読者です 読者をやめる 読者になる 読者になる

ゆるく雑多なやつ

ゆるく色々つぶやく予定

文系出身のCompTIA Sequrity+取得れぽ

IT 資格試験 商品紹介

ConpTIAのSequrity+という資格を昨年6月に取得しましたので、
思い出しつつ勉強法をご紹介したいと思います。
この時点でゆるくIT業界で業務している3年目くらいです。
基本情報は取得済み。2年くらい前ですかね。
そちらも記事書いています。よろしければ。
pipipipipino.hatenablog.jp

Sequrity+とは

www.comptia.jp
概要は公式サイトにありますが、とっても噛み砕くと、情報セキュリティについて、少し詳しく知っている人になれる資格です。
IT企業に勤める人間として、常識となる情報セキュリティについてきちんと理解していますよ、と示すことができます。たぶん。
基本情報をお持ちでしたら結構かぶるので、覚えているうちに受けるといいかもしれません。
わたしは資格は自己研鑽のため!とか言えないタイプです。
会社から支給される資格手当ほしさです。

試験範囲は以下の通りです。

 ■ ネットワークセキュリティ
 ■ コンプライアンスと運用セキュリティ
 ■ 脅威と脆弱性
 ■ アプリケーション、データ、ホスティングセキュリティ
 ■ アクセスコントロール、認証マネジメント
 ■ 暗号化


受験自体は試験センターで、PCを使って受けます。(予約方法等は後述します)
すべて選択式ですので、試験自体を受けるハードル自体は高いです。
問題は試験料が高いことですかね。
その時のレートによりますが、35000円くらいします。
わたしは会社から補助でたので受けました。
(弊社は受かると全額返ってきます。落ちたら自費なので戦々恐々)

試験は

制限時間90分 90問 100~900のスコア形式 750スコア以上

となっています。
わりとすぐ終わります。
ただいまキャンペーン中で、1度目が不合格でも2度目無料で受けられますので、一度お試しで受けてみてもいいかもしれません。

受験申込方法

詳しくは下記公式サイトに書いてあります。
CompTIA認定資格とは −試験実施概要- : CompTIA JAPAN (コンプティア 日本支局)

ざっと概要だけ。ちょっとめんどくさい手順ありますが心折れないでください。
①ピアソンVUEへ受験者登録をする(これがちょっとめんどくさかった記憶あります)
②試験予約をする。
 全国100か所以上あるセンターが自由に選択できます。
 時間もセンターによりますが幅広く設定されています。
 わたしは土曜の朝に受けましたが平日お仕事の後とかも行けたと思います。
③あとは当日試験をうけるだけ。結果もその場で出ます。
④compTIAから証明書が送られてきます。
こんな感じです。一斉に受ける基本情報とかとは違い、好きなときに受けられます。
自分がいける!と思ったら受けに行けますがちゃんと行く意思を固めないとずるずる伸ばしてしまうかもしれないですね。

勉強方法と試験問題

公式サイトに親切に書かれてあることはほどほどに。
試験問題と勉強方法について書いていきます。
残念ながら類似問題は公開されていますが(公式サイトにあります)過去問題は公表されていません。
だいたいこういう問題がでます、くらいです。
日本語のテキストもほとんどないです。
これくらいですのでこれを買いました。
Security+ テキスト SY0‐401対応 (実務で役立つIT資格CompTIAシリーズ)

Security+ テキスト SY0‐401対応 (実務で役立つIT資格CompTIAシリーズ)

これをひたすら解きます。
覚えるまで解きます。
主要なポート番号や、レイヤーは結構でるみたいですね。
個人的にはややこしいアルファベットの短縮とか長いカタカナとか少し大変でした。日本語もよくわからないし。
聞きなじみのない単語ばっかり。。。
どうしてもテキストを読んで理解できないところは結構ネットで調べたりしました。情報系あるあるですね。
日本語もうちょっと何とかしていただきたい。
もちろん問題にない部分も出ますので、問題を覚えるほど解いたらほかの単語にも目を通しましょう。
(後ろにポート番号はまとめておきます。)

