2013年07月21日

CISA(公認情報システム監査人)合格メモ このエントリーをはてなブックマークに追加

2013年の6月8日に受験した2回目のCISA試験でようやっと合格しますた。

2012年10月、監査部門に異動になった。で、異動して直ぐに上長から「『しさ』をとりあえず取ってください。」と謎の指示が出た。「試験が12月8日にあるのでそれまでに勉強して受かってね。あと、参考書と問題集はこれ使ってね」となにやら渡された。
で、渡された参考書と問題集の発行年度を見ると2005年とかかれてた。IT系の資格試験のようだが、7年前のテキストで勉強とか大丈夫かと思い渋々勉強してみた。

「しさ」ってのはCISAという資格のようであるらしかった。
Information Technology - Information Security Information Assurance | ISACA(情報システムコントロール協会)という組織が認証している資格のようである。
ISACA東京支部/公認情報システム監査人 (CISA: Certified Information Systems Auditor)に「CISAとは?」「資格の特徴」についてこんな風に書いてある。
■CISA (Certified Information Systems Auditor)とは?
CISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。
■資格の権威、特徴は?
情報システム監査およびコントロールの専門家資格としては最も長い歴史を持ち、かつ最も国際的に普及している資格です。情報システム監査に関わる専門家自身による団体が認定しているもので、いわゆる「国家資格」ではありませんが、欧米の企業社会では既に広く認知されています。日本には約10年前に紹介され、その後徐々に存在が知れ渡ってきています。また、認定後の維持条件が厳しいことが「専門能力を常にアップデイトしている」証明として受け止められ、名前だけではない実践的資格として評価を受けています。
ということで、情報システム監査に関する国際資格のようである。情報システム監査人が持ってなきゃいけないスキルが問われるので、プログラムができないとダメとかっていう資格ではないようだ。あくまでも「情報システム監査人」のスキルがあるかどうかが問われるってことらしい。

で、早速勉強し始めたのだが残された時間はあと2ヶ月。正直なんだかよくわからん状態で受験に臨んだ。
4択のマークシート方式で、4時間で200問を回答する試験で、試験範囲はISACAのページによると以下の5つの分野から出題される。
※2013年6月の情報
  1. The Process of Auditing Information Systems(情報システム監査のプロセス)14%
  2. Governance and Management of IT(ITガバナンスとマネジメント)14%
  3. Information Systems Acquisition, Development and Implementation(情報システムの取得、開発および導入)19%
  4. Information Systems Operations, Maintenance and Support (情報システムの運用、保守およびサポート)23%
  5. Protection of Information Assets (情報資産の保護)30%
1回目の受験は「問題数が200問と多く、圧倒的に時間が足りない。更に試験時間が異常に長いのだが4時間集中力を持たせるのはかなり大変である」というのが正直な感想だった。
計算すれば分かるが4時間(=240分)で200問ということは1時間で50問ペース。つまり1問にかける時間は1分ちょいしかない。「4択で1分あれば楽勝じゃね?」と考えるかもしれないがそう楽ではない。問題を読み、4つの選択肢を読み、正しいものを選ぶわけだが、多くの問題は2つまでは簡単に絞り込めることが多い。絞り込んだ2つのうちどちらが正しいかを選ぶ。ここでホントに時間がかかってしまう。勿論しっかり勉強していれば迷うことはないという方もいるであろうが「どちらも正しいんじゃない?」と思える選択肢が結構ある。「ベストプラクティスはどれか?」ってのが問われるので必ず正解があるようだが、このあたりは問題をこなしていくしかないかと思われる。

試験結果は受験後8週間でメールで送信されるのだが、1回目の結果はあえなく撃沈した・・・
結果のメールには上記5分野でそれぞれの点数が記載されるので、自分がどこの範囲が弱いかがよくわかる。
1回目の受験では「Protection of Information Assets」以外はすべて450を切ってしまっていた。ある程度予想していたが完敗である。で、まあこれはいかんと、6月に向け再学習しはじめた。

