第３章 関連法規

サイバーセキュリティ基本法

• サイバーセキュリティ基本法の説明 （SG）
• サイバーセキュリティ基本法の説明（FE）
• サイバーセキュリティ戦略本部 （SG）
• 情報システムや情報通信ネットワークへの脅威に対する防御施策を定めた法律（IP）
• サイバーセキュリティの対象として規定されている情報（AP）

 重要インフラ分野

不正アクセス禁止法

• 処罰の対象となる行為（SG）
• 処罰の対象となる行為（AP）
• "不正アクセス行為を助長する行為の禁止"規定によって規制される行為（SG）
• 不正アクセス禁止法に関する正しい記述（IP）
• 不正アクセス禁止法において規制されている行為（IP）
• 不正アクセス禁止法で規制されている行為（IP）
• 不正アクセス行為に該当するもの（FE）
• 不正アクセス行為の処罰に関する記述 （FE）

個人情報保護法

• 個人情報保護法に照らして適切なもの（SG）
• 保護の対象（SG）
• 要配慮個人情報（SG）
• 個人情報保護法に照らして適法な行為（AP）
• 個人情報取扱事業者に該当するもの（IP）
• 個人情報に該当しないもの （IP）
• プライバシーマークを取得している事業者（IP）
• "個人情報"を挙げたもの （IP）
• 本人の同意が必要なもの （IP）
• 本人の同意が必要なもの（IP）
• 個人情報の条件（AP）

特定個人情報の適正な取扱いに関するガイドライン

• "特定個人情報ファイル"の取扱い（SG）
• 組織的安全管理措置（AP）

番号法（マイナンバー法）

• 企業におけるマイナンバーの取扱い（IP）
• マイナンバーを使用する行政手続（IP）
• マイナンバー(個人番号)に関する記述（AP） 

刑法

• 電子計算機損壊等業務妨害罪（SG）
• 電子計算機使用詐欺罪（SG）
• 電磁的記録不正作出及び供用の罪 （IP）
• 不正指令電磁的記録に関する罪 （FE）
• コンピュータにマルウェアを侵入させ，そのコンピュータの記憶内容を消去した者を処罰の対象とする法律（SG）

プロバイダ責任制限法

• 損害賠償責任が制限されるプロバイダの行為（SG）
• プロバイダ責任制限法に基づいて行う対応（IP）
• プロバイダの対応責任の対象となり得る事例（IP）

特定電子メール送信適正化法

• 迷惑メール(スパムメール)（SG）
• 広告宣伝の電子メール（SG）
• 広告宣伝メールを送信する場合（SG）
• 特定電子メールの送信者の義務（IP）
• 広告や宣伝目的の電子メールを一方的に送信することを規制する法律（AP）

不正競争防止法

• 保護される対象（SG)
• 保護されるもの（SG）
• 他社の商標名と類似したドメイン名を登録するなどの行為（SG）
• 禁止されている行為（SG）
• 不正競争防止法上の適法行為（IP）
• 不正競争に該当するもの（IP）
• 営業秘密となる要件（AP）

労働関連・取引関連法規

• 請負契約（SG）
• 準委任契約（SG）
• 売買契約 （SG）
• 労働基準法（時間外労働）（SG）
• ライセンス契約（SG）
• 労働者派遣法（SG）
• 労働者派遣法（派遣先の対応）（SG）
• ボリュームライセンス契約（SG）
• 労働者派遣法に照らして違法行為となるもの（SG）
• 労働者派遣契約関係が存在する当事者間（IP）
• 派遣労働者の受入れ （AP）
• サイトライセンス契約（FE）

電子署名法

• 適切なもの（SG）
• 適切なもの（SG）
• 適切なもの（AP）

著作権法

• 保護の対象（SG）
• 保護の対象となり得ないもの（SG）
• 著作権侵害行為 （SG）
• Webページの著作権 （SG）
• コンピュータプログラムに関する著作権（IP）
• 保護の対象（IP）
• 著作権の説明と保護の対象（IP）
• 著作権法によるソフトウェアの保護範囲 （FE）
• 著作権法に照らして適法な行為（FE）
• 著作権法で保護されるもの（FE）
• 著作権法上適法である行為（AP）
• プログラム著作物の原始的帰属（AP） 
• プログラムの著作権侵害（AP）

第2章 情報セキュリティ管理

リスクマネジメント

• JIS Q 31000:2010 リスクマネジメント-原則及び指針
• リスクマネジメントのガイドライン
• リスクマネジメント規格
•  リスクマネジメント規格の動向、ISO31000・JISQ31000 の発行経緯と特徴、JISQ2001 と JISQ31000 の相違点などについて書かれたわかりやすい解説書
• JIS Q 0073:2010 リスクマネジメント-用語
• リスクマネジメントに関する一般的な用語及びその定義について規定したもの

