── 平成19年度春期 テクニカルエンジニア(情報セキュリティ)(SV)午後Iで出題された用語を紹介します。過去の例からいっても、情報セキュリティアドミニストレータ(SU)に出題される可能性が高いです。
- システム管理者の権限の乗っ取りにつながる【 A 】の脅威。 (H19SV 午後I問2より)
- telnetは、パスワードを流出させるおそれがある。例えば、ポート番号が22の【 A 】などの安全なプロトコルに変更したほうが良いと思う。 (H19SV 午後I問3より)
- 「利用者認証には、ワンタイムパスワード方式を利用しているので、一定期間固定で利用されるパスワードよりも安全です。」
安全であると述べている理由を、想定する攻撃も含めて25文字以内で述べよ。 (H19SV 午後I問2より)
- タイムスタンプ技術を利用することをお勧めします。まず、バックアップファイルの【 A 】を計算して【 B 】に送信します。次に、【 B 】で作成されたタイムスタンプトークンを取得し、バックアップファイルとともに保存します。 (H19SV 午後I問3より)
■情報セキュリティアドミニストレータ(2007年度版)
- A : 権限昇格
一般ユーザとしてログインしたユーザが、管理者権限を手に入れてしまうこと(一般ユーザ権限→管理者権限への昇格)。通常は出来ない操作が可能になってしまう。
- A : SSH
telnetやftpは、パスワードもそのままインターネット上を流れてしまうため、盗聴されてしまったら、パスワードが漏えいする。このため、暗号化が行われるSSHに変えたほうが良い。
- 盗聴によるリプレイ攻撃を防ぐことが出来るため。
リプレイ攻撃とは、盗聴したメッセージ内容をそのまま送信(リプレイする)ことにより、パスワードシステムなどを突破すること。ワンタイムパスワードなら、アクセスのたびにパスワードが変わるので、本攻撃を防ぐことが出来る。
- A : ハッシュ値
B : タイムスタンプ局 or TSA or タイムスタンプオーソリティ 既にSUでも出題されたと思いますが、念のため復習。