最低限のコストで情報処理安全確保支援士に合格した話

概要 受験した人 費用 勉強方法 - 過去問(午前) - 過去問(午後) - 基礎知識 - その他 概要 大分前ですが、2021年秋季の情報処理安全確保支援士試験に合格しました。市販の参考書等は使用していません。ただでさえ受験料が高いのに何冊も本は買いたくない向け…

最低限のコストでデータベーススペシャリストに合格した話

概要 受験した人 費用 勉強方法 - 過去問(午前) - 過去問(午後) - 基礎知識 - その他 概要 2022年秋季のデータベーススペシャリスト試験に合格しました。市販の参考書等は使用していません。ただでさえ受験料が高いのに何冊も本は買えない向けの人のためにメ…

#データベーススペシャリスト

データベーススペシャリスト_勉強について

午前Ⅱを解いてわからないところを調べる、、かつ午後を解く、としようと思っていましたが、↓のサイトでなんかまとまった連載があるみたいなので取り敢えず読んでみることにしました。 2017年なのでちょっと古い?かもしれないですけど有り難いです。 https:/…

データベーススペシャリスト_2相コミット

- 1相コミット あるトランザクション処理が発生して,複数のデータベースが更新されたときに片方でエラーが発生すると、更新処理に矛盾が起きてトランザクション処理の原則(ACID特性)である「原子性」と「一貫性」を満たさなくなる。 - 2相コミット コミッ…

データベーススペシャリスト_カーソル

- カーソル DB検索結果レコードを1行ずつ処理するためのしくみである。 - 参考URL https://www.techscore.com/tech/sql/SQL12/12_02.html/ https://atmarkit.itmedia.co.jp/ait/articles/1703/01/news193.html https://software.fujitsu.com/jp/manual/manua…

データベーススペシャリスト_正規化

- 正規化 データベースの表をムダや矛盾が生じないように分割、整理すること。 学生時代から何度もやってきたはずだが、ちゃんと覚えてはいない。 仕事でも触る機会は今までほぼなかった。NO SQLとかは触ったけど関係データベースじゃいのであんまり関係なか…

情報処理安全確保支援士_結果

今更ですが情報処理安全確保支援士 合格していました。 よかったよかった。 次は2021/10月のデータベーススペシャリストを受験します。 ちょっとあまりやる気が出ていないので微妙ですが。 あと受験料7500円になってて目ン玉飛び出ました。

情報処理安全確保支援士_ OpenIDConnect

- OpenIDConnet OAuthの拡張仕様であり、ID連携に共通して必要になるものを標準化したものである、参考URLの記事が分かりやすいかもしれないので、そちらを見たほうがよい。 認可と認証について理解しておく必要がある。OpenIDは認証技術で、OAuthは認可技術…

情報処理安全確保支援士_HTTPヘッダ

- XFF(X-Forwarded-For) HTTPプロキシまたはロードバランサを通過してWebサーバに接続したクライアントの、送信元IPアドレスを特定するために使用されるヘッダである。クライアントとサーバーとの間でトラフィックに何かが介在すると、サーバーのアクセスロ…

情報処理安全確保支援士_TCPwrapper

- TCPwrapper UNIX系OSのシステムに常駐し、外部からのTCP/IP接続のアクセス制御などを行うプログラムである。接続元のIPアドレスなどの情報をもとに接続許可・拒否を指定できる。デーモン名はtcpdである。ちなみに、UDP(動画ストリーミングとかで使われる)…

情報処理安全確保支援士_HSTS

- HSTS(Hypertext Strict Transport Security) WebブラウザにTLSの使用を矯正するポリシーメカニズムである。HSTS指定されているWebサイトにアクセスすると、Webサーバは次回からhttpsアクセスするようにWebブラウザに通知する。HTTPのStrict-Transport-Secu…

情報処理安全確保支援士_Use-After-Free

- Use-After-Free 開放したメモリに対して、脆弱性を利用して再度アクセスし、不正なプログラムを実行することが可能になることを悪用した攻撃である。ヒープ領域に対する攻撃で、ヒープ管理とヒープ領域のポインタ不整合を利用する。 - 参考URL https://sec…

情報処理安全確保支援士_ドライブバイダウンロード

- ドライブバイダウンロード 利用者が悪意のあるサイトを訪問した際に、自動的にウイルスなどの不正なプログラムをダウンロードさせる攻撃である。主にマルウェアに感染するといった被害を受ける。2010年にガンブラーと呼ばれる、ウェブサイトの改竄およびウ…

情報処理安全確保支援士_DLLインジェクション

- DLLインジェクション WIndowsのプロセスに強制的に指定したDLLファイルを注入してDLL関数の呼び出しを横取りし、プロセスを本来とは違う動作をさせる技法である。悪意のある攻撃で使用されることもあり、表面上は正規のプロセスが動いているとしか分からず…