用語

• JVN
• Japan Vulnerability Notes。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト
• JPCIRT/CC
• Japan Computer Emergency Response Team/Coordination Center。一般社団法人「JPCERT コーディネーションセンター」の略称。インターネットによる不正アクセスの被害に対応するために設立された情報提供機関で、コンピューターセキュリティ関連情報の発信などを行っている
• CVSS
• 共通脆弱性評価システム：基本評価基準，現状評価基準，環境評価基準の３つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するもの
• CVE（Common Vulnerabilities and Exposures）
• 共通脆弱性識別子：情報セキュリティにおける脆弱性やインシデントについて、それぞれ固有の名前や番号を付与しリスト化したもの

平成30年度秋期・午前問題

問1

• CSIRT (シーサート: Computer Security Incident Response Team) 
• 組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム
• CSIRTマテリアル
• 組織的なインシデント対応体制である「組織内 CSIRT」の構築を支援する目的で作成したもの

問３

JIS Q 27017:2016（JIS Q 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範）

問４

SECURITY ACTION セキュリティ対策自己宣言 - IPA

問８

JIS Q 27014:2015 情報技術-セキュリティ技術-情報セキュリティガバナンス

情報セキュリティマネジメント試験

平成29年度秋期・午前問題

問1 

サイバーセキュリティ経営ガイドライン(Ver1.1)

問2

JIS Q 27001:2014(情報セキュリティマネジメントシステム－要求事項)
ISMS適合性評価制度

問3

CSIRTガイド(2015年11月26日)

問4 

CRYPTREC

問5

リスクアセスメント

問6

リスクファイナンシング

問8

JIS Q 27000:2014(情報セキュリティマネジメントシステム－用語)

問12

JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)
JIS Q 27001:2014とJIS Q 27002は何が違うのか？

• 27001に比べて27002ははるかに詳細
• 27001はマネジメント規格（ISMSを定義）であることに対して、27002は管理策を実践するための規範
• 27001の附属書Aにある114の管理策に対して約1000近くの実施方法が書かれている。

---

平成29年度秋期・午後問題

問1

 中小企業の情報セキュリティ対策ガイドライン（第2.1版）
P31

設問3(5)

リバースプロキシ

問2

WebサービスでのWebアプリケーションソフトウェア開発委託に関する問題。
設問2．
(1)表1の診断項目

• クロスサイトリクエストフォージェリ
• OSコマンドインジェクション
• 意図しないリダイレクト
• HTTPヘッダインジェクション

 (2)bに関する解答群

•  セッションハイジャック
•  ディレクトリトラバーサル
•  ディレクトリリスティング

【参考】
Web健康診断

問3

問題文には

 J社では，取引先や社外の関係者とのファイル共有のためにB社のファイル共有サービスを用意している。B社のファイル共有サービスは法人向けのクラウドサービスである。モバイルワーカが社外からインターネットにアクセスする場合は，必ずJ社のDMZ上のVPNサーバからプロキシサーバを経由してアクセスする。プロキシサーバには利用者認証機能はあるが，その機能は現在使用していない。一方，J社からインターネット上のWebサイト及びファイル共有サービスへのアクセスは，ホワイトリスト方式によって制御している。B社のファイル共有サービスには，アクセス元に対するIPアドレス制限機能が実装されているが，その機能は現在使用していない。

とある。これを図に示すと下記の図のようになる。

図1 システム構成図

設問1
(3)

• Jailbreak
• root化

第1章 情報セキュリティ技術 ④

ISMSに関するJIS規格

• JIS Q 27000:2014
•  ISMSに関する用語及び定義について規定した規格
• JIS Q 27001:2014
•  組織がISMSを構築するための要求事項
• JIS Q 27002:2014
•  組織の情報セキュリティに責任を持つ人々に向けた効果的な情報セキュリティマネジメントを実施するための規範（ベストプラクティス－最良の慣行）をまとめた規格

クラウドサービス

• クラウドサービス提供における情報セキュリティ対策ガイドライン（平成26年 総務省）
• ITのスキル指標を活用した情報セキュリティ人材育成ガイド - IPA

第1章 情報セキュリティ技術 ③

タイムスタンプ認証

IPA情報セキュリティ対策研究開発評価等事業 

• タイムスタンプ技術解説
• タイムスタンプ技術に関する調査報告書
• タイムスタンプ・プロトコルに関する技術調査
• 長期署名とは？

総務省

• 電子署名・認証・タイムスタンプ

電子証明書の失効

• CRLとOCSP

長期署名

• DVCS
• JIS X 5092:2008 CMS利用電子署名(CAdES)の長期署名プロファイル
• JIS X 5093:2008 XML署名利用電子署名(XAdES)の長期署名プロファイル
• 医療情報システムの安全管理に関するガイドライン第5版 P92
• 長期署名フォーマットの標準化と日欧相互運用実験
• 電子署名の長期保存

第1章 情報セキュリティ技術 ②

ブロック暗号とストリーム暗号

• 暗号アルゴリズムについて（ブロック暗号）
• 暗号アルゴリズムについて（ストリーム暗号）

電子メールのセキュリティ

• S/MIME
• SMTP-AUTH
• OP25B(Outbound POrt 25 Blocking)
• SPF(Sender Policy Framework)

