「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>SC:試験 - 午後 - 情報処理安全確保支援士の過去問]]

*目次 [#hb300cb1]
#contents

*概要 [#o78867c4]
午後は手書きが必要なので、改めて復習。

*詳細 [#i21726c1]

**基礎 [#x294f47e]

***[[セキュリティ>SC:基礎#z5a619d6]] [#f73b37ce]
-BCP(Business Continuity Plan)、~
BCM(Business Continuity Management)、
-CP (Contingency Plan)
-DR (Disaster Recovery)

***[[情報セキュリティの7大要素>SC:基礎#ta2bca33]] [#z0ecc2c5]
情報セキュリティの7大要素

-基本

--機密性 (confidentiality)~
基本中の基本

--完全性 (integrity)
---公共的なシステムで重要になる。
---情報が正確である(≒全て揃っていて欠損や不整合が無い)こと。

--可用性 (availability)
---公共的なシステムで重要になる。
---常時稼働、24時間365日稼働など。

-付加~
さらに、デジタル・フォレンジック的要素
--真正性 (authenticity)
--信頼性 (reliability)
--責任追跡性 (accountability)
--否認防止 (non-repudiation)

***情報セキュリティ対策の機能 [#c75f4565]
-予防
--抑止・抑制
--予防・防止

-検知
--検知・追跡
--回復

***物理的 or 論理的セキュリティ [#r10a0250]
-物理的セキュリティ
--耐震、防火、電源、回線、入退館
--全体的に可用性への対応に近い。
--あとは、人的、物理的攻撃への対応。

-論理的セキュリティ
--物理的セキュリティを除くほか全て。
--以下の3つに分類できる。
---管理的セキュリティ(運用管理)
---人的セキュリティ(教育・訓練・懲戒)
---システム的セキュリティ(技術)

※ 人的は両方に含まれる。

***[[情報セキュリティ・マネジメント・システム(ISMS)>SC#u50c1881]] [#a1060471]
-ISMS
--情報セキュリティ・マネジメント・システム
--Information Security Management System

-ISO/IEC 27000 / JIS Q 27000 シリーズ~
ISMSの標準(手順)
--ISO/IEC 27000:2013、JIS Q 27000:2014~
基本用語集
--ISO/IEC 27001:2013、JIS Q 27001:2014~
要求事項
--ISO/IEC 27002:2013、JIS Q 27002:2014~
実践規範
--ISO/IEC 2700X:201X~
その他、色々。

**某書チェック・シート [#vfd2c8a4]
基礎的な内容のモノが多い。

***経路系 [#ab3cd34f]

***分離系 [#va3aa884]
-[[デスクトップ仮想化方式>SC:基礎#f1594ff0]]
--ネットワーク・ブート方式
--画面転送方式
---サーバーベース型
---ブレードPC型
---VDI型(主流)

-[[サンドボックス>SC:対策技術 - 防御・侵入検知]]
--[[ビヘイビア>#q85283f5]]を検出するための隔離された環境。
--単純に分離環境であることもある。

***集約系 [#s086f87f]

***権限系 [#cfa51ebc]
-[[権限系の原則>#ab88f593]]

-[[認可(アクセス制御)の種類>SC:対策技術 - 認証・アクセス制御#ac19d03d]]
--任意(DAC):Windowsに実装がある。
--強制(MAC):セキュアOSなどに実装がある。
--ロールベース(RBAC):Windowsに実装がある(グループを利用)。
--情報フロー制御:情報が、上位から下位に移動しないように制御される。
---ユーザと情報の関係で操作が制限される。
---MACを実装するシステムで利用される。

***暗号系 [#e647fa2c]
詳細は、[[コチラ>https://techinfoofmicrosofttech.osscons.jp/index.php?%E6%9A%97%E5%8F%B7%E5%8C%96%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0]]を参照。

-ハッシュ関数

--キーなし方式・あり方式がある。

--計算量について~
[[衝突発見困難性 < 第二原像計算困難性 < 原像計算困難性>高度午前 - 技術要素 - セキュリティ - 暗号・認証#kda45b06]]

