COVIDの影響で試験は中止になりました.
なお、試験の中止、延期など、試験日前に受験者の皆様への通知事項がある場合は、当ホームページに掲載します。 試験前には、必ずホームページで情報を確認してください。
ただ放置すると忘れてしまうので軽く過去問を眺めながら次回に備えようと思います. また, 次回の試験までの時間も長いので, これからは過去問を解きつつも関連する内容を(過去問的に出ないとわかっていても)調べていこうと思います. その分内容は煩雑になるかもしれません.
前回
メモ
データベース
NoSQLとRDBMS
NoSQL = 非RDBMSを指す大雑把な分類を指す語
- 分類:データの形式・データの分散の手法によって分類することができる。
- 分散の手法:マスタ・P2P・イネーブラ(オンメモリ・オンディスク)
- データ:キーバリュー・カラム指向・グラフ・ドキュメント指向
RDBMSはSQLを使用可能であるのに対して、NoSQLではデータベースによってクエリが異なる. また正規化されているとは限らず、リレーショナルではなく階層的な構造を持つ. RDBMSと比較してスケールしやすい.
AWSのデータベース
以下はNoSQLに該当するもの.
- Amazon DynamoDB:KVSによる高速なアクセス.
- Document DB:ドキュメント指向のデータベースであり、XMLやJSONに対応している. ブログやニュース記事の管理など.
- ElastiCache
- NEptune:グラフ指向データベース
- TimeStream:時系列データベース(Amazon Timestream(完全マネージド型の時系列データベース)| AWS)
- QLDB:台帳データベース
www.slideshare.net
Azureのデータベース
www.slideshare.net
www.slideshare.net
セキュリティ
マルウェア
応用情報の範囲としては、マルウェア - Wikipedia の「情報セキュリティとサイバーセキュリティ」>「脅威」の項目の各手法の概要を押さえておけば十分なはず.
プラグインや拡張機能による脆弱性
www.slideshare.net
ウェブアプリケーション
www.slideshare.net
- XML外部実体攻撃:XMLを外部から受信してデータを得る箇所を改竄
- SSRF攻撃
外部から入力された信用できないXMLを解析せずにJSONを利用することで回避する.
- CWE-502: https://cwe.mitre.org/data/definitions/502.html
- クリックジャッキング:リンクやボタンなどの要素を隠蔽してクリックをさせる
- 一部のプラグイン、iframeを無効にすることで対策する
- Pdfの仕様を利用:PDFの仕様を悪用する攻撃の可能性、IPAとJPCERT/CCが注意喚起 - ITmedia エンタープライズ
Web Application Firewall(WAF)
ウェブアプリケーションの脆弱性を利用した攻撃に対する対策の一つであり, 以下の資料が参考になる.
Web Application Firewall 読本:IPA 独立行政法人 情報処理推進機構
「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(1)やOWASP(2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。(引用元:上記IPAサイト)
SQLインジェクションやクロスサイトスクリプティングなどの攻撃への対策となる.