情報セキュリティの脅威とは?
情報セキュリティの4つの脅威について説明します。
「クロスサイトスクリプティング」とは、動的にWebページを生成するアプリケーションに対し、セキュリティ上の不備を突き、悪意のあるスクリプトを混入させ、攻撃者が仕込んだ操作の実行や、別サイトを介し、ユーザのクッキーや個人情報を盗む攻撃のことです。
「標的型攻撃」とは、標的型攻撃メールは、差出人を官公庁や知人など信頼性のある人に偽装し、さらに、受信者の興味を引く、件名や本文を使用することで、ウイルスを仕込んだ添付ファイルを開かせ、ウイルス感染させるWebサイトのリンクをクリックさせる等、特定の攻撃対象を巧妙に誘導する攻撃手法のことです。
「トロイの木馬」とは、見かけ上、正常動作しているようになりすまし、秘密裏に悪意のある動作を行うように仕組まれたマルウェアのことです。
「マルウェアボット」とは、感染したPCを、インターネットを介した外部からの遠隔操作で操れる状態にしてしまうマルウェアのことです。
情報セキュリティの脅威に関する問題
◆確認問題
情報セキュリティの脅威に関する説明①~③と,用語の適切な組合せはどれか。
出典:平成30年度 秋期 ITパスポート試験公開問題 問77
① Webページに,利用者の入力データをそのまま表示するフォーム又は処理があるとき,第三者が悪意あるスクリプトを埋め込み,訪問者のブラウザ上で実行させることによって,cookieなどのデータを盗み出す攻撃
② 多数のPCに感染し,ネットワークを介した指示に従ってPCを不正に操作することによって,一斉攻撃などを行うプログラム
③ 利用者に有用なプログラムと見せかけて,インストール及び実行させることによって, 利用者が意図しない情報の破壊や漏えいを行うプログラム
◆確認問題の解答(イ)、解説・・・各選択肢(①〜③)の解説は、次の通り。
- ①:「クロスサイトスクリプティング」の説明になります。
- ②:「ボット」の説明になります。
- ③:「トロイの木馬」の説明になります。
情報セキュリティに関する問題
◆確認問題
情報セキュリティ対策において,情報を保護レベルによって分類して管理するとき,管理方法として,適切なものだけを全て挙げたものはどれか。
出典:平成30年度 秋期 ITパスポート試験公開問題 問78
a. 情報に付与した保護レベルは,廃棄するまで変更しない。
b. 情報の取扱い手順は,保護レベルごとに定める。
c. 情報の保護レベルは,組織が作成した基準によって決める。
d. 保護レベルで管理する対象は,電子データとそれを保存した保存媒体に限定する。
ア. a, c
イ. a, d
ウ. b, c
エ. b, d
◆確認問題の解答(ウ)、解説・・・b,c の組み合わせが適切です。各選択肢(a〜d)の解説は、次の通り。
- a : 誤りです。「情報の保護レベル」は、重要度、開示の有無、外部環境などの変化に応じて定期的に見直すべきです。
- b : 正しいです。情報のラベル付けに関する適切な一連の手順は、組織が採用した情報分類体系に従い策定し、実施する必要があります。
- c : 正しいです。情報の取扱いに関する手順は、組織が採用した情報分類体系に従って策定し、実施する必要があります。
- d : 誤りです。情報資産には、紙媒体で管理されているデータも含まれます。
コメント