--説明

---衝突発見困難性~
衝突する某かの2メッセージを計算

---第二原像計算困難性(≒衝突)~
1つのメッセージを与えた状態で、~
もう2つのメッセージ(第二原像)を計算

---原像計算困難性~
ハッシュ値から、原像を計算する(≠衝突)。

--危殆化のトピック~
SHA-1 → SHA-2 → SHA-3

-暗号化
--秘密鍵・暗号化
--公開鍵・暗号化
--ハイブリッド・暗号化(キー交換)

-デジタル署名(証明書)

-認証([[MAC、AES>#v650b5bc]])

-詳細
--暗号化の詳細
---ストリーム暗号
---ブロック暗号

--[[公開鍵・暗号化の詳細>https://techinfoofmicrosofttech.osscons.jp/index.php?%E6%9A%97%E5%8F%B7%E5%8C%96%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0#ba2b3fe6]]
---RSA、DSA、ECC(ECDSA, ECDH)
---離散対数問題
---DH鍵共有(交換)

-ブロック暗号の~
[[暗号化モード(暗号利用モード)>https://techinfoofmicrosofttech.osscons.jp/index.php?%E6%9A%97%E5%8F%B7%E5%8C%96%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0#s2956a2c]]

--脆弱~
---ECB: Electronic CodeBook
---同じ平文ブロックは同じ暗号ブロックになる。

--対策~
IVとかXOR/暗号化で、連鎖・フィードバックする。
---CBC: Cipher Block Chaining
---CFB: Cipher-FeedBack
---OFB: Output FeedBack

-証明書

--デジタル署名のPKI(公開鍵暗号基盤)で用いられる。

--フィンガー・プリント(指紋)
---ハッシュで対象は証明書や公開鍵
---証明書や公開鍵の改ざん検知用。

--[[失効関連>https://techinfoofmicrosofttech.osscons.jp/index.php?%E8%A8%BC%E6%98%8E%E6%9B%B8%E5%A4%B1%E5%8A%B9%E3%83%AA%E3%82%B9%E3%83%88%20%28CRL%29]]
---CRL:ファイルをダウンロードしてチェック
---OCSP:CRLをNWプロトコル化したような感じ。
---SCVP:信頼関係(期限、署名など)も含めてチェック。

-TPM
--[[耐タンパ性>#r1845e83]]のあるセキュリティ・チップ
--本機の証明書やパスワードなどの機密情報を安全に管理
--Windows Helloや、FIDOなどで使用されている。

-[[電子文書の長期保存>SC:試験 - 午後 - パターン&プラクティス#q14a34c9]]

***通信系 [#x4ea955c]
-[[ポート・スキャン>SC:脅威#y31ba6ed]]

--UDP, TCPリスニング・ポートを確認する。

--TCPコネクト・スキャン~
コネクション確立によるスキャン

--ログを残さないステルス・スキャン
---UDPスキャン
---TCPハーフ・スキャン~
・TCP SYNスキャン~
・TCP FINスキャン~
・TCP Nullスキャン~
・TCP クリスマスツリー・スキャン

-[[セッション・ハイジャック>SC:脅威#i2b48d5e]]
--UDP, TCP

--HTTP(HTTPS)

---HTTPなら盗聴されれば終わり。~
・認証チケット(Cookieの場合が多い)~
・SessionID(Cookieの場合が多い)

---HTTPSでも漏洩の可能性はある。~
・URL中→URLからの漏洩~
・Hidden→XSSなど。~
・Cookie→XSSなど。

---Cookieの堅牢化~
・エントロピーは高め~
・揮発性、若しくは、有効期限付き~
・Secure、HttpOnly属性の付与

-DoS、DDoS
--種類
---SYN Flood攻撃
---ICMPリフレクション(Smurf)攻撃
---, etc.