あとはTACさんからこういうのも。
web.tac-school.co.jp
チケット付きですしお得かもしれません。

あと今回の(401)テストから追加された新しい方式の問題が、本には載っていませんでした(6月の時点ですが)
上記ですと疑似問題があるみたいですね。
私が受けた試験では、その方式は5問出題されました。(差があると思います)
5問の中に答えをたくさん選ぶので、配点は5点ではないと思います。
一問一答ではなく、少し考えるタイプの問題です。(選択肢はあります)

・絵を見て、どこにどのセキュリティを施すのが正解か
 (部屋が二つあってPCが何台かおかれた部屋でした)
ネットワーク層等のレイヤーを埋める問題
・ポートを埋める問題
ちょっとこれしか思い出せず申し訳ないです。
すぐにメモしておけばよかったのですが・・・。
これに関しては一問一答が答えられるレベルより上の理解度がないと解けないものもあると思います。
捨てちゃうのも手です。
よくわからないのは時間がもったいないので何か埋めて後回しにしましょう。
わたしのときはこのタイプの問題が最初続きました。

あとはすべて一問一答です。
簡単な単語を選択する問題から、状況を判断して答えを選択するものもあります。
単語を選択する問題は見てすぐ答えられるようにしましょう。
1問あたり1分しかない計算ですが、状況を判断する問題に関しては少し読まないとひっかけもあります。
そちらに時間を割けるようにしましょう。
一例ですが参考までに。

単語を聞かれているタイプ

インターネットを介して本社サイトへ安全にリモートアクセスするために利用できるのは、次のうちどれですか。
 A.802.1w
 B.VPN
 C.802.1x
 D.Sniffer

対処を聞かれているタイプ

秘密鍵が漏えいした場合の対処方法として適切なのは、次のうちどれですか。
 A.秘密鍵をCRLに公開
 B.公開鍵をCRLに公開
 C.リカバリーエージェントで再生成
 D.アカウントの消去

答えはどちらもBです。

残念ながら試験は元が英語のものを日本語訳しているので、ちょっと意味がわからない文章も出てきます。
文系として許せない感じのやつもありました。笑
英語がわかる方は原文表示できますのでそちらを見るのも手です。
わからない方はあきらめましょう。(あきらめました。)

公式サイトにも何問か公開されているサンプルもありますし、ネットを探せば紹介している記事はあります。
こことか。
ITトレメ CompTIA Security+ − @IT自分戦略研究所

とにかく情報収集が必要だと思いました。
わたしは当日の試験を実際見て、結構パニックになるくらいには、勉強してたのと違う!ってなりました。笑
上記の通り、本やTACはあくまでサンプル問題です。そのままでるわけではないのです・・・
ちなみに合格点ちょうどで合格しました。肝が冷えました。
(3万5千円・・・!って)

勉強時間ですが、大体毎日2時間~8時間程度2か月間やりました。
あんまり集中もしてなかったのと、仕事の合間でしたので、がっつりこの時間ではないですが、文系のくせに暗記系は苦手ですのでこれくらいかかってしまいました。
暗記得意な方はたぶんもっとすっとできると思います。
受ける方はがんばってください!



以下ポートや単語の紹介でもしておきますね。

よくでる(でそうな)ポート一覧

種類 ポート
IPSec 1293
HTTP 80
HTTPS 443
FTP(制御用) 21
FTP(転送用) 20
DNS 53
TFTP 69
ssh 22
SCP 22
SFTP 22(ssh)/115(simple)
SSL 443
FTPS 989,990
SNMP 161,162
telnet 23
NetBIOS(名前) 137
NetBIOS(データグラム) 138
NetBIOS(セッション) 139
TACACS 49
POP3 110
SMTP 25

テスト直前に確認する用

(自分用です。間違ってたらすみません。あと読んでもよくわからなかったやつはそのままなので意味わからないやつもあるかもです。)