通常は2回目の受験は先ほどの分野別の得点を元に自分の弱いところが分かるのでそこを中心に勉強すればよいはずだが、私の場合は全てにおいて弱かったので、一から勉強し直すしかなかった。2月半ばから問題集をひたすら解くというのを繰り返した。
渡された問題集は全部で700〜800問くらいあったが、暇があれば問題集を解くという生活が始まった。
また、並行して既に資格を保有している先輩の監査人の方が時間を作ってテキストによる説明をしてくれた。この「授業」はとてもためになった。テキストで漠然と読んでいたものを説明頂けるので「あー、そういう意味だったのか」って気付きがかなりあった。
問題集の解き方は「間違った問題」と「全て確実に理解できて選択した!」という問題以外はすべて付箋を付けていく。解いた日と正解したかどうかを問題文に「2/10 ○」「2/11 ×」という感じで書いていく。これを700問先ずやっていく。まああまり理解できていなかったので問題集は付箋だらけになっているw。で、2週目も同じように解いていく。
2週目が終わると付箋が「全くついていない」「1枚」「2枚」という3つのパターンができる。2週目で付箋が全くついていない問題はほぼ理解できているとみなし、3週目以降は飛ばして解いていく。
3週目が終わると当たり前だが付箋が「全くついていない」「1枚」「2枚」「3枚」という4つのパターンができる。「3枚」というのはもう全く分かっていないというものか、問題文や選択肢にひっかけがあるものが殆どなのでここはテキストやWebサイトなどで問題の意味をよく理解するしかない。
あと、当たり前だが参考書や問題集は古いものだとどうしても時代に沿わない問題もあるので、なるべく最新のものを入手したほうがよい。
まあ、2回目の受験で辛くも合格できたから、この記事を書いているが、正直2回目の試験を終えても手ごたえは全くなかった。
2回目の受験の時は、試験当日、大きなトラブルがあった。それは「時計」である。ISACA Exam Admission Ticket(受験票)に試験の注意書きが「英語で」書かれているのだが
Candidates are not allowed to bring any type of communication device (i.e., cell phone, PDA, Blackberry, etc.) into the test center.
って感じで書かれていた。よくわかんなかったが直訳すると「受験者は試験会場にiPhoneとかPDAなどのいかなるコミュニケーションデバイスも持ってくることは許されません」ってことだと思ったのでデジタルのよく見える置時計を持っていったのだがこれがなんと許可されなかった!
1回目の受験の際はアナログの腕時計を使っていたので問題なかったのだが、試験前に丁度アナログの腕時計の電池が切れてしまい「まあ、試験終わってから電池交換するばい」と思い試験会場にはデジタル置時計しか持っていかなかった。
試験会場の監督官に「デジタルデバイスの持ち込みはダメですよー」と指摘を受け、なんと手元に時計なしで受験することになってしまった。会場にも壁掛け時計があったのだが、私が座った席からは少し見えづらい位置にあった。結局試験管の方が10分か15分置きに現在時刻を黒板に大きく書くことで大凡の時間をお知らせしてくれることになったのだが、予想外の展開でかなり焦った。
なので、受験する方はアナログ時計を持っていくことをお薦めします。

まあ、他にも書きたいことが結構あるので、時間を見てこのページを更新してみます。

最後に参考にしたブログやサイトを紹介しておきます。さて、これからはCISAのCPEをなんとかゲットしなければ・・・
英語が全くできないから憂鬱すぎるなぁ・・・
posted by りょーち | Comment(0) | TrackBack(0) | CISA

2013年02月22日

暗号化アルゴリズムメモ このエントリーをはてなブックマークに追加

暗号化システムの構成要素:暗号化アルゴリズム(暗号化に使う数学的計算処理)、鍵(固有の値)、鍵の長さ(長いと解読が困難)

代表的なアルゴリズム:「共通鍵(秘密鍵)暗号化方式」「公開鍵暗号化方式」

■共通鍵(秘密鍵)暗号化システム
・暗号化と復号化に同一の鍵を利用(秘密鍵のみ)
・暗号鍵を共通にしておく
・共通鍵なのでバレたら終わり(鍵の管理が必要)→安全な経路で秘密鍵を共有する必要がある
・(公開鍵暗号化システムに比べて)暗号化の処理は速い
・鍵の管理が大変(鍵が多くなっちゃう。相手の数だけ鍵が必要)

■公開鍵暗号化システム
・暗号化に受信者の公開鍵を利用(公開されているので入手可能)
・復号に受信者の秘密鍵を利用
・鍵をかけるのは誰でも同じ鍵でかけられるが、鍵を解くのは秘密鍵のみ→南京錠は鍵がなくても鍵をかけられるが鍵を解くには(秘密)鍵が必要
・暗号化の処理が遅い(共通鍵暗号方式の100〜1000倍)