--ポイント
---コネクションレス・プロトコルでは攻撃者を特定し難い。
---DDoSの対策はキャパ増強以外あまり多くないが、SDNなどで対応可能。

--参考
---[[午前>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#e371f6f7]]
---%%午後(パターン&プラクティス)%%
---その他~
・[[SC:脅威 - DoS攻撃]]~
・[[CAPTCHA>SC:試験 - 午後 - パターン&プラクティス#bd53ca1d]]

-DNS関連
---分割配置
---DNSSEC
---EDNS0:~
・プロトコル拡張~
・代表的な違いはペイロードの拡大

--[[午前>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#re571b9f]]
--午後(パターン&プラクティス)
---[[専門基礎力系>SC:試験 - 午後 - パターン&プラクティス#fdd98782]]
---[[専門応用力系>SC:試験 - 午後 - パターン&プラクティス#m57c0271]]

-電子メール関連

--POP3
---認証は平文なのでクレデンシャル盗聴の危険性
---対応としては、APOP、POP3 over TLS/SSH

--OP25B:
---ISP以外のSMTPクライアントからサーバを使用できないようにする。
---ただし、サブミッション・ポート、STARTTLS (25 → 587)+SMTP-AUTHで、~
例外的に、ISP以外のSMTPクライアントからサーバを使用可能にする。

--[[午前>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#eac0255f]]
--午後(パターン&プラクティス)
---[[専門基礎力系>SC:試験 - 午後 - パターン&プラクティス#j1ceddc7]]
---[[専門応用力系>SC:試験 - 午後 - パターン&プラクティス#i068f17f]]

-HTTP関連

--GET問題
---Query Stringが改ざんされる。
---Query Stringで漏洩する。~
・ログから漏洩~
・Referから漏洩~
・お気に入りから漏洩~
・URLコピペから漏洩

--POST問題
---攻撃は受け難くなるが、
---入力が記録されない(アプリ・ログ頼り)。

--ステートレスとステートフル

---ステートレス~
スケーラビリティが高い~
(が、盗聴や漏洩、改ざんの可能性)

---ステートフル~
スケーラビリティが低い~
(が、よりセキュアになる)

-[[IPsec>https://techinfoofmicrosofttech.osscons.jp/index.php?IPsec]]~
本シート、何故か、IPSecに注力。

--鍵共有プロトコル:IKE v1, v2

---IKE:Internet Key Exchange

---IKEは、ISAKMP/Oakley鍵交換プロトコルを元にして作られた。~
・ISAKMP/Oakleyとは、IPsecで利用されるSA確立のためのプロトコル~
・SA(Security Association)とは、コネクションのようなもの。~
 ・ISAKMP SA:制御用で1つだけ作成される。~
 ・IPsec SA:データ用(上り・下り、ESP、AHで別々)

---「Diffie-Hellman」方式が利用される。
---それ自体で暗号化通信をサポートしている。
---UDPポート番号500上で通信される。
---IKEv1とIKEv2~
・互換性はない。~
・IKEv1~
 ・メイン・モード:動的IPアドレスにも対応していない。~
 ・アグレッシブ・モード:動的IPアドレスにも対応している。~
 ・クイック・モード:IPsec SAの作成に使用する。~
・IKEv2~
 ・動的IPアドレスにも対応している。~
 ・仕様の明確化により相互運用性が向上

--暗号通信プロトコル:ESP、AH

---AH (Authentication Header)~
・認証のみ。~
・NATはNG

---ESP (Encapsulated Security Payload)~
・暗号化と認証。~
・NATはOK、NAPTはNG

-[[SSL/TLS>https://techinfoofmicrosofttech.osscons.jp/index.php?SSL%2FTLS]]~
本シート、何故か、SSL/TLSに注力。

--上位プロトコル
---Hand Shakeプロトコル
---Change Cipher Specプロトコル
---Alertプロトコル
---Application Dataプロトコル

--下位プロトコル~
Recordプロトコル

-Wi-Fi(EAP、WEP / WPA、WPS)

--IEEE 802.1X~
・11a / 11g(多重アクセスと衝突回避方式)~
・WEP → 11i → WPA(暗号化通信と、その脆弱性に対応するための通信規格)~
・PPP / EAP(IEEE 802.1Xで使用する認証規格)

--[[EAP掘り下げ>SC:対策技術 - 認証・アクセス制御#d42eee55]]~
...解らんね。
---EAP-TLS
---EAP-TTLS
---PEPA
---EAP-MD5

--[[重複>#n7184dcd]]