単語、用語 概要
情報セキュリティの3つの特性 機密性、完全性、可用性
7つの特性 上記3つ+
真正性、責任追跡性、信頼性、否認防止
ステガノグラフィ 画像データなどにほかのデータを埋め込むこと。
応用すると著作権保護や電子透かしにも使える
対称暗号 ブロック暗号
DES(IBM,64bit)、3DES(168bit)、AES(米国標準、128bit)、Blowfish、Twofish
対称暗号 ストリーム暗号
RC4(WEA,WAPなど無線LAN
非対称暗号 RSA
ハッシュ関数 データの完全性
MD5SHA-1、RIPEMD
デジタル署名用 DSA
非対称暗号 メール、ローカルファイル
PGP、GPG
メッセージ認証符号 MAC
CAC 米国国防総省が発行するICカード
ダイジェスト(ハッシュ値)認証 疑似乱数とパスワードの組み合わせでユーザー認証。なりすまし軽減
ソルト パスワードを簡単に解析できないようにするために使う付加情報(シード)
PPP
<ダイアルアップ接続)
PAP(暗号化なし),CHAP(チャレンジレスポンス方式)
LDAP ディレクトリサービスにアクセスするプロトコルTCP/IP)
Windows認証 LM,NTLM(XP,7)。ネットワーク資源に対するログオン用の認証
Mutual認証 Webサーバーとブラウザが相互認証しフィッシング防止
RADIUS リモートアクセスサーバーのユーザー認証用プロトコル。課金情報などの設定も可能。
TACACS CISCOが開発した認証プロトコル。データそのものの暗号化が可能
TACACS+ AAA(認可、認証、アカウンティング=課金)制御もサポート
XRACACS TACACSの拡張仕様。
Kerberos シングルサインオン。KDCが認証局の役割。認証、チケット発行。サーバーとクライアントの時刻同期が必要
RBAC
(ロールベースアクセス制御)
各オブジェクトに対するアクセス権限と役割を関連付け、この役割にユーザを割り当てるアクセス制御方式
MAC
(強制アクセス制御)
権限を機能ごとに分割して複数のユーザに与える
DAC
(任意アクセス制御)
オブジェクト所有者がアクセス権限の設定可能
PKI
(公開鍵基盤)
公開鍵、公開鍵証明書、認証局(CA)で構成される
CA→認証機関、RA→登録機関
リカバリーエージェント Windowsの暗号化ファイルシステム(EFS)の復号のために指定可能。秘密鍵を紛失したときの予備を持っててくれる人の指定
SSL(TLS) 一般に利用されている暗号化通信プロトコル。公開鍵証明書を利用。ハイブリッド暗号。セッション層とトランスポート層の間で動作
S/MIME メールの暗号化用通信プロトコル認証局が発行した公開鍵証明書が必要
SET 電子商取引の情報を暗号化するプロトコル。非対称暗号方式。公開鍵証明書が必要。
IPSec ネットワーク層プロトコルIPに暗号化と認証の機能を追加できるプロトコル
XML デジタル情報として文書を交換する際の書式定義言語(タグ付き文書)
コードサイニング プログラムなどの実行形式のファイルにデジタル署名を付与するもの
X.509 X.500ディレクトリシリーズ規格のひとつ。証明書の国際基準。証明書の所有者やCAの名前を識別名(DN)で表現
RFC3280 X.509、X.500に関するプロファイルを規定しています
CRL 有効期限が来る前に失効した公開鍵証明書リスト(証明書失効リスト)
OCSP オンラインで公開鍵証明書の有効性検証を行うプロトコル
SCVP 証明書と証明書パスのオンラインによる検証法を提供
DCSP 公開鍵証明書、デジタル文書の真正性、電子公証などの検証
VLAN スイッチの各ポートを複数グループにわけ、仮想的なネットワークとして機能
ループプロテクション(スパニングツリー) スイッチのループ構成を自動検出し、自動的に無効にする
IDS ネットワークを経由して行われる不正アクセスを監視、発見して通知
IPS 自動的に脅威を検知、遮断
これとIDSはホスト対応とネットワーク対応(HとNを頭につける)
L2スイッチ 各ポートがMACアドレスを学習し、送信元と送信先の身が通信を行い、無駄なコリジョンを抑える。
L3スイッチ L2スイッチ同士の通信を行えるようにする
FloodGuard Dos攻撃に対する防御機能。ルータに備わっている(CISCO製)
NAT 1対1でプライベートアドレスとグローバルアドレスを対応