■暗号方式
・ストリーム暗号方式:ビット、バイト単位で暗号化。処理が速い。暗号化してもデータサイズが変わらない。→SSLで利用(RC4)
・ブロック暗号方式:一定のブロック(64ビットとか128ビット)ごとに暗号化処理を行う。ストリーム暗号方式より処理が複雑。

■AES(Advanced Encryption Standard)
・DESと比べるとAESの方が優れている

■RSA(Rivest Shamir Adleman)暗号
公開鍵暗号のひとつ。大きな桁数を素因数分解するのは困難なことを利用する。

■楕円曲線暗号(Elliptical Curve Cryptosystem:ECC)
公開鍵暗号のひとつ。RSAよりも計算が速い。RSAよりも短い鍵で同程度の暗号強度を確保。

■ハイブリッド暗号(平文は共通鍵で暗号化。鍵は公開鍵で暗号化)
1. 平文(一般的に長い)を共通鍵で暗号化。
2. 鍵(共通鍵)(一般的に短い)を受信者の公開鍵で暗号化。
3. 暗号文(1)と暗号化した共通鍵(2)を送る
4. 共通鍵を受信者の秘密鍵で復号
5. 復号した共通鍵で暗号文(1)を復号

■デジタル署名:目的
・公開鍵暗号化システムを応用した技術
・メッセージが特定の個人から送られたことを確証することが目的
1.データのインテグリティ:平文が改ざんされると平文から算出されるハッシュ値が異なる(ハッシュ関数:入力データを基に固定長の擬似乱数(=ハッシュ値)を出力する関数)
2.認証:デジタル署名は秘密鍵所持者(=送信者)に限られる。→送信者本人であることが確認できる。
3.否認防止:このデジタル署名を作れるのは秘密鍵所持者(=送信者)しかいないため自分は送っていないと言い逃れできない。

■デジタル署名:平文は暗号化しない(メールなどで使う)
1.平文(P)の文書データにハッシュ関数を用いハッシュ値(H1)を算出する
2.送信者の秘密鍵(SK)でハッシュ値(H1)を暗号化する(CH1)
3.平文(P)と暗号化されたハッシュ値(CH1)を受信者に送信する
4.受信者は1のようにして平文よりハッシュ値(H2)を算出する
5.受信者は送付された暗号化されたハッシュ値(CH1)を送信者の公開鍵(PK)で復号化する(H3)
6.算出されたハッシュ値(H2)と復号されたハッシュ値(H3)が等しければ受信文書が送信者より送付されたことが証明される。

■デジタル署名:平文も暗号化する(通信内容暗号化:SSLなどで使う)
1.平文の文書データ(P)にハッシュ関数を用いハッシュ値(H1)を算出する
2.送信者の秘密鍵(SK)でハッシュ値(H1)を暗号化する(CH1)
3.[ 平文(P)と暗号化されたハッシュ値(CH1) ] を更に受信者の公開鍵で暗号化する
4.3.を送信する(メッセージ全てが暗号化されているので途中の人が見られない)
5.受信者は[ 平文(P)と暗号化されたハッシュ値(CH1) ] を受信者の秘密鍵で復号する(PとCH1になるはず)
6.2で暗号化されたハッシュ値を送信者の公開鍵で復号しハッシュ値(H2)を得る
7.5で復号された平文の文書データ(P)にハッシュ関数を用いハッシュ値(H3)を算出する
8.6で得たハッシュ値(H2)と7で得たハッシュ値(H3)を比較する

■公開鍵インフラ(Public Key Infrastructure:PKI)
・公開鍵インフラ(PKI)とは、公開鍵を安全に配布するため、信用ある機関により公開鍵の認証、配布、公表、保守、取消を行うことで公開鍵暗号化システムの安全性や信頼性を維持するスキーム。以下のような役割が必要。(信用されることが必要)
1.認証局(CA:Certificate Authority):技術面を保証
・公開鍵の所有者としてユーザの真性正を検査する
・ネットワーク上のユーザの身元証明書・暗号化に使う公開鍵から構成されるデジタル署名を発行
2.登録局(RA:Registrarion Authority):社会面を保証
・ユーザからの証明書発行依頼を検証し、認証局に発行を勧告する機関(認証局に付随)
3.証明書失効リスト(CRL:Certificate Revocation List):発行後、有効期限内に無効になったディジタル証明書を認証局が公開。
4.認証局運用規程(CPS:Certification Practice Statement):電子証明書を発行する発行局が採用する運用規定を定義する文書