***認証系 [#a6306b7d]
-認証・[[認可(≒権限)>#cfa51ebc]]

-認証の対象
--人の認証:本人認証(LoAなど)
--モノの認証:機器・デバイス認証(TPMなど)
--情報の認証:メッセージ認証(MAC、デジタル署名など)

-認証に関するエトセトラ

--[[チャレンジ&レスポンス>https://techinfoofmicrosofttech.osscons.jp/index.php?%E8%AA%8D%E8%A8%BC%E5%9F%BA%E7%9B%A4#zb3340de]]

--[[ワンタイム・パスワード(OTP)>SC:対策技術 - 認証・アクセス制御#c0bfbc73]]
---チャレンジ&レスポンス
---S/Keyと時刻同期方式
---HOTPとTOTP

--クライアント認証とサーバ認証(証明書)
---上記は、サーバ認証がないのでMITM攻撃され得る。
---MITMを防ぐには、クライアント認証とサーバ認証を活用する。
---Forms認証+HTTPSも同じ事([[要アドレスバー・チェック>SC:試験 - 午後 - パターン&プラクティス#oaa72605]])。
---フィッシングされないように、[[HSTS>SC:試験 - 午後 - パターン&プラクティス#oaa72605]]。
--ICカード
---に対する攻撃は、非破壊攻撃と、その一種である[[サイドチャネル攻撃>#r1845e83]]
---JIWG:European [J]oint [I]nterpretation [W]orking [G]roup~
・ICチップの脆弱性評価に関する事実上の基準~
・ICカードの評価の公平性や客観性を実現するための解釈の統一~
・[[ISO/IEC 15408、CC>#pceed2c6]]をICカードの評価に適用する際の解釈の統一

-[[パスワード・クラック>SC:試験 - 午後 - パターン&プラクティス#n05eb08f]]
--パスワード・クラック中のオフライン攻撃
---レインボー・テーブル
--パスワード・クラック中のオンライン攻撃
---パスワード・リスト
---ブルート・フォース
---逆ブルート・フォース~
(リバース・ブルートフォース)

-IdP / STS(OSS)

--IdP
---前述の認証機能~
---ID管理~
・ユーザストア → ディレクトリ~
・プロビジョニング~
・管理~
 ・ポリシ・手順・体制~
 ・ワークフロー・システム~
 ・[[アクセス制御の付与>#cfa51ebc]]~

--[[STS(OSS)>SC:対策技術 - 認証・アクセス制御#d2820f80]]
---Cookie認証チケット型の統合認証基盤
---クレームベース認証型の認証基盤(SAML、OAuth2/OIDC)

***テスト系 [#s8a02c3e]
-[[脆弱性検査 / 診断>セキュリティ脆弱性対策ツール#i529ad67]]の実施
-[[類似不良>SC:試験 - 午後 - パターン&プラクティス#o6a2cd65]]の対策

***Public Client系 [#hd7e7903]

***[[マルウェア系>SC:脅威#w2adfe4a]] [#ae7a7f64]
-種類

--ウィルス~
人による操作(感染したプログラムの実行など)がなければ拡散できない

--ワーム~
ネットワーク感染型ワームなど、人の手を借りずに自身で移動できる。

--ルートキット~
トロイの木馬を送り込む前段に仕込むと強力。

--トロイの木馬
---自身を複製しない。

---以下のようなタイプのものがある。
・パスワード窃盗型~
 スパイウェア -> キーロガー~
・クリッカー型~
 悪意のあるモバイルコード -> クリッカー~
・バックドア型~
 ボット~
・ダウンローダ型~
 ボット、ドロッパ、ガンブラー~
・プロキシ型~
 MITB、ボットネット~

---悪意のあるモバイルコード~
クリッカー等に代表される~

---スパイウェア~
キーロガー等に代表される~

---ボット~
バックドア型のワームの一種。遠隔操作が可能。~

---ランサムウェア~
暗号化(や盗難)→金銭要求~

---ドロッパ~
・侵入専門のマルウェア~
・パッキングやDBDを行う。~

---ガンブラー~
DBD → FTP → 改ざん(攻撃サイト化)~

---マイニング・マルウェア~
仮想通貨のマイニングを行わせるマルウェア~

---PUA (Potentially Unwanted Application)~
潜在的に不要なアプリケーション

>※ [[ドライブバイダウンロード(DBD)>SC:脅威#p39e1378]]~
 ウェブブラウザなどの脆弱性を介して、ダウンロードされる。

-[[対策方法系>#d0611af0]]~

-[[検出手法系>#q85283f5]]