NAPT
IPマスカレード、PAT)
複数対応可能
DMZ ファイアウォールのポート。不正アクセスや攻撃からの被害を内部に広げないもの。
シグネチャ 不正アクセス時のログや通信パケットの内容をパターンとして含む。
WAF
(Webアプリケーションファイアウォール
Webサーバーに対するユーザ認証やアクセス制御、コンテンツ保護
Webフィルタリング Webサイトへのアクセス制限
コンテンツインスペクション ゲートウェイ製品が備える。不正通信、不正ソフトウェアなどを排除
UTM
(総合セキュリティアプライアンス
セキュリティ対策に必要な機能をひとまとめにした製品
VPN インターネット上や通信事業者のネットワーク上に構築した論理的な専用ネットワーク。安全を確保した仮想的な私設ネットワーク。
IPv4 32ビットのアドレス空間
IPv6 128ビットのアドレス空間。セキュリティ機能を保つためにIPSecを実装(ポート1293)
HTTPS(443) HTTP(80)通信で、暗号化にSSLを利用するプロトコル
FTP TCPを利用してファイル転送するプロトコル。制御用(21)とデータ転送(20)のコネクションを利用
SNMP(161,162) ネットワークに接続された機器をネットワーク経由で管理するプロトコル。情報はMIBで規定
DNS(53) IPアドレスドメイン名を対応付けする
TFTP(69) UDPを利用してファイル転送。認証機能がない。
SA IPSecで、双方で合意した暗号化アルゴリズムと暗号鍵のこと
SPI どういったSAを結んだのかがわかる32ビットの値
ssh(22) UNIXでネットワーク上のコンピュータにリモートログインしたりコマンド実行するプロトコル
SCP(22) sshの機能で安全なファイル転送。
SFTP(ssh22/simple115) sshに含まれる機能を利用して安全なファイル転送。FTPをもとにしている
SSL(443) CAが発行した証明書をもつ秘密鍵によってデジタル署名で認証する
TLS 対称暗号。通信の暗号化、相手の認証、内容の改ざんの検出
FTPS(989,990) SSLTLSを利用してデータ転送を暗号化するプロトコル
ICMP IPの機能を補うプロトコル。通信処理の誤り通知、通信に関する情報通知
telnet(23) 平文。端末とホストコンピュータの通信を実現。sshが一般的。
NetBIOS 名前サービス(137)データグラムサービス(138)セッションサービス(139)。Win7では名前登録に利用
ゾル IPとドメイン名の関係を管理しているネームサーバーに教えてもらう側のPC
VoIP 音声信号をパケット変換する
SIP 通話先の特定や通信の確立などの役割を担う呼制御プロトコル
RTP 通信確立後に実際の音声を送受信するためのプロトコル
脆弱性スキャニング ハードウェア、ソフトウェアの脆弱性を調査すること
プロトコルアナライザー ネットワーク通信の監視、分析。モニタリングポートに接続してデータ収集する。不正なフラグや断片化パケットを確認できる。SMTP,POP3,DNSのログ取得に必要
ポートスキャナー ネットワーク上のホスト名やサービス、OSの種類などを表示できる。
コードレビュー コードの調査をして脆弱性を確認する
侵入テスト 実際にコンピュータへ不正アクセスを試す
ファジング プログラムが予測しないような入力をし、意図的に例外を発生させる
ネットワークマッパー ネットワーク上にあるホスト名やサービス、OSの種類を表示できる。侵入テストでもつかわれる
スニファー ネットワークトラフィックを見る。データを平文で流すと悪用されてパスワードなどが流出する
マルウェアインスペクション アプライアンスで提供。ネットワークを監視し、マルウェアをブロック
コンテンツインスペクション 外部との情報のやり取りを監視。ネットワークの出口に設置
パーソナルファイアウォール パケットをフィルタリングし、設定で遮断できる
DNSキャッシュポイズニング DNSサーバーのキャッシュに不正なゾーン情報を保持させる
NTFS Windowsが提供するセキュリティ機能。
TCSEC TrustedOSが準拠するセキュリティ評価基準
SYNFlood IPスプーフィングのテクニックを使い3ウェイハンドシェイクを悪用したもの
TearDrop 大きなIPパケットを分割して送信する(IPフラグメンテーション機能)を悪用する攻撃