■SSL(Secure Socket Layer)
・SSLはインターネット上で情報を暗号化して送受信するプロトコル。(安全な通信)
・秘密鍵と公開鍵の暗号プロセスを組み合わせて利用する。
・機密性、正当性、否認防止、完全性(インテグリティ:改ざん防止)の機能を提供
参考:ベリサイン サーバIDとSSL(セキュア・ソケット・レイヤー)暗号化通信|あなたの大切な情報を守る「SSL」という技術|日本ベリサイン

■IPsec(IP Securiy Protocol)
・IPsec(Security Architecture for Internet Protocol、アイピーセック)は、暗号技術を用いて、IP パケット単位でデータの改竄防止や秘匿機能を提供するプロトコルである。( IPsec - Wikipedia
・AH (Authentication Header) :IPパケットに挿入するメッセージ認証用ヘッダ。認証および改竄防止機能を提供する。データそのものは暗号化されないので、盗聴防止には利用できない。( IPsec:AH - Wikipedia )
・ESP(Encapsulated Security Payload):IPパケットのデータを秘密鍵で暗号化するスキーム。暗号化と認証を行う。
( IPsec:ESP - Wikipedia )
・ESPプロトコルではIPパケット・レベルでの暗号化を規定している。トンネリング・モードとトランスポート・モードの2方式がある。トンネリング・モードは,IPパケットをヘッダーごと暗号化する手順。トランスポート・モードは,IPパケットのデータ部だけを暗号化する。( 「IPsec」とは:ITpro )

posted by りょーち | Comment(0) | TrackBack(0) | CISA

2013年02月21日

情報資産への攻撃 このエントリーをはてなブックマークに追加

情報資産への攻撃は「受動的攻撃」と「能動的攻撃」がある。
  • 受動的攻撃(passive attacks):能動的攻撃を実行する前の情報収集が目的。受動的攻撃は比較的露見しづらい。
  • 能動的攻撃(active attacks):受動的攻撃などにより十分な情報を取得後に実行される。不正アクセス、システム障害の誘発、機密情報の取得など。

受動的攻撃の分類
  • ネットワーク分析:ネットワーク・インフラのプロフィール作成が目的。侵入対象の組織内部のシステムのネットワークに関する情報を収集し、脆弱性の有無を調べる。
    ポートスキャン:対象となるコンピュータの通信相手のアプリケーションのポートを調べ動作中のアプリケーションを調べて侵入のための情報を取得する
  • トラフィック分析:対象となるコンピュータ間のトラフィックの種類を識別する。(暗号化されてる場合盗聴しても無理なので推測になる)

能動的攻撃の分類
■ソーシャル・エンジニアリングによる攻撃
  • ソーシャル・エンジニアリング(social engineering):権限のある利用者から心理的策略によりパスワードなどの情報を入手すること。(ショルダーサーフィング:肩越しにパスワードを覗き見る。ゴミ箱あさりなど)
  • フィッシング(phishing):銀行や政府機関のメールを装い、IDやパスワード、カード番号などを不正に取得する。

■ネットワーク侵入による攻撃
  • パケットスニファリング(packet sniffering):ネットワーク上を流れる特定パケットを盗聴することでIDやパスワードを取得する
  • パスワードクラッキング(password cracking):他人のパスワードを解析する。総当り攻撃(brute-force attack)などの方法がある
  • 反射攻撃(replay attack):パスワードや暗号鍵を盗聴し、そのまま攻撃に再利用する。残留生体情報(指紋のコピー)などを使うことで本物と認識されてしまう
  • セッション・ハイジャック(session hijack):クライアント-サーバーのセッション間に割り込みセッションを奪う。(Man in the Middle Attack)
  • ウォー・ドライビング、ウォーウォーキング(war driving / war walking):車内にハッキングツールを積み、街なかを徘徊し攻撃対象の組織の無線LANのアクセスポイントを探し当てる