***フィルタリング系 [#t01d1999]

-[[FW>SC:対策技術 - 防御・侵入検知#u4a95bac]]

--パケット・フィルタリング型ファイアウォール

--その他、様々なファイアウォール

---サーキットレベル・ゲートウェイ型(L4スイッチ的)~
最も単純

---ダイナミック・パケットフィルタ型(L4スイッチ的)~
コネクション識別

---ステートフル・インスペクション型(L4スイッチ的)~
フロー識別

---アプリケーション・ゲートウェイ or プロキシ型(L7スイッチ的)~
→ WAF

-[[WAF、IDS、IPS>SC:対策技術 - 防御・侵入検知]]

--HIDS・HIPS~
以下のようなホストのイベントを検知できる。~
なお、HIPSには、[[ウィルス対策>SC:脅威#wb34cd35]]が実装される。

---ログイン・ログオフの成功/失敗

---プログラム~
・管理プログラム起動~
・特権ユーザへの昇格~
・インストール

---ファイル・アクセス(変更・削除)~
・システム・ファイル~
・コンフィグ設定~
・Webコンテンツ

---NIC上で検知できるネットワーク攻撃

--NIPS・NIPS

---暗号化パケットを検知できない。

---誤検知が多い。~
[[ステートフル、ビヘイビア、アノマリ分析>#f00456b7]]で対応。

---検知出来ない攻撃も多い。~
・アプリの脆弱性~
・不正アクセス~
・内部犯行など。

---NIPSには、遮断機能が必要なのでインライン型になる。~
・[[フォールス・ポジティブ or ネガティブ>#o6cb9de8]]が問題になる事がある。~
・[[DoS、DDoS>SC:脅威 - DoS攻撃]]への対応が必要になることがある。~
・フェール・オープンで障害が発生した場合にはパケットをそのまま通過させる。

--WAF

---主に、[[インジェクション系>#yb5201a1]]の攻撃の検知

---インライン型なのでアプライアンス機能が付加されているものも多い。~
・HTTPS~
・HTTPS圧縮~
・負荷分散~
・アドレスの引き継ぎ~
 X-Forwarded-For (XFF) ヘッダ

--[[重複>#f00456b7]]

***セキュア・コーディング系 [#yb5201a1]
-BOF系
--データ実行防止機能(DEP)
--コンパイラに依る対策
---SSP(Stack Smashing Protection)
---ASLR(Address Space Layout Randomization)
---PIE(Position Independent Executable)
---AF(Automatic Fortification)
--BOFを起こす関数
---gets()
---strcpy()
---strcat()
---sprintf()
---snprintf()
---scanf()
---sscanf()
---fscanf()
---getchar();, fgetc();, getc();

--対応
---何れもdstのサイズを調査して長さを指定する。
---文字列の終端ナルも同じこと。

-レース・コンディション

-[[インジェクション系>SC:脅威#i46de8fb]]

--OSコマンド・インジェクション~
&ディレクトリ・トラバーサル

---影響~
様々なコマンド実行を攻撃に利用される。

---対策~
・ユーザ入力を持っていかない。~
・入力チェックを行う。

--SQLインジェクション

---影響~
・DBデータのCRUD操作を攻撃に利用される。~
・DBデータの盗難、改ざん、削除。

---対策~
・メタキャラのエスケープ~
・プレペア(パラメタライズド)

--Mailヘッダ・インジェクション~

---影響~
・投稿フォームなどから、Mailヘッダへのインジェクションを行う。~
・主に、迷惑、フィッシング、標的型攻撃メール等の発信元として利用される。

---対策~
・入力チェックを行う。~
・フレームワークのAPIを使用する。

--HTTPヘッダ・インジェクション~

---影響~
レスポンスのヘッダやボディを追加したり、~
レスポンス自体を分割したりして、攻撃を行う。

---対策~
・改行コードに相当する文字列を削除~
・フレームワークのAPIを使用する。

--XSS(JavaScriptのインジェクション)