第1章 情報セキュリティ技術 ①

CHAPとチャレンジレスポンス方式

IPAの解説サイトによると、

CHAP(Challenge Handshake Authentication Protocol)認証は、チャレンジレスポンスという方式を利用した認証システムです。

とある。
ということは、CHAPはチャレンジレスポンス方式という仕組みを用いたパスワード認証の手法という意味だろうか。つまり、チャレンジレスポンス方式というのは仕組みで、それを認証に用いたのがCHAPという解釈で良いのだろうか。
このサイトのチャレンジレスポンス方式を説明した図を見ると、次のような手順でユーザが認証されている。

1. ユーザはIDを認証サーバへ送信する。
2. 認証サーバはチャレンジコードをユーザへ送信する。
3. ユーザはチャレンジと事前パスワードを使ってレスポンスコードを生成し、それを認証サーバへ送信する。
4. 認証サーバは、ユーザIDからユーザのパスワードを（ユーザパスワードテーブルなどから）取得し、送信したチャレンジとそのパスワードを使ってレスポンスコードを生成し、ユーザから送られてきたレスポンスコードと比較する
5. 一致していればユーザ認証成功

一方、CHAPを説明した図を見ると上記２でサーバがユーザに送ってくるのが「乱数鍵」で、3や4でレスポンスコードを作成する処理が、「乱数鍵」を使ってパスワードを暗号化する処理となって、チャレンジレスポンス方式をより具体的な処理手続きとして描いてある。
このことから、チャレンジレスポンス方式というのは具体的な処理までは言及しない概念的なもので、CHAPはその具体的なもののように思われる（ちょうどクラスとインスタンスのような）。
セキュリティ用語辞典では、

PPPなどにおけるチャレンジ／レスポンスという方式を利用したユーザー認証方法。

と説明されている。
レスポンスコードを生成するときに「ハッシュ」を使うと書いてあるが、ハッシュも一方向暗号という暗号化の一種なので、IPAの説明とほぼ同じ内容になっている。
一方、Wikipediaでは、

コンピュータネットワークにおいて、Challenge-Handshake Authentication Protocol (チャレンジ・ハンドシェイク・オーセンティケーション・プロトコル、CHAP) は、ユーザやネットワークホストに対する認証プロトコルである。

と、CHAPは「プロトコル」であると説明してある。
つまり、CHAPはチャレンジレスポンス方式という仕組みを用いたユーザ認証のための「プロトコル」ということである。この説明が一番しっくりくる。

WAFにおけるブラックリスト・ホワイトリスト

WAF(Web Application Firewall)は、Webアプリケーションに特化したファイアウォールである。
IPAのWAFについての解説資料によると、WAFには「検査機能」があり、HTTP通信を検出パターンに基づいて検査するとある（P19 3.2.1 基本機能）。
検出パターンは、定義方法により「ブラックリスト」と「ホワイトリスト」の2種類がある。

• ブラックリスト
• HTTP 通信における「不正な値、またはパターン」を定義した検出パターン。このリストを使用して HTTP 通信を検査した場合、WAF は HTTP通信の内容が「不正な値、またはパターン」に合致したときに、その HTTP 通信を不正な通信として検出する。
• ホワイトリスト
• HTTP 通信における「正しい値、またはパターン」を定義した検出パターン。このリストを使用して HTTP 通信を検査した場合、WAF は HTTP通信の内容が「正しい値、またはパターン」に合致しないときに、その HTTP 通信を不正な通信として検出する。

クロスサイトリクエストフォージェリとクロスサイトスクリプティング

いずれもスクリプトを用いて二つのサイトをまたぐ不正な操作を行う攻撃。両者の違いについては「5分で完璧に理解できる！Webシステムのセキュリティ対策」や「CSRFとクロスサイトスクリプティング」に詳しい説明がある。
両者の最も大きな違いは、不正なスクリプトが実行される場所。前者（CSRF）は攻撃者が用意した罠のサイト（サーバ）上で実行され、後者（XSS）は攻撃者から送り込まれた悪意のスクリプトがユーザのブラウザ上で実行される。いずれも攻撃対象のサイトに脆弱性があるために引き起こされる。
CSRFの典型的な被害は利用者の意図しないSNSへの書き込みやショッピング。ただし、SNSサイトやショッピングサイトにログインしている状態でないと攻撃は成功しない。
XSSの典型的な被害はcookie情報の窃取。

ピクチャパスワード

IT用語辞典によれば、ピクチャパスワードとは

認証を行う方式のうち、従来のパスワードのように文字列を入力するかわりに、画像をタッチジェスチャーなどポインティング操作することによって認証する方式のことである。

と説明されている。
 実際にピクチャパスワードを使ってサイインする動画がYoutubeにある。
Windows 8 タブレット ピクチャ パスワードでサインイン