• WEP、WPA

無線LANセキュリティ規格。暗号化アルゴリズムはRC4、TKIP。

• WPA2

暗号化アルゴリズムはAES。

 

• チャレンジレスポンス認証

チャレンジコードとパスワードからなるハッシュ値を利用。

 

• PPP

データリンク層のプロトコル。HDLC手順。

 

• RADIUSサーバ

サーバをアクセスサーバと認証サーバに分けることで安全性を高める。

 

• PKI

公開鍵の正当性を示す。

 

• サーバ証明書

DV証明書：ドメイン認証型。オンライン申請可

OV証明書：企業認証型。組織の存在も証明

EV証明書：EV SSL証明書。最も厳格

 

• パケットフィルタリング

ダイナミック：TCPヘッダのシーケンス番号など

 

• WAF

ウェブアプリケーションファイアウォール。SQLインジェクションなどを遮断

 

• セキュリティ対策機器

NIDS：異常な通信量やパケットを検知

HIDS：パケットに挿入された攻撃を検知

IPS：侵入防止システム

ハニーポット：ダミーのサーバや機器

 

• 不正検知方法

シグネチャ：既知の攻撃パターン

アノマリー：正常なパターン

フォールスポジティブ：OKなやつをNGと誤認識

フォールスネガティブ：NGなやつをOKと誤認識

 

• マルウェア

ワーム：寄生せず、独自に活動

スパイウェア：個人情報やアクセス履歴を集める

ボット：C&Cサーバによる遠隔操作

ルートキット：侵入の痕跡を消したりバッグドアを作るのに使われるソフトウェアをパッケージ化したもの

ランサムウェア：身代金

エクスプロイトキット：OSやソフトウェアの脆弱性を攻撃

 

• ゼロデイ攻撃

セキュリティパッチが配布される前に攻撃を行う

 

• マルウェア検知方法

パターンマッチング：シグネチャ

コンペア法：ハッシュ値の比較

チェックサム法：検査対象に付加された情報を調べる

 

• レインボー攻撃

パスワードのハッシュ値を盗み、パスワード候補のハッシュ値と一致するか探す

 

• 攻撃手法

DNSキャッシュポイズニング：DNSのキャッシュに偽のドメイン情報を覚えさせる。

SEOポイズニング：検索上位に変な奴を紛れ込ませる

中間者攻撃：勝手にやり取りの間に入って改ざんなどを行う

IPスプーフィング：IPアドレスの偽造

MITB攻撃：Webブラウザの通信の改ざん

クリックジャッキング：透明なボタンなど

ドライブバイダウンロード攻撃：Webサイト閲覧時に不正プログラムを転送

スクリプトジャッキング：マルウェアなどによりCPU資源を不正利用

サイドチャネル攻撃：物理量

 

• SQLインジェクションへの対処法

サニタイジング：エスケープ処理

バインド機構：特別な文字をただの値として処理

 

• デジタルフォレンジックス

攻撃の証拠になるデータを保全、収集、分析する

 

• 耐タンパ性

外からの解析や改ざんを防ぐ

 

• リスク対応

リスクコントロール：リスクが起きないように、起きても被害が最小限になるように

　リスク回避：要因の排除

　リスク最適化：被害の防止と最小化

　リスク転移

　リスク保有

リスクファイナンス：資金面でリスクを何とかする

　リスク転移：保険への加入

 

• ソフトウェア開発モデル

ウォータフォールモデル：一貫性の保証、並行作業不可、後戻りできない

プロトタイプモデル：試作品の修正を繰り返す

スパイラルモデル：独立性の高い部分ごとに開発

インクリメンタルモデル：段階的モデル、要求を段階的に実現

進化的モデル：段階的モデルよりあいまいな要求に対応

 

• リファクタリング

完成済みでも改良して保守性を高める

 

• 継続的インテグレーション

結合とテストを継続的に行う

 

• コデザイン

ハードウェアとソフトウェアを同時に開発

 

• リエンジニアリング

リバースエンジニアリング：既存のソフトウェアの解析

フォワードエンジニアリング：既存のソフトウェアを修正・改良し新規のソフトウェアにする

 

• 共通フレーム

システム要件定義：機能、性能、性能適格性確認要件

システム方式設計：システム要素、テスト要件

ソフトウェア要件定義：

ソフトウェア方式設計：外部インタフェースの方式、ソフトウェアコンポーネント

ソフトウェア詳細設計：ソフトウェアユニット

ソフトウェア構築：コーディング、単体テスト

 

• CRUDマトリクス

エンティティ機能関連マトリクス、生成・参照・更新・削除の頭文字

 

• ポリモーフィズム

同じメッセージでもオブジェクトごとに動作が異なる

 

• オーバーライド

書き換え

• オーバーロード

引数が異なる

 

• UML

オブジェクト指向で使われるモデリング言語

　シーケンス図：時間軸

　ユースケース図：機能と利用者

　ステートマシン図：状態遷移図

　アクティビティ図：動作の流れ

 

• モジュール分割

STS分割：入力、変換、出力

TR分割：トランザクション分割、入力、振り分け、処理

共通機能分割：分割されたモジュールの中に共通の機能を持つものがあれば独立させる

ジャクソン法：階層的木構造、JSP木

ワーニエ法：スタート部、処理部、エンド部

 

• コード

順番コード：桁数少ない、分類分からない

区分コード：グループごとに番号の範囲

桁別コード：桁数多い、大分類、中分類、小分類

 

• テスト手法

ボトムアップテスト：ドライバ、初期から並行できる

トップダウンテスト：スタブ、高信頼性

リグレッションテスト：修正が悪影響を及ぼしていないかテスト

バグ埋め込み法：既知のバグ数から潜在バグ数を推定

二段階エディット法：二つの独立したテストのエラー数

 

• レビュー手法

ウォークスルー：作成者が説明、参加者は対等

インスペクション：参加者に役割

ラウンドロビン：レビュー責任者を持ち回りでやる

パスアラウンド：複数のレビューアにレビューしてもらう