.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

情報セキュリティ

詳細

情報セキュリティ

各種攻撃手法

暗号・認証

シャドーIT

IT部門などの管理下に無いITハード、ソフト、外部サービスなど。

情報セキュリティ管理

クラウドへのパッチ適用

NIST定義の組合せは以下の通り(OpenPaaSならできそうだが、古い?)。

  • IaaS : パッチ適用可能
  • PaaS : パッチ適用不可
  • SaaS : パッチ適用不可

情報セキュリティ・リスク

  • ただし、情報セキュリティ・リスクなので、
    基本的には好機は含まれない(脅威のみ)。
  • 当たり前だが、脆弱性とリスクは異なる。

CPとBCPの違い

  • 共通項
    企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、
    事業資産の損害を最小限に止め、中核事業の継続・早期復旧を可能とする。
  • BCP(Business Continuity Plan)
    • 事業継続計画と言い、「事業継続」を目的としている。
    • 事「前」に行っておくべきことを定めている。
  • CP (Contingency Plan)
    • 非常事態発生「後」の対応に焦点を当てる。
    • 被害を最小限に抑えることを目的としている。

脆弱性情報データベース

  • CVE識別子
    • CVE(Common Vulnerabilities and Exposures)識別子 = 共通脆弱性識別子
    • 製品に含まれる脆弱性を識別するCVE-西暦年-4桁の通番で表される識別子。
    • 米国政府の支援を受けた非営利団体のMITRE社が採番している。
    • 脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用する。
  • JVN識別子
    • JVN(Japan Vulnerability Notes)識別子
    • CVE識別子の日本版で、以下の組織が共同運営している。
      • 情報処理推進機構(IPA)
      • JPCERT コーディネーションセンター(JPCERT/CC)

サイバーレスキュー隊(J-CRAT)

  • サイバーレスキュー隊(J-CRAT:Cyber Rescue and Advice Team against targeted attack of Japan)
  • IPAが経済産業省の協力のもと2014年7月16日に発足させた。
  • 標的型サイバー攻撃の被害拡大防止のため、
  • 相談を受けた組織の被害の低減と
  • 攻撃の連鎖の遮断

を支援する活動を行う。

ISMS(情報セキュリティマネジメントシステム)

  • 情報セキュリティ基本方針
  • 情報セキュリティの経営陣の方向性及び支持を規定。
    (品質マネジメント・システムの情報セキュリティ版みたいな)
  • 全社的な基本方針を定めるもので広く社内外に公開する。
  • 詳細に踏み込まず、頻繁に変更しないが、
    ビジネス環境や技術の変化に対応させる。
  • 用語
    • 不適合
      要求事項を満たしていないこと。
  • 修正
    検出された不適合の修正(除去)
  • 是正処置
    不適合の発生源を除去し再発を防止。
    PMBOKでも是正処置の対象は作業内容で、再発防止。

ISO/IEC 27001:2013、JIS Q 27001:2014

  • ISMSの標準の中身は以下に規定されている。
    • ISO/IEC 27001
    • JIS Q 27001
  • JISには、ISOを単純に翻訳したものも多く、ISO/IEC 27001に対応するのはJIS Q 27001
  • ISO 27001の最新版がISO/IEC 27001:2013で、対応する日本語訳がJIS Q 27001:2014。
  • 日本語訳の作業は、日本工業標準調査会(JISC)が行う。

その他、セキュリティ規格

  • PMS (Personal information protection Management Systems)
    • 個人情報保護マネジメントシステム
    • ISOガイド72に基づき開発されたJIS Q 15001規格を用いてPMSを構築する。
    • 個人情報保護法とJIS Q 15001では対象となる個人情報の定義に違いがあるらしい。
  • PCI DSS (Payment Card Industry Data Security Standard)
    • PCIデータセキュリティスタンダード
    • クレジットカード情報および取り引き情報を保護するセキュリティ基準
    • 2004年12月、クレジット業界で共同策定されたグローバルセキュリティ基準
    • 国際ペイメントブランド5社(JCB・American Express・Discover・Master・VISA)

