一問一答の一歩

デジタルフォレンジックが正解です

Forensics(フォレンジック)は「犯罪捜査」の意味を持つ英単語です。
訳を作ると「デジタル技術を用いた犯罪捜査」という意味になります。具体的には画像やログなどの証拠となるようなものを残しておき、犯罪捜査の役に立たせることをいいます。

ロードバランシング機能が正解です

ロ－ドは機械を読み込むこと、バランスはつり合いを保つことを示します。
そのため、複数のPCでシステムを分担しながら動かすことで、一台辺りのPCの負荷を減らしてPCの故障を防ぐことができます。
他の選択肢のクラスタリングとは複数台のコンピュータをつなげて、あたかも一つのコンピュータのように使用することです。
また、デュアルシステムは同じことを2台のPCで実行することで、データを壊れにくくする工夫です。

安全な遠隔操作が正解です

MIMEはMultipurpose Internet Mail Extentionsの頭文字をとった言葉であり、SMTPと呼ばれるメ－ルを送信する通信規格を拡張して添付ファイルを送れるようにしたものです。
S/MIMEのsの正式名称を書くとsecure/MIMEとなります。MIMEの機能を応用して、公開鍵暗号によって暗号化、デジタル署名の二つのセキュリティ機能が実装されています。
また、もう一つの選択肢となる安全な遠隔操作はSecure Shellの機能です。

Advanced Encription Standardが正解です

Advanced(アドバンスド)は「一歩進んだ」､ Encription(エンクリプション)は「暗号」､ Standard(スタンダード)は「基本」という意味の英単語にそれぞれ該当します。
また、Advanced Encription Standardは公開鍵暗号ではなく、共通鍵暗号であることもよく試験には出題されるので合わせて押さえておきましょう。
また、他の選択肢のRSAは大きな数の素因数分解の困難さを利用した公開鍵暗号のことです。

Certificate Revocatio Listが正解です

Certificate(カ－ティフィケイト)は「証明」、 Revocatio(レボケイト)は「失効」 List(リスト)は「一覧」の意味をそれぞれ表した英単語です。
デジタル署名の効力は期限を過ぎると自動的に公開はなくなりますが、このリストに乗っているものは何かやらかしたことによって本来の期限よりも前に効力が亡くなった、いわばブラックリストのようなものとイメージすると分かりやすいです。

SMTP AUTHが正解です

SMTPはSinple Mail Transfer Protocolの各頭文字をとった言葉で、メ－ル送信の通信規格のことを指します。
AUTH(オ－ス)は「認証」という意味を持つ英単語です。
これらの組み合わせから、SMTP AUTHはメ－ル送信のための通信規格に認証機能を追加したものと推測することができます。

Online Certificate Search Protocolが正解です

Onlineはそのままオンラインの意味、Certificateは「証明」, Searchは「探す」Protocolは「通信規格」という意味を示します。
そのため、単語の意味を取ると、「オンラインを使ってデジタル証明書を探す通信規格」という意味になります。
また、他の選択肢のNetwork Adress Transferd ProtocolはグローバルIPアドレスとローカルIPアドレスを変換するプロトコルであり、Temporal Key Internet Protocolは無線ラン暗号化形式のプロトコルです。

代理サーバが正解です

Proxy(プロキシ)は「代理」の意味を示す英単語であるので、代理サ－バの意味になります。
具体的なな仕組みは細かい通信はユ－ザ－の代理となるサ－バ－が行って通信結果のみをユ－ザ－に送ることで通信ゆウイルスが混ざりこんだとしてもユ－ザ－への影響を小さくすることができます。
また、余裕があればプロキシザ－バには通信の方向によってフォワードプロキシとリバ－スプロキシの2種類あるということもおさえておくと、試験勉強に役立ちます。
守るための壁はファイヤウォールの意味、隔離された安全地帯はサンドボックスの意味をそれぞれ示します。

