高度午前 - 技術要素 - セキュリティ

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

情報セキュリティ（高度：午前Ⅰ、午前Ⅱ）

詳細 †

情報セキュリティ †

各種攻撃手法 †

暗号・認証 †

シャドーIT †

IT部門などの管理下に無いITハード、ソフト、外部サービスなど。

情報セキュリティ管理 †

クラウドへのパッチ適用 †

NIST定義の組合せは以下の通り（OpenPaaSならできそうだが、古い？）。

• IaaS : パッチ適用可能
• PaaS : パッチ適用不可
• SaaS : パッチ適用不可

情報セキュリティ・リスク †

• PMPのリスクと大体同じ。

• ただし、情報セキュリティ・リスクなので、
  基本的には好機は含まれない（脅威のみ）。

• 当たり前だが、脆弱性とリスクは異なる。

CPとBCPの違い †

サイバー情報共有イニシアティブ †

脆弱性情報データベース †

サイバーレスキュー隊 †

（J-CRAT：Cyber Rescue and Advice Team against targeted attack of Japan）

• IPAが経済産業省の協力のもと2014年7月16日に発足させた。

• 標的型サイバー攻撃の被害拡大防止のため、

• 相談を受けた組織の被害の低減と
• 攻撃の連鎖の遮断

を支援する活動を行う。

ISMS、ISO/IEC 27000 シリーズ †

その他、セキュリティ規格 †

• PMS (Personal information protection Management Systems)
  • 個人情報保護マネジメントシステム
  • ISOガイド72に基づき開発されたJIS Q 15001規格を用いてPMSを構築する。
  • 個人情報保護法とJIS Q 15001では対象となる個人情報の定義に違いがあるらしい。

• PCI DSS (Payment Card Industry Data Security Standard)

セキュリティ技術評価 †

コモンクライテリア (CC : Common Criteria) †

• コンピュータ・セキュリティのための国際規格（ISO/IEC 15408）

• IT製品・システムに対して、情報セキュリティを評価し認証する評価基準を定める。

• 正式名称
  • Common Criteria for Information Technology Security Evaluation
  • 情報技術セキュリティ評価のためのコモンクライテリア

FIPS140(FIPS PUB 140-2) †

• FIPS 140 (Federal Information Processing Standardization 140)

• 暗号モジュール（ハード＆ソフト）に関する
  セキュリティ要件の仕様を規定する米国連邦標準規格。

• FIPS（連邦情報処理標準）はNIST（米国国立標準技術研究所）が発行する。

• 2013年6月現在、規格の最新版は2001年5月25日発行のFIPS 140-2。

CVE、CWE、CVSS †

その他、評価・認証制度 †

評価・認証機関は、国別に存在するのが慣例らしい。

• ISMSの認証@日本

• コモンクライテリア (CC : Common Criteria)の認証@日本
  • IPAが認証機関を運営している
  • 名称
    • ITセキュリティ評価及び認証制度
    • JISEC : Japan Information Technology Security Evaluation and Certification Scheme

• FIPS140(FIPS PUB 140-2)の認証@日本
  • IPAが認証機関を運営している
  • FIPS 140-2 が主要な提供文書となっている規格に ISO/IEC 19790:2006 があり、
  • この ISO/IEC 19790:2006 を基に作成された X 19790：2007 の認証を行う。
  • 名称
    • 暗号モジュール試験及び認証制度
    • JCMVP : Japan Cryptographic Module Validation Program

• その他いろいろ書ききれない

• Wi-Fi Alliance
  Wi-Fi Protected Access（WPA）

• FIDO Alliance
  FIDO Certified

• OpenID Foundation
  OpenID Certified

情報セキュリティ対策 †

各種攻撃手法 †

無線LAN †

DNSサーバの設定 †

SMTPサーバの設定 †

アプリケーション †

• デスクトップ

• サンドボックス
  外部から受け取ったプログラムを保護された領域で動作させることによって、
  システムが不正に操作されるのを防ぐセキュリティ機構のことをいう。

• Web/APサーバー

• WAF (Web Application Firewall)
  Webアプリケーションへの攻撃を監視・阻止する。

アンチウィルスソフト †

ウィルス検出手法により、ウィルスを検疫し、隔離、削除する。

デジタル・フォレンジック †

インシデントレスポンスの法的紛争・訴訟に際し、

• 電磁的記録の証拠保全及び調査・分析を行うとともに、
• 電磁的記録の改ざん・毀損等についての分析・情報収集等を行う

一連の科学的調査手法・技術

セキュリティ実装技術 †

SSL/TLS †

SSH/RDP †

VPN †

SSH / TLS (SSL) / IPsec / PPTP / L2TP / L2F / MPLSなどを使用。

DNS †

前述の

• DNSSEC (DNS Security Extensions)
• RFC2845: DNSにおける秘密鍵のトランザクション認証(TSIG)

メール †

AAAフレームワーク †

• AAAフレームワークの構成要素
  • 認証（Authentication）
  • 認可（Authorization）
  • アカウンティング（Accounting）

• 以下が提供すべき機能を表す。
  • RADIUS
  • DIAMETER（RADIUSの後継）

RADIUS †

RADIUS（Remote Authentication Dial In User Service）

• ネットワーク資源の利用の
  • 認証と、
  • 記録を、

ネットワーク上のサーバに一元化することを目的とした、IP上のプロトコル。

• 目的と利用
  • 元来は、ダイヤルアップ・インターネット接続サービスの実現を目的として開発
  • 昨今は、サービス提供者側設備で、認証と記録を実現するプロトコルとして幅広く利用。
    • 無線LAN、VLAN、
    • コンテンツ提供サービス
    • 常時接続方式のインターネット接続サービス

IDPS †

• パケットキャプチャにより侵入を検知、防止する。
  • 侵入検知システム (IDS : Intrusion Detection System)
  • 侵入防止システム (IPS : Intrusion prevention system)

• オープンソースのIDPS であるSnortの例
  • パケットキャプチャ部
    ネットワーク上を流れるパケットを収集する。
  • プリプロセッサ部
    キャプチャしたパケットを解析し易い形に正規化する。
  • 検知エンジン部
    正規化されたパケットを相関分析する。
  • アウトプットプロセッサ部
    パケットが攻撃だと判断された場合、管理者にアラートする。

ファイア・ウォール †

• ファイアウォールの方式

• ステートフル・インスペクション方式
  パケット・フィルタリングを拡張したもの。
  TCP/IP通信のセッション状態に適合したパケットのみ通過させる。

• トランスポート・ゲートウェイ方式
  特定のプロトコルのみを通過させる

• アプリケーション・ゲートウェイ方式
  アプリケーション・プロトコル毎にインストールし、通信を監視・阻止する。

• WAF (Web Application Firewall) Webアプリケーションへの攻撃を監視・阻止する。

• 通過させない通信を登録するブラックリスト方式
• 通過させる通信を登録するホワイトリスト方式

• パーソナル・ファイアウォール
  ブラウザのローカル・プロキシとして動作し送信を監視。

アプリケーションへの攻撃 †

ウィルス検出手法 †

ダーク・ネット、ダーク・ウェブ †