情報処理安全確保支援士_ゴールデンチケット

- ゴールデンチケット攻撃 Windows OSのドメイン内の認証に使われるチケットを不正に偽造して、認証を突破する攻撃である。 調べると競馬の方のページのほうが多かった。ウマ娘やってたら調べる前になんか思ったかもしれない。 - 参考URL https://arimac.mac…

情報処理安全確保支援士_オープンリレー

- オープンリレー メール送信元やIPアドレス、宛先などに関係なくメール送信を行える状態になっているメールサーバのことを指す。不適切な状態であり、踏み台として迷惑メールなどの悪質なメール送信の中継点となってしまう可能性がある。SMTP認証を実施する…

情報処理安全確保支援士_ディレクトリトラバーサル

- ディレクトリトラバーサル 外部からアクセスされることを想定していない、またはアクセスされたくないファイルやディレクトリを、相対パス指定などでプログラムに表示させ、不正なアクセスをする攻撃手段である。例えば、"/etc/passwd"といったファイルに…

情報処理安全確保支援士_L2SW/L3SW

- L2SW MACアドレスとポートを関連付ける。データリンク層が対象である。ハブみたいなもの。L2SW同士ではVLAN間の通信はできない。あくまで同一のネットワーク内にある機器のみを接続できる。 -L3SW MACアドレスだけでなくIPアドレスもポートを関連付ける。…

情報処理安全確保支援士_CORS

- CORS(Cross Origin Resource Sharing) オリジン間リソース共有Cross-Origin Resource Sharing (CORS) は、追加の HTTP ヘッダーを使用して、あるオリジンで動作しているウェブアプリケーションに、異なるオリジンにある選択されたリソースへのアクセス権を…

情報処理安全確保支援士_EDR

- EDR(Endpoint Detection and Response) エンドポイントでの検出と対応のことで、エンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見次第対処するソフトウェアの総称である。 エンドポイントとは、ネットワークに接続されたPC、サー…

情報処理安全確保支援士_耐タンパ性

- 耐タンパ性 ソフトウェアが外部から内部構造や記録されたデータなどを解析、読み取り、改ざんされにくくなっている状態のことをいう。セキスペの試験では外部から改ざんされにくくなっている状態のことをなんというか、という感じの問題としてでていました…

情報処理安全確保支援士_WAF/FW

- WAF(Web Application Firewall) Webアプリケーションの脆弱性をついた攻撃に対するセキュリティ対策の1つである。SQLインジェクションやクロスサイトスクリプティングといった攻撃を防ぐことができる。アプリケーション層レベルで対策できる。拒否する通信…

情報処理安全確保支援士_RADIUS

- RADIUS(Remote Authentication Dial In User Service) ネットワーク上のユーザ認証プロトコルの1つで、電話回線でダイヤルアップ接続の方式を利用するユーザに対してインターネット接続を実現するための認証プロトコルとして当初は使用されていた。ユーザ…

情報処理安全確保支援士_ISAC

- ISAC(Information Sharing and Analysis Center) 米国のセキュリティ情報共有組織である。各業界(金融、エネルギー、情報技術など)の事業者で構成される民間組織であり、設立経緯や目的が異なる複数の組織が存在する。ISCAの組織デザインについては明確に…

情報処理安全確保支援士_SSH

- SSH(Secure Shell) ネットワークに接続された機器をリモートで安全に操作するためのプロトコルである。パスワード認証方式と公開鍵認証方式がある。Teratermなどのツールを使ってサーバに接続したりすることが多いと思われる。 ・パスワード認証方式 一般…

情報処理安全確保支援士_VPN

- VPN(Virtual Private Network) インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワークである。通信者間でトンネリング通信を行い、データをカプセル化することで攻撃者が情報を読み取れなくする。 試験では、よくフリーWifi…

情報処理安全確保支援士_送信ドメイン認証技術

- SPF(Sender Policy Framework) メールの送信元(Sender)ドメインが詐称されていないことを証明するための技術で、DNSを利用する。ドメインをSPFに対応させるには、 そのドメインのゾーンデータにSPFレコード情報を追加する。 SPFレコードには、 そのドメ…

情報処理安全確保支援士_XSSとCSRF

- XSS(クロスサイトスクリプティング) ユーザのアクセス時に表示内容が生成される「動的Webページ」の脆弱性、もしくはその脆弱性を利用した攻撃方法のことである。よく攻撃者が送信したメールに記載されたURLをクリックして~、などの問題で出てくる。この…

情報処理安全確保支援士_暗号

- CRYPTREC(Cryptography Research and Evaluation Committees) 電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討する政府のプロジェクトである。総務省と経済産業省が共同で運営する暗号技術検討会とNICT、IPAが運営す…

情報処理安全確保支援士_XmlHttpRequest

- XHR(XML Http Request) サーバーと対話するために使用されオブジェクトである。ページ全体を更新する必要なしにデータを受け取ることができるので、ユーザーの作業を中断させることなく、ウェブページの一部を更新することができる。AJAX(ウェブブラウザ内…