.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

用語

リスク (risk)

  • 目的に対する不確かさの影響で、好機と脅威がある。
  • SCでは、好機ではなく、脆弱性に起因する脅威

PMP:リスク・マネジメント

脆弱性 (vulnerability)

SCでの脆弱性は、

  • 安全性上の弱点
  • 英語では、
    • Vulnerability
    • 俗に、Security Hole
  • 区分
    • 設備
    • 技術
    • 管理

脅威 (threat)

  • 情報資産や組織に損害を与える可能性がある、
    脆弱性に起因する望ましくないインシデントの潜在的な原因
  • 区分
    • 災害
    • 障害
    • 人的

情報資産

  • 脅威に晒される主な対象。
  • 脆弱性を持っている可能性がある。

管理策(control)

  • リスク (risk)脅威)を修正する対策のこと
  • しかし、同様に脆弱性を持っている可能性がある。
  • コレを導き出すのがリスク・アセスメント

インシデント (incident)

具現化した脅威、若しくは、その確率。

  • 望まない単独若しくは一連の情報セキュリティ事象
  • 又は予期しない単独若しくは一連の情報セキュリティ事象であって、
    事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。

脆弱性の

種類と具体例

#種類具体例
#設備面・構造上の欠陥
・メンテナンス不備
・入退館設備の不備
#技術面・ネットワーク構成上の欠陥
・ソフトウェアのバグ
・アクセス制御システムの不備
・設定ミス、安易なパスワード
・ウィルス対策の不備
#管理面・方針、既定の不備
・機器、外部記憶媒体の不備
・教育、マニュアルの不備
・インシデント対応計画の不備
・監視体制、監査の不備

識別 / 評価

リスク (risk)的に捉え...。

情報資産脅威との関係

情報資産の脆弱性に起因するリスク (risk)脅威)の
顕在化 / 具現化がインシデント (incident) / 損失

詳細(技術的)

ネットワーク

脆弱性

「機密性、完全性」、「可用性」に分かれる。

  • 機密性、完全性の侵害
  • ネットワーク、サブネット
    • が分割されていない。
    • 間のアクセス制御が無い。
  • 接続口の問題
    • リピータハブの利用(盗聴可能)
    • 必要以上に多いアクセス・ポイント
    • 誰でも接続可能なスイッチの放置
  • 可用性の低下
  • 処理性能
    • 機器の処理能力、負荷分散
    • ネットワーク帯域幅、負荷分散
  • 冗長化
    • 機器
    • ネットワーク
  • 制限
    • インターネット接続口の帯域制御
    • ネットワーク、サブネット分割
      (ブロードキャスト制限)

対策

マップが難しいが、

  • ネットワーク、サブネット分割
    • アクセス制御(機密性、完全性)
    • ブロードキャスト制限(可用性)
  • 接続口(機密性、完全性)
    • 無線LAN廃止
    • セキュリティ対策強化
  • ハブの
    • スイッチ化(機密性、完全性、可用性)
    • 物理ポートのロック(機密性、完全性)
  • インターネット接続口の集約
    • フィルタ(機密性、完全性)
    • 帯域制御等(可用性)
  • 各種可用性の向上(可用性)
    • 冗長化
    • 負荷分散
    • 帯域制限
    • 帯域確保
    • キャパシティ・プランニング

TCP, UDP

脆弱性

  • 仕様が公開されている(RFC)。
  • セッション層の仕様

対策

  • SSH / TLS (SSL) / IPsecなどの導入
    による暗号化(何れもVPNで利用される)
  • 他の脆弱性については、TCP, UDP
    セッション層の仕様の問題なので、
    上位プロトコル側での対応が必要になる。

電子メール

SMTP脆弱性

オリジナルのSMTPが脆弱

  • 非常に簡素な仕組み。
    • 実際にはMSAの機能は無く、
    • MTAは、MUA・MTAを区別しない。
    • すべて、25番ポートで処理する。
  • 平文であり
    • 改竄が可能
    • 情報漏洩の可能性
  • 認証の機構を持たないため、
    第三者中継(オープン・リレー)が可能で、
    スパマーの踏み台として機能し得る。
    • 様々なスパム・メールを送信する。
    • 結果として、ブラックリストに登録されてしまう。

