「OSS(Open Source Software)」「情報セキュリティ資産(計算問題)」「ドライブ・バイ・ダウンロード」の解説

2021年9月23日

「OSS」とは、ソースコードが無償で公開され、改変や再配布が自由に認められているソフトウェアのことです。

created by Rinker
¥3,010 (2022/08/19 13:46:05時点 Amazon調べ-詳細)

なお、「OSS」の定義は、以下の通り定められています。(参考https://opensource.org/osd

  • 自由な再配布を認めること
  • ソースコードを無償で配布すること
  • 派生ソフトウェアの配布を許可すること
  • 作者のソースコードの完全化(ソースコードのどの部分が作者のオリジナルコードかわかるようにする)
  • 個人やグループに対する差別の禁止
  • 使用分野に対する差別の禁止
  • ライセンスの分配(ライセンスが再配分者に認める権利は差別なく与える)
  • 特定の製品に限定したライセンスの禁止
  • 他のソフトウェアを制限するライセンスの禁止
  • ライセンス技術は中立

「OSS」を利用する場合のメリットは、主に以下があると言われています。

  • 信頼性がある:ソースコードが公開されていることから、不正プログラムや脆弱性などの確認ができます。なお、脆弱性が検知された場合の修正速度が早いのが「OSS」の特徴です。
  • 安定性が高い:基本的に、ユーザが存在する限り、メンテナンスが継続されます。そのため、長期間に渡る安定性が見込まれます。
  • コスト削減:「OSS」は、ライセンス費用が無償のため、初期費用だけでなく、ライセンス管理などの運用コストも削減できます。

ここで、OSSの例を紹介します。

OSLinux, Android, CentOS
WebサーバApache, Nginx, H2O 
WebブラウザFirefox, Chromium
メールクライアントThunderbird, Sylpheed
DBMSMySQL, PostgreSQL, SQLite, Firebird
DNSサーバBIND, PowerDNS
メールサーバSendmail, Xmail, Postfix, qmail
オフィス系LibreOfiice, OpenOffice

◆確認問題

OSS(Open Source Software)であるDBMSはどれか。
 ア.  Android
  イ.  Firefox
   ウ.  MySQL
   エ.  Thunderbird

出典:平成31年度 春期 ITパスポート試験公開問題 問67

◆確認問題の解答(ウ)、解説・・・各選択肢の解説は、次の通り。

  • ア:「Android」は「OSS」の「OS」です。
  • イ:「Firefox」は「OSS」の「Webブラウザ」です。
  • ウ:正解です。
  • エ:「Thunderbird」は「OSS」の「メールクライアント」です。

created by Rinker
¥2,200 (2022/08/19 13:46:06時点 Amazon調べ-詳細)

上記スライドの確認問題を用いて解説します。

確認問題より、「リスク値は,表の各項目を重み付けせずに掛け合わせることによって算出した値」とするので、リスク値は「資産価値 × 脅威 × 脆弱性」で求められる。

それぞれのリスク値を算出すると以下の通りである。

  • [資産A]5 × 2 × 3 = 30
  • [資産B] 6 × 1 × 2 = 12
  • [資産C] 2 × 2 × 5 = 20
  • [資産D] 1 × 5 × 3 = 15

算出されたリスク値が高いほどリスク対応の優先順位も高くなるため、最優先で対応するべき資産は、「資産A」・・・(ア)

「ドライブ・バイ・ダウンロード」とは、ウィルスサイトを閲覧した際、利用者の意図に関わらず、ウィルスなどの不正なプログラムをダウンロードさせる行為です。

「ドライブ・バイ・ダウンロード」は、主に利用者のパソコンのOSやアプリケーションなどの脆弱性が悪用されています。

「ドライブ・バイ・ダウンロード」により、ウィルス感染の流れは次の通りです。

  • パソコン利用者が、悪意あるWebサイトを閲覧
  • 利用者のパソコンの脆弱性が突かれ、パソコンにウイルスをダウンロード
  • 利用者のパソコンがウイルス感染

◆確認問題

PCでWebサイトを閲覧しただけで,PCにウイルスなどを感染させる攻撃はどれか。
    ア.DoS攻撃
    イ.ソーシャルエンジニアリング
    ウ.ドライブバイダウンロード
    エ. バッグドア

出典:平成31年度 春期 ITパスポート試験公開問題 問69

◆確認問題の解答(ウ)、解説・・・各選択肢の解説は、次の通り。

  • ア:「DoS攻撃」は「Denial of Services」の略であり、攻撃目標のWebサイトやサーバに対し、大量の不正データを送ることで、システムの正常稼働が出来ない状態にする事です。
  • イ:「ソーシャルエンジニアリング」は、ネットワークに侵入するために必要となるパスワードなどの重要情報を、インターネットなどの情報通信技術を使わず入手する方法です。
  • ウ:正解です。
  • エ:「バックドア」は、一度不正侵入に成功したコンピュータやネットワークに、いつでも再侵入できるよう、攻撃者によって技術的に設置された侵入口の事です。