Security Essentials 020 被験者
試験のバージョン: 1.0
試験コード: 020-100
目的別の重さについて: 各項目には、重み付けの値が割り当てられています。重みは、試験における各目標の相対的な重要性を示しています。重みが高い目標は、より多くの問題で試験に取り上げられます。
Purchase Voucher
021 セキュリティの概念
021.1 ゴール、役割、アクター(重要度: 1)
| 重要度 | 1 |
| 説明 | ITセキュリティの重要性を理解していること。セキュリティの本質的な目的や、ITセキュリティ分野における様々なアクターとその役割を理解していることを含む。 |
主要な知識分野:
- ITセキュリティの重要性
- 一般的なセキュリティの目標
- セキュリティにおける一般的な役割
- ITシステムやデバイスに対する攻撃の目的
- アトリビューション(attribution)と関連事項
関連する用語、ファイル、ユーティリティ:
- 機密性(confidentiality)、完全性(integrity)、可用性(availability)、非否認性(non-repudiation)
- ハッカー(Hackers)、クラッカー(crackers)、スクリプトキディ(script kiddies)
- ブラックハットハッカー、ホワイトハットハッカー
- データへのアクセス、操作、削除
- サービス妨害、身代金請求
- 産業スパイ活動
021.2 リスクの評価と管理(重要度: 2)
| 重要度 | 2 |
| 説明 | セキュリティ情報を見つけ、解釈する方法を理解していること。脆弱性のリスクを理解し、対応の必要性と緊急性を判断することを含む。 |
主要な知識分野:
- 一般的なセキュリティ情報源に対する知識
- セキュリティインシデントの分類スキーマと、重要な脆弱性の種類
- セキュリティアセスメントならびにITフォレンジックの概念
- ISMS(Information Security Management Systems)ならびに、セキュリティインシデント対応計画(ISIRP: Information Security Incident Response Plans)とその対応チーム
関連する用語、ファイル、ユーティリティ:
- CVE(Common Vulnerabilities and Exposures)
- CVE ID
- CERT(Computer Emergency Response Team)
- ペネトレーションテスト
- 非標的型攻撃(untargeted attacks)と APT攻撃(Advanced Persistent Threats)
- ゼロディ脆弱性
- 脆弱性のリモート実行と解析
- 脆弱性による特権昇格
021.3 倫理的な行動(重要度: 2)
| 重要度 | 2 |
| 説明 | 自らがデジタルインフラの利用に関わる場合の、技術的、経済的、法的な影響を理解していること。セキュリティツールの利用によって引き起こされる可能性がある損害も含む。また、著作権とプライバシー法の一般的な概念を理解していること。 |
主要な知識分野:
- セキュリティに関わる行動が他者に及ぼす影響の理解
- 脆弱性に関する情報の責任ある取扱方法
- 機密情報の責任ある取扱方法
- ITサービスのエラーや停止が、個人や経済、環境、社会に与える影響
- セキュリティスキャンや、調査、攻撃に関する法的な影響
関連する用語、ファイル、ユーティリティ:
- 責任ある開示(Responsible Disclosure)と完全な開示(Full Disclosure)
- バグ報奨金プログラム
- 公法ならびに私法
- 刑法、プライバシー法、著作権法
- 賠償責任と補償請求
022 暗号化
022.1 暗号と公開鍵基盤(PKI)(重要度: 3)
| 重要度 | 3 |
| 説明 | 秘密鍵(symmetric)暗号、公開鍵(asymmetric)暗号、ならびに一般的な暗号アルゴリズムの概念を理解していること。また、暗号鍵と個人や組織を関連付ける際の、デジタル証明書の使い方を理解していること。 |
主要な知識分野:
- 秘密鍵暗号、公開鍵暗号、ハイブリッド暗号の概念
- PFS(Perfect Forward Secrecy)の概念
- ハッシュ関数、暗号、鍵交換アルゴリズムの概念
- エンド-エンド暗号化と、トランスポート暗号化の違い
- 公開鍵基盤(PKI)、認証局(CA)、信頼できるルート認証局の概念
- X.509 証明書の概念
- X.509 証明書の要求方法と発行方法
- 証明書の失効に関する知識
- Let’s Encrypt に関する知識
- 重要な暗号アルゴリズムの知識
関連する用語、ファイル、ユーティリティ:
- 公開鍵基盤(PKI)
- 認証局(CA)
- 信頼できるルート認証局
- 証明書署名要求(CSR)と証明書
- X.509 証明書のフィールド: Subject、Issuer、Validity
- RSA、AES、MD5、SHA-256、Diffie–Hellman鍵交換、楕円曲線暗号
022.2 Web暗号化(重要度: 2)
| 重要度 | 2 |
| 説明 | HTTPSの概念を理解していること。Webサーバーの正当性を検証すること、Webブラウザのセキュリティに関連する一般的なエラーメッセージを理解していることを含む。 |
主要な知識分野:
- 平文テキストのプロトコルとトランスポート暗号化の主な相違点
- HTTPS の概念
- HTTPSで利用される X.509証明書の主なフィールド
- X.509証明書を特定のWebサイトに関連付ける方法
- Webブラウザが X.509証明書に対して行う有効性チェック
- Webサイトが暗号化されているか否かを判断すること。ブラウザの一般的なメッセージを含む
関連する用語、ファイル、ユーティリティ:
- HTTPS、TLS、SSL
- X.509 証明書のフィールド: Subject、Validity、subjectAltName
022.3 電子メール暗号化(重要度: 2)
| 重要度 | 2 |
| 説明 | メール暗号化のための OpenPGP と S/MIME の概念を理解していること。OpenPGPの鍵、および、S/MIME の証明書を用いて、暗号化メールを送受信することを含む。 |
主要な知識分野:
- 電子メールの暗号化と署名
- OpenPGP
- S/MIME
- OpenPGPの鍵サーバー
- S/MIMEにおける証明書の役割
- PGP鍵とS/MIME証明書を、メールアドレスに関連付ける方法
- Mozilla Thunderbirdにおける、OpenPGPならびにS/MIMEを使った暗号化メールの送受信
関連する用語、ファイル、ユーティリティ:
- GnuPGP、GPG鍵、鍵サーバー
- S/MIME および S/MIME証明書
022.4 データストレージの暗号化(重要度: 2)
| 重要度 | 2 |
| 説明 | ファイルの暗号化とデバイスの暗号化の概念を理解していること。また、ローカルのストレージデバイスやクラウドにストアしたデータを暗号化できること。 |
主要な知識分野:
- データ、ファイル、ストレージデバイスの暗号化の概念
- VeraCryptで、暗号化コンテナないし暗号化ストレージデバイスにデータをストアする
- BitLocker の主要機能
- Cryptomatorで、クラウドサービスのファイルストレージに暗号化ファイルをストアする
関連する用語、ファイル、ユーティリティ:
- VeraCrypt
- BitLocker
- Cryptomator
023 デバイスとストレージのセキュリティ
023.1 ハードウェアのセキュリティ(重要度: 2)
| 重要度 | 2 |
| 説明 | ハードウェアのセキュリティ面を理解していること。さまざまな種類のコンピューターデバイスとその構成要素に対する理解も含まれる。また、コンピューターとやり取りするさまざまなデバイスや、デバイスに対する物理的なアクセスによる、セキュリティへの影響を理解していること。 |
主要な知識分野:
- コンピュータの主要な構成要素
- スマートデバイスならびにIoT(Internet of Things)
- コンピューターへの物理的なアクセスによるセキュリティへの影響
- USBデバイス種別、接続と、セキュリティ要素
- Bluetoothデバイス種別、接続と、セキュリティ要素
- RFIDデバイス種別、接続と、セキュリティ要素
- トラステッドコンピューテイング(Trusted Computing)の知識
関連する用語、ファイル、ユーティリティ:
- プロセッサ、メモリ、ストレージ、ネットワークアダプター
- タブレット、スマートフォン、スマートTV、ルーター、プリンター、スマートホーム、アラーム、IoTデバイス(スマート電球、サーモスタット、TVなど)
- USB
- Bluetooth
- RFID
023.2 アプリケーションのセキュリティ(重要度: 2)
| 重要度 | 2 |
| 説明 | ソフトウェアのセキュリティ面を理解していること。ソフトウェアの安全なインストール、更新ソフトウェアの管理、意図しないネットワーク接続からの保護を含む。 |
主要な知識分野:
- ソフトウェアの種類
- アプリケーションのさまざまな入手先と、ソフトウェアを安全に調達してインストールする方法
- ファームウェア、オペレーティングシステム、アプリケーションのアップデート
- モバイルアプリケーションの入手先