■コンピュータウィルスによる攻撃
  • コンピュータ・ウィルス:データ破壊、システム障害を与える悪意のあるソフトウェアプログラム。自己伝染、潜伏、発病などの機能があり、コンピュータからコンピュータへ広まっていく。
  • ワーム(WORM):自己増殖により破壊活動を行うプログラム
  • トロイの木馬(trojan horse programs):有意なプログラムの振りをして利用者にインストールさせたあと、データ消去やファイルの外部流出などの破壊的な活動をする
  • ロジックボム(login bomb):特定の条件(クリスマス、何らかの操作)が揃った場合破壊的なプログラムが作動する

■システム障害を引き起こす攻撃
  • サービス拒否攻撃(Denial of Service / DoS):攻撃対象コンピュータに不正なデータを送信し使用不能にさせる。トラフィック過多による処理能力低下・麻痺。
  • DDoS攻撃(Distribute Denial of Service):DoS攻撃の一種で複数のサーバーからデータを一斉に送り対象サーバサービスを停止させる。トロイの木馬などを利用することが多い
  • バッファ・オーバーフロー攻撃:許容量を越えたデータを送りつけサーバ機能を停止させる。

■電子メールを用いた攻撃
  • 電子メール爆弾・電子メールスパム:特定アドレスに繰り返しメールを送信する。
  • 電子メール偽装:なりすましによりパスワードなどの個人情報を不正に入手する。

■その他の攻撃
  • 非同期攻撃:OSの非同期機能(処理要求を即座に実行するのではなく、優先順位、資源の空き容量確認後に処理する)を利用した攻撃
  • トラップドア・バックドア:OSに仕組まれた出入り口。侵入後再度侵入するために確保する経路をバックドアという

posted by りょーち | Comment(0) | TrackBack(0) | CISA

2013年02月20日

ユーザー認証について:FRR FRA ERR このエントリーをはてなブックマークに追加

新たにこの弱小ブログにお勉強というカテゴリを追加してみる。
多分場当たり的なものなので長くは続かないが一応かいてみるばい。

■今日の勉強
ユーザ自身による認証
  • 本人拒否率(False Rejection Rate:FRR):権限を持つユーザが認証時にシステムに拒絶される割合(低いほうがよい)
  • 他人受入率(False Acceptance Rate:FAR):権限のないユーザが認証時にシステムに受け入れられてしまう割合(低いほうがよい)
  • 同等エラー率(Equal Error Rate:ERR):本人拒否率と他人受入率が等しくなるポイント

指紋認証システムのしくみ : NECの指紋認証技術 | NECによると
通常はこれらの率は同じ照合方式あるいは装置では、相反する数字となります。
 たとえば、他人による「なりすまし」を厳しく防ごうとする(「他人許容率」を小さくする)と、本来合うべき本人も拒否される(「本人拒否率」が大きくなる)傾向があり、何回も入力し直す必要が発生し、使いにくいものとなってしまいます。
 使いにくいのは困るからということで、本人が拒否されにくいように、言い換えれば照合されやすいようにする(「本人拒否率」を小さくする)と、他人の指紋も照合されやすいようになってしまい(「他人許容率」が大きくなる)、いわゆる「なりすまし」の要因となり、認証装置としては最も避けなければならない状況に陥ってしまいます。

つまりFRR/FARの両方が低いほうがよいのだが、どっちも低くするのは難しいということのようである。

株式会社ニーモニック セキュリティ −説明資料−によると、
生体認証は「本人拒否をゼロに近づけようとすると他人受容率が際限なく撥ね上がり、他人受容率をゼロに近づけようとすると本人拒否率が際限なく撥ね上がり」という原理的な制約を抱えた技術であるが、パスワードと組み合わせることによって高いセキュリティと利便性の両方を提供することができる。つまり、忘れ易く盗まれ易いパスワードでは安全を守れないので、忘れることも盗られることもない生体情報を使うバイオメトリックスを認証に使って安全を実現すれば良く、稀に起こる本人拒否に対してはパスワードで対処すれば良いのだ。
と、書かれている。
つまり生体認証とパスワードの2つを使ってみるといいよと言ってるよーだ。

生体認証の種類
  • 物理的特徴を使ったもの:「手のひら」「手の形状」「虹彩パターン」「網膜」「顔」「指紋」など。
  • 行動的特徴を使ったもの:「音声認識」「署名認識」など。
posted by りょーち | Comment(0) | TrackBack(0) | CISA