スマートフォンの脆弱性

今日ニュースでスマートフォンの脆弱性を取り上げていた。
ニュースでは、検証アプリをダウンロードして、位置情報を入手するとともに電話を攻撃者にかけさせ盗聴器として利用するだけでなく、カメラを制御して現在の利用者のカメラから見える画像を入手する方法を見せていた。
誰も検証していないアプリを簡単にダウンロードできてしまうし、アプリがスマートフォンの機能を広範囲に利用できてしまうので、悪意あるアプリを利用者がダウンロードしてしまうと手がつけられない。
あまりにもスマートフォンが爆発的に広がりすぎて、セキュリティ対策が追い付いていない(&利用者は今までの携帯と同じように利用してしまうので、重要視されていない)ことが気になる。
コンピュータにはウイルス対策ソフトを入れるのになぜスマートフォンには入れないのだろうか?
利便性とセキュリティは相反するものだが、そもそもセキュリティに対する意識が高いとはいえない現状において(周りで流行ってるからと)スマートフォンを簡単に購入してしまう状況にセキュリティアドミニストレータの立場としては気になってしょうがない。

JIS X 5070(ISO/IEC15408)

IPAより引用し、要点をまとめたところ、次のようになる。
情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格であり、ソフトウェアだけでなく、ハードウェア、ファームウェア、あるいは、システム全体も評価対象となる。

TLS

Transport Layer Security
トランスポート層におけるプロトコルであり、アプリケーション層のデータを暗号化する役割を持つ。
SSLの後継バージョンをRFC(TLS1.0はRFC2246)として発表した際にTLSという名称に変更された。

AES

Advanced Encryption Standard
DES(1976-1977年:ブロック長64ビット、鍵長56ビット)に代わる次世代の暗号標準で2001年3月に公表された共通鍵暗号方式。ブロック長は128ビット、鍵長は128ビット、192ビット、256ビットの3つが利用できる。

ペネトレーションテスト

IT用語辞典より

システムを自分で攻撃することによって、コンピュータやネットワークの脆弱性を探すセキュリティチェック法のこと

ポートスキャンツールであるnmapコマンドなどで調査するというのもひとつのペネトレーションテストに該当するのだろう。。。

情報処理技術者試験

今年の春も受けてきました。今回は昨年まで2度失敗しているテクニカルエンジニア(データベース)ではなく3年前から新設されたテクニカルエンジニア(情報セキュリティ)を受けてきました。
勉強にかけられる時間はあまりなかったのですが、今年はネットワークに関連する試験問題が多く僕にとっては恵まれていて、手応えはかなり?ありました。
午前試験は即日解答が公表されていて、55問中42問(76%)正解でおそらく合格ラインだと思います。
午後はどうなるかが微妙ですが、解答が公表される(シスアド、基本技術者は4/20公表、そのほかは6/4公表予定)のを待ちたいと思います。

IDSとIPS

IDS(Intrusion Detection System/侵入検知システム)
パケットに含まれる全データを確認し、自動的な通信切断やサーバのシャットダウンなどの防衛を実行せず、管理者にメールを送信して異常を通知するシステム。
IPS(Intrusion Protection System/侵入防止システム)
受身的発想のIDSを発展させ、不正アクセスに対して、自動的に通信断やサーバのシャットダウンを行うといった能動的発想で構築されているシステム。
フォールスポジティブ
正常なものまでも異常として検出してしまうエラー
フォールスネガティブ
異常なものを検知できないエラー

C言語で扱うメモリ領域

プログラム領域
プログラムを実行するためのプログラムコードが置かれる領域。
静的領域
外部変数や静的変数が置かれる領域。
スタック領域
自動変数、関数の引数や、関数の戻り値、長い計算式の一時変数などが置かれる領域。領域がそのまま使えるため高速で処理ができる。
ヒープ領域
静的領域とスタック領域以外の第3のメモリ領域で、malloc関数などのメモリ割り当て関数を使ってメモリをプログラム中で動的に確保する場合には、このヒープ領域のメモリが割り当てられる。ポインタアドレスから実態を見に行くため若干速度が落ちる。