セクション: 情報資産の保護
説明/参照:
競合状態攻撃は、Time of Check (TOC)/Time of Use (TOU) とも呼ばれます。
競合状態とは、プロセスが共有リソース上でタスクを誤った順序で実行することです。競合
2つ以上のプロセスが変数内のデータなどの共有リソースを使用する場合に、この状態が発生する可能性があります。
プロセスが正しい順序で機能を実行することが重要です。プロセス2が
プロセス1の前にデータにタスクを実行すると、プロセス1がタスクを実行した場合と結果は大きく異なります。
プロセス2前のデータ。
ソフトウェアでは、認証と承認のステップが2つの機能に分割されている場合、
攻撃者が競合状態を利用して、認証ステップを強制的に完了させる可能性がある。
認証ステップ。これは、攻撃者が悪用する方法を解明したソフトウェアの欠陥です。
競合状態は、2つ以上のプロセスが同じリソースを使用し、一連のステップが
ソフトウェア内の操作が不適切な順序で実行される可能性があり、出力に大きな影響を与える可能性があります。
そのため、攻撃者は認証ステップの前に認可ステップを強制的に実行し、
リソースへの不正アクセス。
次の回答は間違っています。
盗聴とは、他人の私的な会話を本人の同意なく密かに聞く行為である。
ブラック法律辞典の定義によると、これは一般的に非倫理的であると考えられており、古い格言があります
「盗み聞きする人は、自分の良いところをほとんど聞きません...盗み聞きする人は常に自分の良いところを聞こうとします
彼らに関わる事柄。」
トラフィック分析 - メッセージを傍受して調査し、情報を推測するプロセスです。
通信パターンから。メッセージが暗号化されていても実行可能で、
一般的に、観察されたメッセージや傍受されて保存されたメッセージの数が増えるほど、
トラフィックから推測できるものが多くなります。トラフィック分析は軍事的な文脈で実行できます。
諜報活動、防諜活動、または生活パターンの分析に使用され、コンピュータ セキュリティにおける懸念事項となっています。
マスカレード - マスカレード攻撃とは、ネットワークIDなどの偽のIDを使用して、
正当なアクセス識別を介して個人のコンピュータ情報に不正アクセスする。
認証プロセスが完全に保護されていないと、なりすまし攻撃に対して非常に脆弱になる可能性があります。
なりすまし攻撃は、盗まれたパスワードやログオン情報、プログラムの欠陥などを利用して実行される可能性がある。
あるいは認証プロセスを回避する方法を見つけることで攻撃が行われます。攻撃は、誰かが
組織がパブリックネットワークに接続されている場合は、組織内または外部からアクセスすることができます。
偽装攻撃者が取得できるアクセス権限は、獲得した権限のレベルによって異なります。
このように、なりすまし攻撃者は、
企業組織への最高アクセス権限。個人攻撃はそれほど一般的ではないが、
有害。
この質問を作成するために、次の参考資料が使用されました:
CISA レビューマニュアル 2014 ページ番号 324
ISC2 公式 CISSP CBK ガイド 第 3 版 ページ番号 66
CISSP オールインワン試験ガイド 第 6 版 ページ番号 161

説明
RFID は Radio Frequency Identification (無線周波数識別) の略で、小さなチップ (RFID タグ) が取り付けられた物体を無線で識別または追跡する技術です。RFID タグには、シリアル番号、製品コード、個人データなど、さまざまな種類の情報を保存できます。RFID リーダーは、離れた場所からタグをスキャンし、物理的に接触することなく情報にアクセスできます1。
RFID は、在庫管理、サプライ チェーンの最適化、資産追跡、アクセス制御など、さまざまなアプリケーションに多くのメリットをもたらします。ただし、RFID は情報セキュリティとプライバシーに関していくつかの課題とリスクももたらします。これらのリスクの一部は次のとおりです。
プライバシー: RFID タグは、権限のない者や悪意のある者によって読み取られ、タグ所有者の知らないうちに、またはタグ所有者の同意なしに、個人情報や機密情報を収集される可能性があります。これにより、個人情報の盗難、プロファイリング、追跡、または監視が発生する可能性があります2。たとえば、ハッカーは RFID タグ付きのパスポートやクレジットカードをスキャンして、所有者の個人情報や財務情報を盗む可能性があります3。
通信攻撃: RFID システムは、タグとリーダー間の無線通信を標的とするさまざまな種類の攻撃に対して脆弱です。これには、タグまたはリーダーによって送信されるデータの盗聴、妨害、スプーフィング、再生、複製、または変更が含まれます4。たとえば、攻撃者は RFID タグからのデータを傍受し、リーダーに送信する前に変更して、誤った情報や誤解を招く情報を記録することができます。
マフィア詐欺: これは、攻撃者が中間者として行動し、正当な 2 つの当事者間で情報を中継するタイプの攻撃です。これにより、攻撃者は認証または承認メカニズムを回避し、制限された領域またはリソースにアクセスできるようになります。たとえば、攻撃者はデバイスを使用して、RFID タグ付きの車のキーからの信号を車の点火システムに中継し、物理的なキーを持たずに車を始動できます。

説明/参照:
説明: プロジェクト リスクの大部分は、通常、プロジェクト開始前に特定できるため、リスクに対処するための軽減/回避計画を実施できます。プロジェクトは、企業戦略と、この戦略をサポートする戦術計画に明確にリンクしている必要があります。企業戦略の設定、目標の設定、戦術計画の策定のプロセスには、リスクを考慮する必要があります。リスク マネージャーを任命するのは良い方法ですが、プロジェクトがリスクの影響を受けるまで待つのは誤りです。リスク管理は将来を見据えたものである必要があります。リスクがプロジェクトに悪影響を与える問題に発展するのを許すのは、リスク管理の失敗です。リスク マネージャーの有無にかかわらず、プロジェクト チーム内外の人物に相談し、新しいリスクが発生した、またはリスクの優先順位が変わったと思われる場合は、コメントを奨励する必要があります。情報システム監査人は、プロジェクト スポンサーと組織に対して、適切なプロジェクト管理方法について助言する義務があります。リスク マネージャーが任命されるのを待つことは、リスク管理の実装に対する不必要で危険な遅延となります。

説明/参照:
Explanation:
代替ルーティングは、サーバーが失われたり、リンクが切断されたりしても、メッセージの再ルーティングが自動的に行われるため、ネットワークが継続することを保証します。システムバックアップでは、即時の保護は提供されません。修復契約は、永続的なネイティブルーティングほど効果的ではありません。スタンバイサーバーは、リンクが切断された場合に継続性を提供しません。