---対策~
・メタキャラのサニタイジング~
・フレームワークのAPIを使用する。

---[[以下のような種類があり>SC:脅威#zc735b27]]、~
DOMベースでは出力に変化が無い場合がある。~
・反射型のXSS (非持続的)、Reflected XSS~
・格納型のXSS (持続的)、Stored XSS~
・DOMベースのXSS、DOM-based XSS

-AjaX系

--XMLHttpRequest

--XML→JSON

--クロス ドメイン接続~
JSONP → XDM → CORS
---JSONP~
scriptタグのsrc属性を使用。
---XDM~
iframe と (HTML 5 の) postMessageを使用。
---CORS~
・Preflight requestの発生(POST かつ application/json の場合等)~
・Access-Control-XXXXヘッダを使用してコントロール。

-[[CSRF(XSRF)>SC:脅威#xd433779]]
--GETなら簡単
--POSでもなんとか行ける
--SameSite属性が追加されている。

***情シス・マター系 [#zd29d5f2]
ISMS(情報セキュリティマネジメントシステム:Information Security Management System)関連

-[[リスク関連>SC:マネジメント#ca4a047f]]
--リスク・マネジメント
--リスク・アセスメント
--リスク分析評価手法

--その他
---リスク・コントロール(実行&監視・制御)
---リスク・ファイナンシング(予備)

-CSIRT:[C]omputer [S]ecurity [I]ncident [R]esponse [T]eam

--インシデント対応を主導
---現場組織に適宜対応を指示
---情報公開(企業のステークホルダーへ)

--平時
---情報の収集(他部門、社外CSIRT)
---インシデント発生に備えた対応

-BCM(事業継続マネジメント:[B]usiness [C]ontinuity [M]anagement)
--BIA(ビジネス・インパクト分析:[B]usiness [I]mpact [A]nalysis)の後
--BCP(事業継続計画:[B]usiness [C]ontinuity [P]lan)を策定

-[[法制度周辺>SC:法制度]]

--[[個人情報、マイナンバー>SC:法制度 - 個人情報、マイナンバー(法律と制度)]]

---個人情報関連~
・個人情報保護法(個人情報の保護に関する法律)~
・個人情報保護法関連五法~
・個人情報取扱事業者の義務~
・2017/5/30の法改正の主な内容~
・個人情報保護法についてのガイドライン

---マイナンバー法

---プライバシー・マーク制度

---[[GDPR>SC:法制度 - GDPR]]

--[[知的財産>SC:法制度 - 知的財産権を保護するための法律]]

---知的財産権~
・特許権~
・実用新案権~
・意匠権~
・商標権・トレードマーク・サービスマーク

---特許法

---著作権法

---不正競争防止法

--[[電子文書>SC:法制度 - 電子文書(法令、タイムビジネス関連制度)]]
---電子文書の取扱いに関する法令
---タイムビジネスに関する指針、制度など

--情報セキュリティ
---[[ITサービス(規格と制度)>SC:法制度 - 情報セキュリティ、ITサービス(規格と制度)]]~
・ISO/IEC 15408、Common Criteria(CC)~
・FIPS140(FIPS PUB 140-2)、JCMVP~
・PCIデータセキュリティスタンダード(PCI DSS)~
・能力成熟度モデル統合(CMMI)~
・アメリカ国立標準技術研究所(NIST)

---[[法律とガイドライン>SC:法制度 - 情報セキュリティ(法律とガイドライン)]]~
・コンピュータ犯罪を取り締まる法律~
・サイバーセキュリティ基本法~
・サイバーセキュリティ経営ガイドライン~
・電子署名法~
・通信傍受法~
・特定電子メール法

--[[内部統制>SC:法制度 - 内部統制に関する法制度]]

