SC：脆弱性 のバックアップ(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SC：脆弱性 へ行く。
  • 1 (2019-08-18 (日) 13:06:17)
  • 2 (2019-08-18 (日) 17:53:32)
  • 3 (2019-08-18 (日) 20:37:26)
  • 4 (2019-08-19 (月) 13:28:30)
  • 5 (2019-08-20 (火) 22:31:32)
  • 6 (2019-08-21 (水) 09:10:54)
  • 7 (2019-08-21 (水) 21:24:24)
  • 8 (2019-08-23 (金) 21:11:04)
  • 9 (2019-08-24 (土) 12:20:13)
  • 10 (2019-10-01 (火) 10:23:01)
  • 11 (2020-01-04 (土) 18:02:17)
  • 12 (2020-08-25 (火) 00:02:41)
  • 13 (2020-08-25 (火) 13:27:15)
  • 14 (2020-09-24 (木) 12:06:38)
  • 15 (2020-09-28 (月) 02:05:54)
  • 16 (2020-09-29 (火) 22:23:58)
  • 17 (2020-10-09 (金) 17:04:33)
  • 18 (2020-10-12 (月) 14:58:44)
  • 19 (2020-10-12 (月) 19:26:22)

---

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

SCでの脆弱性は、

• 安全性上の弱点

• 英語では、
  • Vulnerability
  • 俗に、Security Hole

• ISO 27000では、
  一つ以上の脅威によって付け込まれる
  可能性のある情報資産または管理策(control)の弱点

用語 †

リスク (risk) †

• 目的に対する不確かさの影響で、好機と脅威がある。
• SCでは、好機ではなく、脆弱性に起因する脅威

脅威 (threat) †

情報資産や組織に損害を与える可能性がある、
脆弱性に起因する望ましくないインシデントの潜在的な原因

情報資産 †

• 脅威に晒される主な対象。
• 脆弱性を持っている可能性がある。

管理策(control) †

• リスク (risk)（脅威）を修正する対策のこと
• しかし、同様に脆弱性を持っている可能性がある。
• コレを導き出すのがリスク・アセスメント

インシデント (incident) †

具現化した脅威、若しくは、その確率。

• 望まない単独若しくは一連の情報セキュリティ事象

• 又は予期しない単独若しくは一連の情報セキュリティ事象であって、
  事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。

脆弱性の †

種類と具体例 †

識別 / 評価 †

リスク的に捉え...。

情報資産、脅威との関係 †

情報資産の脆弱性に起因する脅威の顕在化 / 具現化がインシデント (incident) / 損失

詳細（技術的） †

ネットワーク †

脆弱性 †

「機密性、完全性」、「可用性」に分かれる。

• 機密性、完全性の侵害

• ネットワーク、サブネット
  • が分割されていない。
  • 間のアクセス制御が無い。

• 接続口の問題
  • リピータハブの利用（盗聴可能）
  • 必要以上に多いアクセス・ポイント
  • 誰でも接続可能なスイッチの放置

• 可用性の低下

• 処理性能
  • 機器の処理能力、負荷分散
  • ネットワーク帯域幅、負荷分散

• 冗長化
  • 機器
  • ネットワーク

• 制限
  • インターネット接続口の帯域制御
  • ネットワーク、サブネット分割
    （ブロードキャスト制限）

対策 †

マップが難しいが、

• ネットワーク、サブネット分割
  • アクセス制御（機密性、完全性）
  • ブロードキャスト制限（可用性）

• 接続口（機密性、完全性）
  • 無線LAN廃止
  • セキュリティ対策強化

• ハブの
  • スイッチ化（機密性、完全性、可用性）
  • 物理ポートのロック（機密性、完全性）

• インターネット接続口の集約
  • フィルタ（機密性、完全性）
  • 帯域制御等（可用性）

• 各種可用性の向上（可用性）
  • 冗長化
  • 負荷分散
  • 帯域制限
  • 帯域確保
  • キャパシティ・プランニング

TCP, UDP †

脆弱性 †

• 仕様が公開されている（RFC）。

• IPスプーフィングが可能
• 暗号化機能が標準で実装されていない（IPv4）。

• DoS系に対する脆弱性がある。
• ポイズニング系に対する脆弱性がある（特にUDP）。

対策 †

• IPスプーフィング対策として、逆引き＋遮断

• SSH / TLS (SSL) / IPsecなどの導入
  による暗号化（何れもVPNで利用される）

• その他の脆弱性については、
  TCP, UDP自体の仕様変更が必要なので、
  上位プロトコル側での対応が必要になる。

電子メール †

SMTP脆弱性 †

オリジナルのSMTPが脆弱

• 非常に簡素な仕組み。
  • 実際にはMSAの機能は無く、
  • MTAは、MUA・MTAを区別しない。
  • すべて、25番ポートで処理する。

• 平文であり
  • 改竄が可能
  • 情報漏洩の可能性

• MTAに脆弱性がある可能性
  • アカウント漏洩（VRFY、EXPNコマンドの脆弱性）
  • バッファ・オーバーフローの脆弱性

• 認証の機構を持たないため、
  第三者中継（オープン・リレー）が可能で、
  スパマーの踏み台として機能し得る。
  • 様々なスパム・メールを送信する。
  • 結果として、ブラックリストに登録されてしまう。

POP3脆弱性 †

対策 †

主に、スパムメール対策

• 送信メール

• OP25B (Outbound Port 25 Blocking)
  
  • ISPメールサーバを経由していないアウトバウンドTCP 25番ポートの通信を遮断
  • 第三者中継（オープン・リレー）対策後の、ボットなどによる直接送信を防止する。

• POP before SMTP
  POP3によるユーザ認証後にメール送信を許可する仕組み。

• 受信メール

• SMTPサーバ
  各種、中継処理に対する制限（ホワイトリストやブラックリストを利用）
  • ブラックリストに含まれるSMTPサーバからの通信を遮断
  • ホワイトリストに含まれないSMTPサーバからの通信を遮断
  • SPF (Sender Policy Framework)レコードを使用して許可された送信先にのみ送信
  • 逆引きが出来ないSMTPサーバからの通信を遮断
  • 第三者中継（オープン・リレー）を許可しているSMTPサーバからの通信を遮断

• メーラー

• （送信時）認証が出来ないメールの通信を遮断
  SenderID (Resent-Sender, Resent-From, Sender, From)のアカウントを検証
  サブミッションポート（587）およびSMTP認証（SMTP AUTH）を使用してメール送信者を認証
  電子メールに付加されたデジタル署名をDNS上の公開鍵を使用して検証（S/MIME）
  

• （受信時）スパムメールと思われる通信を遮断
  シグネチャが該当する通信を遮断（シグネチャ・マッチング）
  学習した特徴に該当する通信を遮断（ベイジアン・フィルタリング）
  

DNS †

脆弱性 †

対策 †

HTTP †

脆弱性 †

対策 †

Webアプリ †

HTTP Sessionの脆弱性、対策 †

設定・実装の脆弱性、対策 †

仕様・実装上の脆弱性、対策 †

     

Site admin: TechInfoOfMicrosoftTech

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.042 sec.