Smurf攻撃 Pingを要求するEchoコマンドを大量に送り続ける
スプーフィング 盗聴や改ざんをおこなう攻撃。APR,IP,メール,DNS など
ファーミング ユーザを正規のWebサイトに似せた偽サイトへ誘導するフィッシングの一種
SaaS クラウドサービス。アプリケーションソフトウェアの利用までを提供
Paas クラウドサービス。OSのような実行環境までを提供
IaaS クラウドサービス。コンピュータの基盤部分を提供
クロスサイトスクリプティング Webサイトの弱点を利用。悪意あるスクリプトを埋め込む。入力チェックが有効
クロスサイトリクエストフォージェリ のっとりみたいなもの。勝手に操作される。大切な部分で認証を行うのが有効
ディレクトリトラバーサル ファイル名やディレクトリ名の相対パスを用い、公開していないファイルへアクセスする手口
セッションハイジャック ユーザーが通信している間に攻撃者が割り込み、通信をのっとる
ブルートフォース攻撃 推測される文字の組み合わせを総当たりで割り出す方法
SQLインジェクション データベースに、外部から不正なパラメータを含ませたコマンドを送付する不正操作
XMLインジェクション データ登録時に意図しないタグを受け付け、本来とは異なる形で登録される
LDAPインジェクション ディレクトリの検索条件に干渉して情報を流出させる
エビルツイン 無線LANで偽のアクセスポイントを設置してなりすまし、ユーザをだます。
ウォーチョーキング(ドライビング) 移動しつつ無線LANアクセスポイントを探す
IV攻撃 ストリーム暗号処理で利用している値を調べ、WEPの暗号鍵を推測する(鍵+IVで暗号用乱数を作成)
TKIP 定期的な暗号鍵の自動交換、IV拡張、キーストリーム2回作成。WEPの脆弱性に対処した暗号技術
IEEE802.1x LANで使用される認証について規定したプロトコル
WEP RC4をベースにした対称暗号方式を利用。脆弱性があるため安全ではない
CCMP IEEE802.11iできていされたプロトコル無線LANでの暗号化機能のなかではかなり安全
WPA 無線LAN暗号化技術。WEPを改良
WPA2 TKIPより安全。AESを採用。CCMPを規定にしている
EMIシールド 電磁波を発生する機器同士の干渉を低減する装置
APアイソレーション ホテルやホットスポットなどで同じSSIDを使用するクライアント間の通信を遮断できる
EAP PPP(ダイヤルアップ接続などの認証プロトコル)を拡張したもの。IEEE802.xで採用
EAP-TLS 認証局が発行した公開鍵証明書を認証に利用
EAP-PEAP Microsoft。クライアント側でIDとパスワードを入力し、クライアント認証を不要にする
LEAP CiscoWindows認証を利用し、サーバーとクライアント認証を簡略化。
ブルージャッキング攻撃 Bluetoothを利用した攻撃。匿名メッセージを端末に送り込む。
ブルースナーフィング攻撃 Bluetoothを利用した攻撃。端末の情報に本人に気づかれずにアクセスする。
ブルーバギング Bluetoothを利用した攻撃。端末を直接制御する。
リモートワイプ 紛失、盗難にあったモバイル機器を、リモート操作してデータの消去や初期化を行いデータを守る
GPSラッキング モバイル機器に内蔵されているGPS機能を利用して機器の位置を特定する機能。
検疫ネットワーク(NAC) 社内ネットワークや不正アクセス、ウイルスなどの脅威へ対処するため、ネットワークの入り口でアクセスを制御すること。
ISMS 情報セキュリティマネジメントシステム。企業の情報セキュリティに対する管理体制を確保する方法
リスク= 脅威x脆弱性
定性的リスク分析 発生確率と影響を目安となる程度の大きさであらわす
定量的リスク分析 リスクの大きさを具体的な数値で判断する分析方法。精密な障害予測や客観的な判断
リスク軽減 リスクを受け入れ可能なレベルまで引き下げる
リスク回避 リスク発生の原因そのものとの関係を断つ。完全には難しいので採用には限度がある
リスク転移 保険やアウトソーシングで他に委ねる
リスク保有 優先度低など、対策をとらないこと
JRAM 日本情報経済社会推進協会。質問票を事前に配布、回答の分析結果からリスクの財務的なインパクトを組織のトップに報告
CRAMM イギリスのCCTA。リスク分析・管理の方法。