- ソフトウェアにおける一般的な脆弱性
- ローカルでのソフトウェア保護の概念
関連する用語、ファイル、ユーティリティ:
- ファームウェア、オペレーティングシステム、アプリケーション
- アプリストア
- ローカルパケットフィルター、エンドポイントファイアウォール、アプリケーション層ファイアウォール
- バッファオーバーフロー、SQLインジェクション
023.3 マルウェア(重要度: 3)
| 重要度 | 3 |
| 説明 | さまざまな種類のマルウェアを理解していること。それらがデバイスにインストールされる方法、起こりうる影響、マルウェアからの保護方法を含む。 |
主要な知識分野:
- 一般的なマルウェアの種類
- rootkitとリモートアクセスの概念
- ウイルス・マルウェアスキャナー
- マルウェアのリスクに対する知識: スパイ、データ流出、アドレス帳のコピー
関連する用語、ファイル、ユーティリティ:
- ウイルス、ランサムウェア、トロイの木馬型マルウェア、アドウェア、仮想通貨マイナー(採掘者)
- バックドアとリモートアクセス
- ファイルのコピー、キーロガー、カメラやマイクの乗っ取り
023.4 データの可用性(重要度: 2)
| 重要度 | 2 |
| 説明 | データの可用性を確保する方法を理解していること。適切なデバイスやサービスにデータを格納することや、バックアップを作成することを含む。 |
主要な知識分野:
- バックアップの重要性
- バックアップの種類と戦略
- セキュリティにおけるバックアップの影響
- バックアップの作成と安全な保存
- クラウドサービスにおけるデータの保存、アクセス、ならびに共有
- クラウドストレージとクラウドでの共有アクセスがセキュリティに対して与える影響
- クラウドサービスとローカルストレージの間でのデータ同期と、インターネット接続への依存性
関連する用語、ファイル、ユーティリティ:
- フルバックアップ、差分バックアップ、増分バックアップ
- バックアップの保持
- ファイル共有のクラウドサービス
024 ネットーワークとサービスのセキュリティ
024.1 ネットワーク、ネットワークサービス、インターネット(重要度: 4)
| 重要度 | 4 |
| 説明 | コンピューターネットワークとインターネットの概念を理解していること。まざまな種類のネットワークメディアと、アドレシング、ルーティング、パケット転送の知識、ならびに、インターネットで利用される主要なプロトコルの理解を含む。 |
主要な知識分野:
- さまざまな種類のネットワークメディアとネットワークデバイス
- IPネットワークとインターネットの概念
- プロバイダ(ISP)とルーティングの概念
- MACアドレス、リンクレイヤーアドレス、IPアドレス、TCPとUDPのポート、DNSの概念
- クラウドコンピューティングの概念
関連する用語、ファイル、ユーティリティ:
- 有線ネットワーク、WiFiネットワーク、携帯電話ネットワーク
- スイッチ、ルーター、アクセスポイント
- デフォルトルーター
- インターネットサービスプロバイダ
- IPv4、IPv6
- TCP、UDP、ICMP、DHCP
- DNS、DNSホスト名、フォワードDNS、リバースDNS
- クラウドコンピューティング
- IaaS(Infrastructure as a Service)
- PaaS(Platform as a Service)
- SaaS(Software as a Service)
024.2 ネットワークとインターネットのセキュリティ(重要度: 3)
| 重要度 | 3 |
| 説明 | ネットワークとインターネットを使用する際の一般的なセキュリティ要素を理解していること。ネットワークおよび接続されたコンピュータに対する一般的なセキュリティの脅威とその緩和策を理解し、有線ないし無線ネットワークに安全に接続することを含む。 |
主要な知識分野:
- リンク層アクセスの影響
- WiFiネットワークのリスクと安全な利用
- トラフィック傍受の概念
- インターネットにおける一般的なセキュリティの脅威とその緩和策
関連する用語、ファイル、ユーティリティ:
- リンク層
- 暗号化されていない公衆WiFi
- WiFiのセキュリティと暗号化
- WEP、WPA、WPA2
- トラフィック傍受
- 中間者攻撃
- DoS攻撃、DDoS攻撃
- ボットネット
- パケットフィルター
024.3 ネットワークの暗号化と匿名性(重要度: 3)
| 重要度 | 3 |
| 説明 | VPN(Virtual Private Networks)の概念を理解していること。VPNプロバイダを使用して送信データを暗号化することを含む。また、インターネットを利用する際の識別性と匿名性の概念、ならびに、TORなどの匿名化ツールを理解していること。 |