コアパスワードが正解です

Coreは「核」という意味があるので、パスワードの基盤となる部分となることであると推定できます。
また、問題文中の「追加する文字列」はソルトと呼ばれており、コアパスワードの対となる大事な概念です。
パスワードを(コアパスワード)+(ソルト)の形で作成し、それをハッシュ関数という特殊な計算式によって暗号化した値(ハッシュ値)にすることで、よりパスワードが流出しにくくなります。
また、ワンタイムパスワードは利用者がなりすましをしていないか確認するために、一時的に使用するパスワードのことです。

ソルトが正解です

ソルトは本来の具材に少し加えるということが、パスワードを少しずつ変えることに似ていることからこのように名づけられました。 また、(共通するパスワード)+(ソルト)という形でパスワード管理すると複数のパスワードを管理しやすくなります。

シングルサインオンが正解です

シングル-サインオンとは一回ユーザー認証をすることで、複数のサービスを利用することができる状態になること(Sign-on)です。
例はたくさんありますが、googleのサービス(メール+ドライブ)を想像するとイメージしやすいです。 ブラウザキャッシュはwebサイトの読み込みを早くするために、サイトのデータの一部を保存する仕組みです。

ワンタイムパスワードが正解です

「トークン」はtokenという「証拠、引換券」という意味の単語が元になっています。IT上でいろいろな意味で使われていますが、その中でもセキュリティトークンは使い捨てのパスワードをその都度発行する機器のようなイメージです。
チャレンジレスポンス方式も一時的なパスワードであることは共通してはいますが、あちらは固定のパスワードであるので、使用するのにセキュリティトークンが不要とされています。

フォールスポジティブが正解です

フォールスネガティブは本来検知するべき悪意あるアクションを正常なものと判断してしまうセキュリティソフトの検知漏れです。
フォールスネガティブとフォールスポジティブはこんがらがりやすいですが、フォールスポジティブは検知能力よりが高い→検知できないよりはましとポジティブに捉えられると私は覚えました。

NISCが正解です

NISCはNational center of Incident readiness and Strategy for Cybersecurityの略称で、和訳?すると内角サイバーセキュリティセンターです。
受験勉強中はNaikaku Infomation Securty Centerと勘違いして覚えていました(笑)
また、他の選択肢であるJapan Vulnerability Notesはソフトウェアのセキュリティの脆弱性と対策をを提供するポ－タルサイト、Common criteriaは情報機器がセキュリティの観点から正しく動くことを示した国際評価基準です。

Japan Vulnerability Notesが正解です

Vulnerabilityは脆弱性という意味を持つ英単語ですので、 Japan Vulnerability Notesを日本語訳すると日本(Japan)の脆弱性(Vulnerability )のノート(Notes)という意味になり日本にある機器の脆弱性についてまとめたメモであることは単語の意味から想定できるはずです。
また、本試験では英単語の頭文字のみをとってJVNで表記されるので、略称からの意味を連想できるようにしておきましょう。
なお、他の選択肢であるCommon Vulnerability Scoring Systemは情報システムの脆弱性に対する汎用的な評価手法です。また、エクスプロイトキッドはソフトェア、OSに内在する脆弱性を確認、悪用するツ－ルです。

CSIRTマニュアルが正解です

CSIRTはCompany Security incident Response Teamの各頭文字をとった言葉です。
Company(カンパニー)は「会社､ Security(セキュリティ)は安全性､incidentはそのままインシデント､Response(レスポンス)は反応 Teamはそのままチ－ムの意味をそれぞれ持つ英単語です。
本来企業で発生したセキュリティの問題点について対応する組織ですが、事後処理だけでなく、事前対策として予防のマニュアルも出しています。

Common Vulnerability Scoring が正解です

Commonは「共通の」、Vulnerabilityは「脆弱性」、Scoringは「採点」という意味があるのでCommon Vulnerability Scoringは脆弱性の共通の評価であると推測することができます。
本試験では各単語の頭文字をとってCVSの略称で表記されるので対応できるようにしておきましょう。
Advanced E Standardは次世代の標準暗号方式Common Criteriaはソフトェア、情報機器がセキュリティの観点から正しく動くことを示したものです。

