[情報セキュリティマネジメント試験]アプリケーションセキュリティ[無料講座・例題付き!]

2021年5月9日

セキュリティ

今回は情報セキュリティマネジメント試験で問われるアプリケーションセキュリティについて学習します。

モナ
モナ
技術的対策の中でも特に出題されることが多いから、しっかりと押さえておくニャ!
くろん
くろん
にゃ!

アプリケーションセキュリティ

アプリケーションセキュリティはパスワードクラックを防ぐ手段だったり、万が一セキュリティが突破された場合に自身の安全を保護する仕組みだったりがあります。

パスワードクラック対策

パスワードクラック対策の技術としては以下の2つが挙げられます。

ソルト

ソルトはパスワードを突破しにくくするために、パスワードとハッシュ関数を元にハッシュ値を付け加える際に、パスワードに付け加える文字列の事です。

文字列を付け加えることでハッシュ値は全く別の物になるため、元のパスワードが同じであってもハッシュ値が利用者ごとに変るため、見破ることが困難になります。

ASD#4(ソルト) + Password → [ハッシュ関数] → 93452659(ハッシュ値)

98$BC(ソルト) + Password → [ハッシュ関数] → 18374854(ハッシュ値)

$1FAQ(ソルト) + Password → [ハッシュ関数] → 11563456(ハッシュ値)

キュー
キュー
もともとソルト(salt)は塩って意味やから、塩による味付けが由来になってるで

ストレッチング

ストレッチングはパスワードを見破るまでの時間を増やすため、パスワードを元にハッシュ関数で計算して求めたハッシュ値に対して、さらにハッシュ関数に欠けると言った作業を繰り返します。

体操などであるストレッチ(引き延ばす)が語源となっています。

データ・著作権保護

次にデータそのものや著作権を保護する仕組みについても見てみましょう。

電子透かし

電子透かしは画像・音楽・映像などのデータに著作権者の情報を埋め込む技術です。

例えば画像データでその著作権者名などを埋め込んでおくことで、画像データを不正コピーされても著作権者のデータを参照できるので本来誰が権利者か確認できます。

ステガノグラフィ

ステガノグラフィはデータに別情報を埋め込む技術です。

埋め込まれている情報に気付かれない点が特徴で、後々特定の技術を用いることで埋め込まれている情報が浮き彫りになります。

チョロ
チョロ
レモン果実で文字を書いて加熱すると文字が浮かんでくるあぶり出しみたいな感じでチュね!

具体的な用途としては、画像データが受け渡されるたびにデータに日時や利用者名の情報が埋め込まれるようにしておくことで、利用者に気付かれることなく画像がどのような経路をたどったか知ることができます。

電子透かしとステガノグラフィの違い

電子透かしとステガノグラフィは両方ともデータを埋め込むという点で似ていますが、以下の点で異なるので押さえておきましょう。

  • 電子透かし・・・埋め込まれるデータと埋め込む情報は関連性がある
  • ステガノフラフィ・・・埋め込まれるデータと埋め込む情報は関連性がない

ディジタルフォレンジックス

ディジタルフォレンジックスは以前も紹介しましたが、情報セキュリティ犯罪の証拠となるデータを収集・保全することです。

ログや記憶媒体の消去をしたり改ざんしたりを防止するために書き込み禁止にしたり、バックアップを取っておいてその後の捜査や訴訟に備えます。

スポンサーリンク

アプリケーションセキュリティ・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

画像などのディジタルコンテンツが,不正にコピーされて転売されたものであるかを判別できる対策はどれか。(FE H.23/特別)

ア タイムスタンプ
イ 電子透かし
ウ 電子保存
エ 配達証明

問2

伝達したいメッセージを画像データなどのコンテンツに埋め込み,埋め込んだメッセージの存在を秘匿する技術はどれか。(H.30/秋)

ア CAPTCHA
イ クリックジャッキング
ウ ステガノグラフィ
エ ストレッチング

問3

ディジタルフォレンジックスの説明として,適切なものはどれか。(AP H.27/秋)

ア あらかじめ設定した運用基準に従って,メールサーバを通過する送受信メールをフィルタリングすること
イ 外部からの攻撃や不正なアクセスからサーバを防御すること
ウ 磁気ディスクなどの書換え可能な記憶媒体を廃棄する前に,単に初期化するだけではデータを復元できる可能性があるので,任意のデータ列で上書きすること
エ 不正アクセスなどコンピュータに関する犯罪に対して法的な証拠性を確保できるように,原因究明に必要な情報の保全,収集,分析をすること

解説(クリックで展開)

アプリケーションセキュリティ・まとめ

今回はアプリケーションセキュリティについて学習しました。

どのようにしてパスワードクラック対策を行われているか、不正コピーを見破るかを押さえておきましょう。

カズ
カズ
電子透かしとステガノグラフィの違いも押さえておこうね!

次回は物理的脅威とその対策について学習します。


スポンサーリンク