ALE 米国商務省標準技術局。代表的な定量的リスク分析。年間予想損失額を求める。
TPM 暗号化や完全性検証の機能をもつセキュリティチップ。ハード全体の暗号化。
BitLocker to Go Win7USBメモリを暗号化する機能
DLP ファイルサーバー、データベース上、ネットワーク上で転送されているデータをチェックし、重要データの漏えいを防ぐ機能のある製品
HSM 暗号モジュールや鍵などを物理的に保護する装置。
人的セキュリティ 情報資産を扱う人へのセキュリティ対策
フォレンジック分析 インシデント発生時に残ったデータなどを収集し、被害規模の特定や法的問題の証拠分析をすること
事業影響度分析(BIA:ビジネスインパクト分析 事業継続に関する様々な要因が事業に与える影響度を分析すること。ボトルネックや単一障害点があれば排除を検討する
ITコンテンジェンシープラン ITインフラストラクチャーに対する緊急時対応計画のこと
HVAC ビルなどの空調技術で、暖房・冷却・空調の3要素のこと
災害対策計画 災害発生時にシステムをどのように復旧させるのか事前に決めておくこと
RAID 複数の物理ドライブを配列し、組み合わせ、高速性・大容量・信頼性を向上させたディスクシステムを構築する技術
RAID0 ストライピングによるパリティの無い方式。
RAID1 ミラーリングとも呼ばれる。2台の物理ディスクドライブに同じデータを重複して書き込みシステムの耐故障性
RAID5 ストライピング。3台以上の物理ディスクドライブを使用し、冗長データとしてパリティを生成
クラスタリング 複数のコンピュータを並行して動作させ、1台の故障でシステムダウンにならないようにすること
平均復旧時間(MTTR) 障害発生時に再び障害前と同様の動作が可能になるまでの時間の平均
平均故障間隔MTBF) 機器が故障して修理が完了してから再び故障するまでの平均。信頼性を評価
稼働率 MTBF/MTBF+MTTR
事業継続計画(BCP 災害などの発生時に活用できる経営資源で、事業活動を継続するためのもの
災害復旧計画(DRP) 災害への対応に限定した計画。BCPに含まれる。
復旧目標時間(RTO) 災害発生時にシステムを障害から回復させるまでの目標時間
復旧目標地点(RPO) データが損傷、損失した場合に過去のどの状態に戻すかを示す
フルバックアップ システム上すべてのファイルをコピーすること。時間はかかる
増分バックアップ フルバックアップ以降更新があったものだけ
差分バックアップ フルバックアップから変更があったもの
スナップショット 稼働中のデータベースやOSファイルを一時的に保存するときに使うバックアップ
イメージバックアップ データの複製をストレージ内部に作成しておくもの
ロードバランサー 特定のサーバーが負担超過にならないように、ユーザーからの要求を複数のサーバーに振り分ける装置のこと
ホットサイト 通常他の用途に使用している環境を、災害時に移築して利用するサイト。データは随時複製し、稼働状態で待機
ミラーサイト ホットサイトのひとつ。二つのシステムが同時に稼働し、災害時には通信回路を切り替えるだけでよい。
ウォームサイト ほかの企業と共用サイトで、災害時は企業から必要なデータを持ち込む
コールドサイト 最低限環境の整った部屋だけを準備し、災害時は機器を持ち込み環境を再構築する
ホットアイル・コールドアイル 熱トラブルをさけるために排熱を検討すること
ステートフルインスペクションファイアウォールを通過するパケットのデータを読み取り、内容を判断して動的にポートを開放・閉鎖する機能
PPP,L2TP データリンク層
SLA 提供するサービス品質を保証する制度または契約
クロストーク ある信号線の信号が別の信号線に漏れてノイズになる。UTP(LAN)ケーブルの弱点
SLE 単一のリスクが発生した場合の損害金額の見積もり
スパム対策 ホワイトリストブラックリスト、オープンリレーのオフで対策できる
3要素認証 人(パス、PIN)+所有物(ICカードなど)+存在証明(虹彩など)
CCTV ビデオカメラのこと。セキュリティ対策の検知に該当する。検知とは機器などを使って検査して知ること。
IKE セキュリティ関連付け(SA=セキュリティアソシエーション)を自動生成する。IPSec通信と共に利用される。
WireShark プロトコルアナライザー。Snifferも有名