに誕生した。
RSA	公開鍵暗号方式	巨大な数の素因数分解が難しいことを利用した暗号化アルゴリズム。

デジタル署名

メッセージダイジェストを送信者の秘密鍵で暗号化し、

デジタル署名を送信者の公開鍵で復号する。

メッセージダイジェストとは、メッセージをハッシュ関数に通した時に出力されたもの。

デジタル署名を使うと、なりすましやデータの改ざんを検知することができる。

SHA-256

256ビットの長さのダイジェストを出力するハッシュ関数のアルゴリズムのことを「SHA-256」という。