セキュリティ技術評価

コモンクライテリア (CC : Common Criteria)

  • コンピュータセキュリティのための国際規格(ISO/IEC 15408)
  • IT製品・システムに対して、情報セキュリティを評価し認証する評価基準を定める。
  • 正式名称
    • Common Criteria for Information Technology Security Evaluation
    • 情報技術セキュリティ評価のためのコモンクライテリア

FIPS140(FIPS PUB 140-2)

  • FIPS 140 (Federal Information Processing Standardization 140)
  • 暗号モジュール(ハード&ソフト)に関する
    セキュリティ要件の仕様を規定する米国連邦標準規格。
  • FIPS(連邦情報処理標準)はNIST(米国国立標準技術研究所)が発行する。
  • 2013年6月現在、規格の最新版は2001年5月25日発行のFIPS 140-2。

CVE、CWE、CVSS

  • CVE : 脆弱性の通番
  • CWE (Common Weakness Enumeration)
    • 共通脆弱性タイプ一覧
    • 脆弱性の種類を定義している。
    • 例えば以下の様な脆弱性タイプがある。
      • CWE-78:OSコマンド・インジェクション
      • CWE-79:クロスサイト・スクリプティング(XSS)
      • CWE-89:SQLインジェクション
  • CVSS (Common Vulnerability Scoring System)
    • 共通脆弱性評価システム
    • 脆弱性の深刻度をスコア表記で評価する。
  • 下記の三つの基準で評価する。
  • 基本評価基準
    経年変化しない特性を評価する。
  • 現状評価基準
    対策情報次第で変化する深刻度の評価
  • 環境評価基準
    製品利用者ごとに変化する評価基準

その他、評価・認証制度

評価・認証機関は、国別に存在するのが慣例らしい。

  • ISMSの認証@日本
    • JIPDECが認証機関を運営している
      • 一般財団法人日本情報経済社会推進協会
      • JIPDEC : Japan Institute for Promotion of Digital Economy and Community
    • 名称 : ISMS適合性評価制度
  • FIPS140(FIPS PUB 140-2)の認証@日本
    • IPAが認証機関を運営している
    • FIPS 140-2 が主要な提供文書となっている規格に ISO/IEC 19790:2006 があり、
    • この ISO/IEC 19790:2006 を基に作成された X 19790:2007 の認証を行う。
    • 名称
      • 暗号モジュール試験及び認証制度
      • JCMVP : Japan Cryptographic Module Validation Program
  • その他いろいろ書ききれない
  • Wi-Fi Alliance
    Wi-Fi Protected Access(WPA)
  • FIDO Alliance
    FIDO Certified
  • OpenID Foundation
    OpenID Certified

情報セキュリティ対策

各種攻撃手法

無線LAN

  • SSID
    アクセスポイントを識別する名称
  • WEP/WPA
  • WEP (Wired Equivalent Privacy)
    • 共通鍵による暗号化を行う。
    • 後に容易に解読できることが判明したため廃れた。
  • WPA (Wi-Fi Protected Access)
    これまでにWPA、WPA2、WPA3の3つのプログラム及びプロトコルが策定
  • WPA-Personal
    個人宅や小規模の会社向けに設計されたパーソナルモード
    ユーザがすべて同じパスフレーズ(PSK)を使用し、認証サーバを必要としない。
  • WPA-Enterprise
    ユーザ認証に従来のIEEE802.1Xを利用。RADIUSサーバが必要になる。
  • 認証と暗号化
  • EAP (Extensible Authentication Protocol)
    • 認証プロトコルを選択するプロトコル
    • データリンク層とAuthentication層の間に位置する。
    • LANにおけるユーザー認証の規格であるIEEE 802.1Xに採用されている。
  • PSK (Pre-Shared Key)
    • 8 - 63文字の事前共有キーを使用して暗号化。
    • WPA-PSK/WPA2-PSK および TKIP または AESで使用される。