主要な知識分野:
- VPN(virtual private networks)
- エンド-エンド暗号化の概念
- インターネットにおける識別性と匿名性
- リンク層アドレスとIPアドレスによる識別
- プロキシサーバーの概念
- TORの概念
- ダークネットの知識
- 仮想通貨とその匿名性の知識
関連する用語、ファイル、ユーティリティ:
- VPN(Virtual Private Network)
- 公衆VPNプロバイダ
- 組織内VPN(企業や大学のVPN)
- エンド-エンドの暗号化
- 伝送の暗号化
- 匿名性
- プロキシサーバー
- TOR
- サービスの秘匿
- .onion
- ブロックチェーン
025 アイデンティティとプライバシー
025.1 アイデンティティと認証(重要度: 3)
| 重要度 | 3 |
| 説明 | オンラインサービスを利用する際の本人確認方法の一般的な概念を理解していること。パスワードマネージャ、多要素認証、シングルサインオンの利用、ならびに、本人確認に関する一般的な脅威を理解していること。 |
主要な知識分野:
- デジタルアイデンティティの概念
- 認証(authentication)、認可(authorization)、アカウンティングの概念
- 安全なパスワードの特性(長さ、特殊文字、変更頻度、複雑さ)
- パスワードマネージャの利用
- セキュリティ質問とアカウント回復ツールの概念
- 多要素認証(MFA)の概念。共通要素(common factor)を含む
- シングルサインオン(SSO)とソーシャルメディアログインの概念
- ITセキュリティにおけるメールアカウントの役割
- オンラインサービスにおけるパスワードの保存方法
- パスワードに対する一般的な攻撃
- 個人アカウントのパスワード漏洩に対する監視(ユーザー名とパスワード漏洩に対する検索エンジンの警告など)
- オンラインバンキングとクレジットカードのセキュリティ
関連する用語、ファイル、ユーティリティ:
- オンラインおよびオフラインのパスワードマネージャ
- keepass2
- SSO(Single sign-on)
- 二要素認証(2FA)と多要素認証(MFA)
- ワンタイムパスワード(OTP)、時限ワンタイムパスワード(TOTP)
- 認証アプリ(authenticator)
- パスワードハッシュとソルト
- 総当たり(Brute force)攻撃、辞書攻撃、レインボーテーブル攻撃
025.2 情報の機密性と安全な通信(重要度: 2)
| 重要度 | 2 |
| 説明 | 情報を秘匿する方法や、デジタル通信の機密性を確保する方法を理解していること。フィッシング(phishing)やソーシャルエンジニアリングの試みを検知して、安全な通信を使用する事を含む。 |
主要な知識分野:
- データの漏洩や通信の傍受に対する影響とリスク
- フィッシング(phishing)、ソーシャルエンジニアリング、詐欺(scamming)
- メールのスパムフィルタの概念
- メールへの添付ファイルの安全な扱い方
- メールによるクラウド共有や、メッセージングサービスを利用する際の、安全で責任ある情報共有方法
- 暗号化されたインスタントメッセージの使用
関連する用語、ファイル、ユーティリティ:
- フィッシング(phishing)、ソーシャルエンジニアリング
- 身元情報の窃盗(Identity theft)
- 詐欺(scamming)、スケアウェア(scareware)
- スパムメール、スパムフィルタ
- 秘密保持契約(NDA)
- 情報分類
025.3 プライバシーの保護(重要度: 2)
| 重要度 | 2 |
| 説明 | 個人情報の機密保持の重要性を理解していること。さまざまなオンラインサービスやソーシャルメディアにおいてプライバシー設定を管理することや、個人情報に対する一般的なセキュリティ上の脅威に関する理解を含む。 |
主要な知識分野:
- 個人情報の重要性
- 悪意を目的とする個人情報の利用方法
- 情報収集、プロファイリング、ユーザートラッキングの概念
- ソーシャルメディアやオンラインサービスにおける、プロファイルのプライバシー設定の管理方法
- 個人情報を公開するリスク
- 個人情報に関する権利(GDPRなど)
関連する用語、ファイル、ユーティリティ:
- ストーキングとサイバーいじめ(cybermobbing)
- HTTPクッキー、ブラウザのフィンガープリント、ユーザートラッキング
- Webブラウザのスクリプトブロッカーと広告ブロッカー
- オンラインサービスやソーシャルメディアにおけるプロファイル
- ソーシャルメディアにおける連絡先とプライバシー設定