***予防・防止 [#d0611af0]
-[[ホスト要塞化>SC:対策技術 - ホストの要塞化]]

--パーティション設計
---パーティション分割
---セキュアなファイルシステム
---バックアップ・リストア

--インストレーション
---デフォルト・ロックダウン...からの、
---OS、アプリの最新化、パッチの適用

--パスワード
---パスワード・チェック機能の有効化
---推測困難なパスワードの設定
---パスワードの定期変更

--アカウント
---アカウント / 権限
---グループ・アカウント

--各種ポリシ設定
---パスワード・ポリシの設定
---監査ログの設定

-マルウェア~
複合的な実践を行う。

--入口・出口対策
---入口対策
感染前の防御など、通常通り行う。
---出口対策
感染後の攻撃や、ワーム的拡散があるので、出口対策も重要。

--通信経路上
---F/W
---IDPS
---プロシキ
---認証、URLフィルタ、POSTフィルタ
---コンテンツ・フィルタリング

--[[サンドボックス>#va3aa884]]
---Web検査型サンドボックス
---メール検査型サンドボックス
---仮想ブラウザ型サンドボックス

--エンドポイント(クライアントOS)
---アンチウィルス
---パーソナル・ファイアウォール(PFW)
---EDR (Endpoint Detection and Response)
---ファイル検査型サンドボックス
---シェル・スクリプトやリモート管理ツールの実行制限
---入(出)力デバイスの接続制限
---エンドポイントの回復のためのバックアップ取得

--マネジメント面
---感染の防止~
・OS、AVバージョン最新化、パッチ適用~
・FOSS利用申請(業務に無関係なソフトの使用禁止)~
・ファイル送受信時のウィルス・チェック

---感染後の対策~
・連絡体制、対応手順、回復手順の明確化と周知

-脆弱性検査 / 診断
--インフラ(ホスト要塞化 マルウェア対策)
--アプリ([[セキュア・コーディング>#yb5201a1]])
--[[テスト(脆弱性検査 / 診断)の実施>#s8a02c3e]]

***攻撃手法 [#c364dabd]

-種別

--フット・プリンティング

--ソーシャル・エンジニアリング
---構内侵入
---トラッシング
---ショルダー・ハッキング
---なりすましによる聞き出し

--[[フィッシング>SC:脅威#bf909049]]
--[[標的型攻撃>SC:脅威#b392f9e0]]

-電子メール系

--[[フィッシング>SC:脅威#bf909049]]
---フィッシング・メール
---スピア・フィッシング

--[[標的型攻撃>SC:脅威#b392f9e0]]
---やり取り型攻撃 → 標的型メール攻撃
---ビジネス・メール詐欺
---サプライチェーン攻撃
---マルウェア送付攻撃
---持続的標的型攻撃

-HTTP系(Web系)

--[[フィッシング>SC:脅威#bf909049]]
---ファーミング
---クリック・ジャッキング

--[[標的型攻撃>SC:脅威#b392f9e0]]
---標的型メール攻撃 → 水飲み場型攻撃
---持続的標的型攻撃

-その他
--[[標的型攻撃>SC:脅威#b392f9e0]]
---ファイルレス攻撃
---持続的標的型攻撃

***その他 [#l033da5c]
-Linux関連
--[[setuid/setgid>Linuxの各種 基礎#ef3f58ba]]
--[[syslog(UDP)>#q4093480]]

**サプリ [#ecc55bc3]
応用的な内容の中から抽出した基礎。

***経路系 [#s206f547]
-[[フィッシング>SC:脅威#bf909049]]・サイト

***分離系 [#bc8d5759]

***集約系 [#dec56862]

***権限系 [#uc62350b]

***暗号系 [#m5a7a332]

***通信系 [#p619c040]

-DNS系
--[[攻撃>SC:脅威#zbccb56f]] → [[脆弱性>SC:脆弱性#f8137c18]]
---DDoS系~
・DNSフラッド(DNS Flood)~
・DNSリフレクション(DNS amp)
---DNSキャッシュ・ポイズニング

--[[対策>SC:脆弱性#leeda16d]]
---コンテンツ サーバとキャッシュ サーバを分割~
・キャッシュ サーバの再帰問合せを無効化する。~
・キャッシュサーバをインターネットからアクセスさせない。