DNSサーバの設定

  • SOAレコードのシリアル番号はDNS設定内の更新を識別できる。
  • ポイゾニング攻撃のリスク低減
    • DNSキャッシュ時間を短くする。
    • DNSの返すIP・ホスト名の組合せをサーバ証明書で検証する。
  • ゾーン転送先のサーバを制限する。
    • 管理情報 (サーバ名や IP アドレス等)が漏洩しないようにする。
    • コレらが外部に流出することで、組織のサーバやネットワーク構成を推測され、
      セキュリティに対する、潜在的な脅威の増加につながる可能性がある。
  • キャッシュサーバをインターネットアクセスさせない。
    DNS amp攻撃と言うDoS攻撃の踏み台にならないようにする。
  • DNSSEC (DNS Security Extensions)
    ドメイン登録情報にデジタル署名を付加することで、以下を保証する。
    • 正当な管理者によって生成された応答レコードであること
    • 応答レコードが改竄されていないこと
  • RFC2845: DNSにおける秘密鍵のトランザクション認証(TSIG)
    • 更新要求が許可されているエンドポイントの特定と認証。
    • 共有秘密鍵と一方向ハッシュ関数を使用する。

SMTPサーバの設定

主に、スパムメール対策

  • 送信メール
  • OP25B (Outbound Port 25 Blocking)
    SMTPの転送処理を自ネットワーク内に閉じる。
    • spamメールやvirusメールの送信を抑制しようとする
    • 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断
  • POP before SMTP
    POP3によるユーザ認証後にメール送信を許可する仕組み。
  • 受信メール
  • SMTPサーバ
    • DNSBL (DNS Blacklist)に含まれるSMTPサーバからの通信を遮断
    • 不正中継(第三者中継)を許可しているSMTPサーバからの通信を遮断
    • 逆引きが出来ないSMTPサーバからの通信を遮断
    • ホワイトリストに含まれないSMTPサーバからの通信を遮断
    • SPF (Sender Policy Framework)レコードを使用して送信ドメイン認証
  • メール
  • 認証が出来ないメールの通信を遮断
    SenderID (Resent-Sender, Resent-From, Sender, From)のアカウントを検証
    サブミッションポート(587)およびSMTP認証(SMTP AUTH)を使用してメール送信者を認証
    電子メールに付加されたデジタル署名をDNS上の公開鍵を使用して検証(S/MIME)
  • スパムメールと思われる通信を遮断
    シグネチャが該当する通信を遮断(シグネチャ・マッチング)
    学習した特徴に該当する通信を遮断(ベイジアン・フィルタリング)

アプリケーション

  • デスクトップ
  • サンドボックス
    外部から受け取ったプログラムを保護された領域で動作させることによって、
    システムが不正に操作されるのを防ぐセキュリティ機構のことをいう。
  • Web/APサーバー

アンチウィルスソフト

ウィルス検出手法により、ウィルスを検疫し、隔離、削除する。

デジタル・フォレンジック

インシデントレスポンスの法的紛争・訴訟に際し、

  • 電磁的記録の証拠保全及び調査・分析を行うとともに、
  • 電磁的記録の改ざん・毀損等についての分析・情報収集等を行う

一連の科学的調査手法・技術

セキュリティ実装技術

SSL/TLS

SSH/RDP

VPN

SSH / TLS (SSL) / IPsec / PPTP / L2TP / L2F / MPLSなどを使用。

DNS

前述の

  • DNSSEC (DNS Security Extensions)
  • RFC2845: DNSにおける秘密鍵のトランザクション認証(TSIG)

メール

前述の

  • POP before SMTP
  • SMTP AUTH
  • SPF (Sender Policy Framework)
  • S/MIME

AAAフレームワーク

  • AAAフレームワークの構成要素
    • 認証(Authentication)
    • 認可(Authorization)
    • アカウンティング(Accounting)
  • 以下が提供すべき機能を表す。
    • RADIUS
    • DIAMETER(RADIUSの後継)

RADIUS

RADIUS(Remote Authentication Dial In User Service)