Common Criteriaが正解です

Commonは「一般の」、Criteriaは「基準」という意味を示すので単語の意味から「広く広まった基準」のようなものであると推測することができます。
また、他の選択肢であるCommon Vulnerability Scoring Systemは情報システムの脆弱性に対する汎用的な評価手法のことを指します。

クリアデスクが正解です

Clear(クリア)は「きれいな」、Desk(デスク)は「机」という意味をそれぞれ持つ英単語です。
直訳すると、無駄な書類が散らばっていないきれいな机という意味になりますが、そこから机の上に機密書類を放置しないことという意味に派生しています。
また、シャドーITは私物の機器を業務に使用することです。

クリアスクリーンが正解です

PC(特に社内のPC)には機密情報がたくさん含まれているので、使用者が知らないうちに操作されることを防ぐ必要があります。PCはスリープを待たずとも自分でロックすることができ、WindowsPCの場合は「Windowsボタン+Lボタン」を同時押しをすることで画面のロックをすることができます。
ちなみに、ロックアウトはパスワードの誤入力を繰り返すことでIDが使えなくなる現象です。

C&Cサーバが正解です

C&CサーバはCommand&Controleの略称です。
C&Cサーバにコマンドを入力することでボットネットと呼ばれるマルウェアが侵入できたタ－ゲットとなるコンピュータ群をリモコンのごとくコントロールして動かす仕組みになっています。

Iaasが正解です

各選択肢は以下の各単語の頭文字をとった言葉です。

• ・Iaas：Infrastructure As A Service
• ・Paas：Platfoom As A Service
• ・SaaS：Software As A Service

• Saasはソフトウェアのみを借り受ける。
• Paasソフトウェアとプラットフォームに当たる部分
• laasはOSも含めて全ての部分

秘密鍵が正解です

CRLで具体的に登録されるものはシリアル番号,失効日時の二つです。秘密鍵は誤答のパターンとして出てくることが多いので引っかからないようにしましょう。

フォワードプロキシが正解です

シングル-サインオンとは一回ユーザー認証をすることで、複数のサービスを利用することができる状態になること(Sign-on)です。
シングルサインオンの実装方法はクッキー、リバースプロキシ、Security Assertion Markup Languageの3つです。
フォワードプロキシとリバースプロキシのどちらが対象になるのかはややこしいので私の理解のイメージを追記しておきます。フォワードプロキシは利用者とインターネット回線の間にいる代理サーバ、リバースプロキシはインターネットとwebサーバの間にいる代理サーバとなっています。
一つのサインオン(ログイン)で複数のサービスを使う状況を考えると、webサービスをしている一つの(会社)URLの中から複数のサービスをしているようなイメージであり、url共通のパスワード認証はwebサーバのデータに登録しているはずなのでよりwebサーバに近いリバースプロキシがよりシングルサインオンに適切であるといえます。

公開鍵暗号が正解です

楕円曲線暗号は楕円曲線の離散対数問題を解くのが難しいことを用いた公開鍵暗号化の方法です。
情報技術者試験によく出題される暗号の種類は以下の通りです。

• RSA……公開鍵
• 楕円曲線……公開鍵
• AES……共通鍵

公開鍵暗号が正解です

RSAは大きな桁の素因数分解が困難であることを利用したPC上の公開鍵暗号の一つです。
暗号化の方法は複数あり、情報技術者試験によく出題される暗号の種類は以下の通りです。

• RSA……公開鍵
• 楕円曲線……公開鍵
• AES……共通鍵

共通鍵暗号が正解です

Advanced Encryption Standardの略称とされています。そして、 Advanced(アドバンスド)は「一歩進んだ」､ Encription(エンクリプション)は「暗号」､ Standard(スタンダード)は「基本」という意味の英単語にそれぞれ該当します。

情報技術者試験によく出題される暗号の種類は3つであり、全てあげると以下の通りです。

• RSA……公開鍵
• 楕円曲線……公開鍵
• AES……共通鍵