POP3脆弱性

  • メールが平文
  • 認証のクレデンシャルが平文

対策

主に、スパムメール対策

  • 送信時
  • OP25B (Outbound Port 25 Blocking)
    • ISPメールサーバを経由していないアウトバウンドTCP 25番ポートの通信を遮断
    • 第三者中継(オープン・リレー)対策後の、ボットなどによる直接送信を防止する。
  • MUA
  • 受信時
  • MTA
    各種、中継処理に対する制限(ホワイトリストやブラックリストを利用)
    • ブラックリストに含まれるMTAからの通信を遮断
    • ホワイトリストに含まれないMTAからの通信を遮断
    • 逆引きが出来ないMTAからの通信を遮断
    • 第三者中継(オープン・リレー)を許可しているMTAからの通信を遮断
    • SPF、Sender IDを使用して検証されないMTA(ドメイン)からの通信を遮断
  • 経路の暗号化も可能
    STARTTLS (25 → 587)
    SMTP over SSL/TLS (25 → 465)
  • MUA
  • スパムメールと思われる通信を遮断
    シグネチャが該当する通信を遮断(シグネチャ・マッチング)
    学習した特徴に該当する通信を遮断(ベイジアン・フィルタリング)
  • クレデンシャルと経路の暗号化
    POP3 → APOP (クレデンシャル)
    POP3 → STARTTLS (110 → 110) (経路)
    POP3 → POP3 over SSL/TLS (110 → 995) (経路)
    SSHポート・フォワーディング (110 → 22) (クレデンシャルと経路)
  • 送受信時
    • MUA
      • S/MIMEによる署名と暗号化
      • PGPによる署名と暗号化
  • 構成
    • MTAの脆弱性対策
      • 最新バージョン、パッチ適用
      • VRFY、EXPNコマンドの無効化
      • ウィルス対策ソフトの導入
  • MTAの構成
    • 社内向けはイントラネット上に配置
    • 社外向けはDMZ上に配置
  • 経路

DNS

脅威にも書いたけど。

脆弱性

  • ゾーン転送によって情報が抜かれる。
    • 管理情報 (サーバ名や IP アドレス等)が漏洩、悪用される。
    • コレらが外部に流出することで、組織のサーバやネットワーク構成を推測され、
      セキュリティに対する、潜在的な脅威の増加につながる可能性がある。
  • セッション層の仕様
  • オープン リゾルバによる
    • 踏み台利
    • 不正なリクエストによるダウン

対策

  • 乗っ取り対策
    • 最新バージョン+パッチ適用
    • バナーの非表示化
  • ゾーン転送先のサーバを制限する。
    • 外部DNSと内部DNSに分割し、外部DNSには内部のソーン情報を登録しない。
    • インターネットからのゾーン転送要求をフィルタリングする。
    • セカンダリDNSからのゾーン転送要求のみ許可するように設定する。
  • DNSポイズニングのリスク低減
    • DNSキャッシュ時間を短くする。
    • ソースポートのランダマイゼーション
    • DNSSEC (DNS Security Extensions)の導入
  • オープンにしない(オープン リゾルバ)
  • キャッシュサーバをインターネットからアクセスさせない。
    DNS amp攻撃と言うDoS攻撃の踏み台にならないようにする。
  • コンテンツ サーバとキャッシュ サーバを分割し、
    • 外部キャッシュ サーバは内部コンテンツ サーバのクエリにのみ対応。
    • 若しくは、クライアントと、問い合わせ数を制限する。
  • その他
  • DNSSEC (DNS Security Extensions)
    ゾーン情報改竄、DNSポイズニングの防止
    • ゾーン内のリソースレコードを、秘密鍵で署名し、電子署名を作成。
    • また、コンテンツ サーバは電子署名付きの応答を返す。
  • ゾーン・レコードの改ざん防止
    • SOAレコードのシリアル番号はDNS設定内の更新を識別できる。
    • RFC2845: DNSにおける秘密鍵のトランザクション認証(TSIG)
      動的ゾーンを更新できる人を制限するために使用できる。
      ・更新要求が許可されているエンドポイントの特定と認証。
      ・共有秘密鍵と一方向ハッシュ関数を使用する。
  • EDNS0対応
    昨今、IPv6、DNSSEC、SPF、DKIMなどの普及によりDNSデータは拡大傾向で、
    512以上のデータ送信を、TCPフォールバックでなく、UDPパケット拡張で対応。

HTTP、Webアプリ

HTTP、Sessionの脆弱性、対策

サーバ設定・実装の脆弱性、対策

各種、技術的な脅威への対応。

  • 乗っ取り対策
    • 最新バージョン+パッチ適用
    • バナーの非表示化(HTTPヘッダ)
    • アクセス許可の設定
  • 不要な機能、コマンドの無効化
    • デフォルト・ページの配置とディレクトリ参照禁止
    • HTTPメソッド(PUT、TRACE)
    • エラーメッセージ送信機能の抑止
  • 最後はIPSの導入

アプリ仕様・実装上の脆弱性、対策

各種、アプリケーション脆弱性への対応

  • インジェクション系
  • 最後はWAFの導入

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-08-24 (土) 12:20:13 (25d)