高度午前 - 技術要素 - セキュリティ

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

情報セキュリティ（高度：午前Ⅰ、午前Ⅱ）

詳細 †

情報セキュリティ †

各種攻撃手法 †

暗号・認証 †

シャドーIT †

IT部門などの管理下に無いITハード、ソフト、外部サービスなど。

情報セキュリティ管理 †

クラウドへのパッチ適用 †

NIST定義の組合せは以下の通り（OpenPaaSならできそうだが、古い？）。

• IaaS : パッチ適用可能
• PaaS : パッチ適用不可
• SaaS : パッチ適用不可

情報セキュリティ・リスク †

• PMPのリスクと大体同じ。

• ただし、情報セキュリティ・リスクなので、
  基本的には好機は含まれない（脅威のみ）。

• 当たり前だが、脆弱性とリスクは異なる。

CPとBCPの違い †

脆弱性情報データベース †

サイバー情報共有イニシアティブ †

サイバーレスキュー隊 †

ISMS、ISO/IEC 27000 シリーズ †

その他、セキュリティ規格 †

• PMS (Personal information protection Management Systems)

• PCI DSS (Payment Card Industry Data Security Standard)

セキュリティ技術評価 †

コモンクライテリア (CC : Common Criteria) †

FIPS140(FIPS PUB 140-2) †

CVE、CWE、CVSS †

日本の評価・認証の制度・機関 †

評価・認証の制度・機関は、国別に存在するのが慣例らしい。

• ISMSの認証@日本

• CC : Common Criteriaの認証@日本

• FIPS140(FIPS PUB 140-2)の認証@日本

その他、評価・認証制度 †

その他いろいろ

• Wi-Fi Alliance
  Wi-Fi Protected Access（WPA）

• FIDO Alliance
  FIDO Certified

• OpenID Foundation
  OpenID Certified

情報セキュリティ対策 †

各種攻撃手法 †

無線LAN †

DNSサーバの設定 †

SMTPサーバの設定 †

アプリケーション †

• デスクトップ

• サンドボックス
  外部から受け取ったプログラムを保護された領域で動作させることによって、
  システムが不正に操作されるのを防ぐセキュリティ機構のことをいう。

• Web/APサーバー

• WAF (Web Application Firewall)
  Webアプリケーションへの攻撃を監視・阻止する。

アンチウィルスソフト †

ウィルス検出手法により、ウィルスを検疫し、隔離、削除する。

デジタル・フォレンジック †

インシデントレスポンスの法的紛争・訴訟に際し、

• 電磁的記録の証拠保全及び調査・分析を行うとともに、
• 電磁的記録の改ざん・毀損等についての分析・情報収集等を行う

一連の科学的調査手法・技術

セキュリティ実装技術 †

SSL/TLS †

SSH/RDP †

VPN †

SSH / TLS (SSL) / IPsec / PPTP / L2TP / L2F / MPLSなどを使用。

DNS †

前述の

• DNSSEC (DNS Security Extensions)
• RFC2845: DNSにおける秘密鍵のトランザクション認証(TSIG)

メール †

AAAフレームワーク †

• AAAフレームワークの構成要素
  • 認証（Authentication）
  • 認可（Authorization）
  • アカウンティング（Accounting）

• 以下が提供すべき機能を表す。
  • RADIUS
  • DIAMETER（RADIUSの後継）

RADIUS †

RADIUS（Remote Authentication Dial In User Service）

• ネットワーク資源の利用の
  • 認証と、
  • 記録を、

ネットワーク上のサーバに一元化することを目的とした、IP上のプロトコル。

• 目的と利用
  • 元来は、ダイヤルアップ・インターネット接続サービスの実現を目的として開発
  • 昨今は、サービス提供者側設備で、認証と記録を実現するプロトコルとして幅広く利用。
    • 無線LAN、VLAN、
    • コンテンツ提供サービス
    • 常時接続方式のインターネット接続サービス

IDPS †

• パケットキャプチャにより侵入を検知、防止する。
  • 侵入検知システム (IDS : Intrusion Detection System)
  • 侵入防止システム (IPS : Intrusion prevention system)

• オープンソースのIDPS であるSnortの例
  • パケットキャプチャ部
    ネットワーク上を流れるパケットを収集する。
  • プリプロセッサ部
    キャプチャしたパケットを解析し易い形に正規化する。
  • 検知エンジン部
    正規化されたパケットを相関分析する。
  • アウトプットプロセッサ部
    パケットが攻撃だと判断された場合、管理者にアラートする。

ファイア・ウォール †

• ファイアウォールの方式

• ステートフル・インスペクション方式
  パケット・フィルタリングを拡張したもの。
  TCP/IP通信のセッション状態に適合したパケットのみ通過させる。

• トランスポート・ゲートウェイ方式
  特定のプロトコルのみを通過させる

• アプリケーション・ゲートウェイ方式
  アプリケーション・プロトコル毎にインストールし、通信を監視・阻止する。

• WAF (Web Application Firewall) Webアプリケーションへの攻撃を監視・阻止する。

• 通過させない通信を登録するブラックリスト方式
• 通過させる通信を登録するホワイトリスト方式

• パーソナル・ファイアウォール
  ブラウザのローカル・プロキシとして動作し送信を監視。

アプリケーションへの攻撃 †

ウィルス検出手法 †

ダーク・ネット、ダーク・ウェブ †