[情報セキュリティマネジメント試験]アプリケーションセキュリティ[無料講座・例題付き！]

今回は情報セキュリティマネジメント試験で問われるアプリケーションセキュリティについて学習します。

モナ

技術的対策の中でも特に出題されることが多いから、しっかりと押さえておくニャ！

くろん

にゃ！

アプリケーションセキュリティ

アプリケーションセキュリティはパスワードクラックを防ぐ手段だったり、万が一セキュリティが突破された場合に自身の安全を保護する仕組みだったりがあります。

パスワードクラック対策

パスワードクラック対策の技術としては以下の2つが挙げられます。

ソルト

ソルトはパスワードを突破しにくくするために、パスワードとハッシュ関数を元にハッシュ値を付け加える際に、パスワードに付け加える文字列の事です。

文字列を付け加えることでハッシュ値は全く別の物になるため、元のパスワードが同じであってもハッシュ値が利用者ごとに変るため、見破ることが困難になります。

ASD#4(ソルト) + Password → [ハッシュ関数] → 93452659(ハッシュ値)

98$BC(ソルト) + Password → [ハッシュ関数] → 18374854(ハッシュ値)

$1FAQ(ソルト) + Password → [ハッシュ関数] → 11563456(ハッシュ値)

キュー

もともとソルト(salt)は塩って意味やから、塩による味付けが由来になってるで

ストレッチング

ストレッチングはパスワードを見破るまでの時間を増やすため、パスワードを元にハッシュ関数で計算して求めたハッシュ値に対して、さらにハッシュ関数にかける作業を繰り返します。

体操などであるストレッチ(引き延ばす)が語源です。

データ・著作権保護

次にデータそのものや著作権を保護する仕組みについても見てみましょう。

電子透かし

電子透かしは画像・音楽・映像などのデータに著作権者の情報を埋め込む技術です。

例えば画像データでその著作権者名などを埋め込んでおくことで、画像データを不正コピーされても著作権者のデータを参照できるので本来誰が権利者か確認できます。

ステガノグラフィ

ステガノグラフィはデータに別情報を埋め込む技術です。

埋め込まれている情報に気付かれない点が特徴で、後々特定の技術を用いることで埋め込まれている情報が浮き彫りになります。

チョロ

レモン果実で文字を書いて加熱すると文字が浮かんでくるあぶり出しみたいな感じでチュね！

具体的な用途としては、画像データが受け渡されるたびにデータに日時や利用者名の情報が埋め込まれるようにしておくことで、利用者に気付かれることなく画像がどのような経路をたどったか知ることができます。

電子透かしとステガノグラフィの違い

電子透かしとステガノグラフィは両方ともデータを埋め込むという点で似ていますが、以下の点で異なるので押さえておきましょう。

• 電子透かし・・・埋め込まれるデータと埋め込む情報は関連性がある
• ステガノフラフィ・・・埋め込まれるデータと埋め込む情報は関連性がない

ディジタルフォレンジックス

ディジタルフォレンジックスは以前も紹介しましたが、情報セキュリティ犯罪の証拠となるデータを収集・保全することです。

ログや記憶媒体の消去をしたり改ざんしたりを防止するために書き込み禁止にしたり、バックアップを取っておいてその後の捜査や訴訟に備えます。

アプリケーションセキュリティ・例題

実際に例題を解いて問題に慣れていきましょう。

問題

アプリケーションセキュリティ・まとめ

今回はアプリケーションセキュリティについて学習しました。

どのようにしてパスワードクラック対策を行われているか、不正コピーを見破るかを押さえておきましょう。

カズ

電子透かしとステガノグラフィの違いも押さえておこうね！

次回は物理的脅威とその対策について学習します。

しかくのいろは

[情報セキュリティマネジメント試験]物理的脅威とその対策[無料講座・例題付き！]

https://www.sikaku-no-iroha.co.jp/sikaku/sg/physical-threat-sg

情報セキュリティマネジメント試験における物理的脅威とその対策について解説しています。物理的な被害を抑えるための施策について学習しましょう。

佐野 孝矩

福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。

経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)

簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者　など