  • ネットワーク資源の利用の
    • 認証と、
    • 記録を、

ネットワーク上のサーバに一元化することを目的とした、IP上のプロトコル。

  • 目的と利用
    • 元来は、ダイヤルアップ・インターネット接続サービスの実現を目的として開発
    • 昨今は、サービス提供者側設備で、認証と記録を実現するプロトコルとして幅広く利用。
      • 無線LAN、VLAN、
      • コンテンツ提供サービス
      • 常時接続方式のインターネット接続サービス

IDPS

  • パケットキャプチャにより侵入を検知、防止する。
    • 侵入検知システム (IDS : Intrusion Detection System)
    • 侵入防止システム (IPS : Intrusion prevention system)
  • オープンソースのIDPS であるSnortの例
    • パケットキャプチャ部
      ネットワーク上を流れるパケットを収集する。
    • プリプロセッサ部
      キャプチャしたパケットを解析し易い形に正規化する。
    • 検知エンジン部
      正規化されたパケットを相関分析する。
    • アウトプットプロセッサ部
      パケットが攻撃だと判断された場合、管理者にアラートする。

ファイア・ウォール

  • ファイアウォールの方式
  • ステートフル・インスペクション方式
    パケット・フィルタリングを拡張したもの。
    TCP/IP通信のセッション状態に適合したパケットのみ通過させる。
  • トランスポート・ゲートウェイ方式
    特定のプロトコルのみを通過させる
  • アプリケーション・ゲートウェイ方式
    アプリケーション・プロトコル毎にインストールし、通信を監視・阻止する。
  • 通過させない通信を登録するブラックリスト方式
  • 通過させる通信を登録するホワイトリスト方式
  • パーソナル・ファイアウォール
    ブラウザのローカル・プロキシとして動作し送信を監視。

アプリケーション

  • OSコマンド・インジェクション
    • ユーザ入力をもっていかない。
    • ディレクトリ・トラバーサル攻撃などが起きないように入力をチェックする。
  • SQLインジェクション
    バインド機構、静的プレースホルダの利用
    (プリペアド・ステートメント、パラメタライズド・クエリ)
  • HTTPヘッダ・インジェクション
    • ユーザ入力をもっていかない。
    • 問題が起きないように入力をチェックする。
  • XSS(JavaScriptのインジェクション)
    サニタイジングを実施しJavaScript
    インジェクションされても動作しないようにする。
  • CSRF(XSRF)
    単純なGET, POST一本で機能が動かないようにする。
  • セッション・ハイジャック
    • セッションIDを推測されないようにしたり、
    • 認証前にセッションIDを割り当てないようにしたり

する。

ウィルス検出手法

  • バイナリを調べる方法
  • コンペア法(比較法)
    ウイルスの感染が疑わしい対象(検査対象)と
    安全な場所に保管してあるその対象の原本を比較
  • 保証情報を付加する方法
    検査対象に対して別途ウイルスではないことを保証する情報を付加する方法
  • チェックサム法 チェックサムを確認する
  • インテグリティ法 デジタル署名を確認する。
  • パターンマッチング法
    • 未知のウィルスに対応できない。
    • 所謂一つのウィルス定義ファイルを用いた方法。
  • 動作を調べる方法
  • ヒューリスティック法
    • ウイルスのとるであろう動作を事前に登録
    • 検査対象コードに含まれる一連の動作と比較して検出する
    • 「動作の特徴コード」を検出に用いているかどうかが分類の尺度。
  • ビヘイビア法
    • 未知のウィルスにも対応できる。
    • 異常動作や環境変化を監視することによって検出する。
      異常動作:書き込み、複製
      環境変化:例外ポート、不完パケット、通信メトリック異常
  • ウイルス検出技術の発展
    以下の2つの流れがある。
    • 単純なコンペア法から、チェックサム法・インテグリティチェック法。
    • パターンマッチング法からヒューリスティック法、ビヘイビア法。

ダークネット

未使用&到達可能なIPアドレスの活動状況を観測用センサで観測し、
不正アクセスの手口や、マルウェア活動状況を調査する。


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-06-15 (土) 16:59:58 (5d)