---送信元ポートのランダム化、TxIDの推測を困難にする。
---DNSSEC(DNS Security Extensions)を導入する。

-[[メール>SC:脆弱性#xfde9a7f]]
--SMTP、POP3、IMAP
--MUA、MTA、MDA、MRA、MSA
--SMTP-AUTH(、POP before SMTP、Authenticated POP
--OP25B、Sender ID、DMARC(SPF、DKIM)

--送信元・送信先アドレス
---送信元アドレス~
・ヘッダFrom~
・エンベロープFrom
---送信先アドレス~
・ヘッダTo~
・エンベロープTo

-その他
--[[NTP>高度午前 - 技術要素 - ネットワーク#ifa7ba8e]]~
時刻同期
--[[SSH>高度午前 - 技術要素 - セキュリティ#f4e83466]]~
暗号化+OSへのログイン

***認証系 [#kc820459]
-[[多要素認証、二要素認証>高度午前 - 技術要素 - セキュリティ - 暗号・認証#h5a10eac]]

***テスト系 [#q6783db2]

***Public Client系 [#m56a93d8]

***マルウェア系 [#q85283f5]

-[[ウィルス検出>SC:脅威#tec2b3cd]]

--基本
---コンペア法
---パターン・マッチング法

--単純なコンペア法から進化
---チェックサム法
---インテグリティ・チェック法

--パターン・マッチング法から進化~
→ ヒューリスティック法(直接的な動作の観測)
---ヒューリスティック法(スタティック・ヒューリスティック法)
---ビヘイビア法(ダイナミック・ヒューリスティック法)(間接的な変化の観測)

-[[ステルス技術を使うウイルス>SC:脅威#sa327481]]
--ポリモーフィック型~
攻撃用コードを暗号化する(外観上の変化)。
--メタモーフィック型~
ミューテーションエンジン(ME)で攻撃用コード自体を変化させる。

***フィルタリング系 [#f00456b7]
-[[FW>#t01d1999]]

-[[WAF>SC:対策技術 - 防御・侵入検知#zf42c05a]]

-IDS・IPS

--[[検知 or 防止>SC:対策技術 - 防御・侵入検知#m1687fd6]]

---検知:IDS(NIDS、HIDS)~
D は [D]etection 

---破棄:IPS(NIPS、HIPS)、WAF~
P は [P]revention 

--[[検知の仕組み>SC:対策技術 - 防御・侵入検知#kde3b72d]]

---シグネチャ型~
異常パターンとのパターン・マッチング

---アノマリ型~
正常パターンからの逸脱~
(誤検知が多く、検知品質向上のため、AIなどを使用することも)

---[[ヒューリスティック法>#q85283f5]]

***セキュア・コーディング系 [#u76b8a46]
-まさかの[[DLLインジェクション>SC:試験 - 午後 - パターン&プラクティス#q5f663ea]]。
-インジェクション・ベクタは、~
[[フィルタリング系>#f00456b7]]と関連が深い。

***情シス・マター系 [#q4093480]

-[[基礎~ISMS>#x294f47e]]

-[[デジタル・フォレンジック>高度午前 - 技術要素 - セキュリティ#q93872b0]]

--syslog~
Linuxのログ(UDP)

--コンピューター・フォレンジック~
デジタル・フォレンジックの小分野

-セキュリティ情報イベント管理(SIEM)

***その他 [#h276382b]

**その他 [#b2f3cb2e]
独自に抽出したモノ。

***[[権限系の原則>SC:試験 - 午後 - パターン&プラクティス#y7b462b0]] [#ab88f593]
-[[サンドボックス>#va3aa884]]
-[[最小権限の原則>SC:試験 - 午後 - パターン&プラクティス#l2289ec5]]
-[[職務分離の原則>SC:試験 - 午後 - パターン&プラクティス#hed58df1]]

***[[スプーフィング、スヌーピング>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#t1cce59d]] [#tcc6a4ef]

-スプーフィング
-スヌーピング

後者が、語源がパケット・スニッファのSniffer→Sniffと同じ。

***オープン・XXXX [#p84434bf]
第三者中継

-オープン・リレー(メールなど)

--基本的に、OP25Bで対応。

--通知で、
---エンベロープ Fromは、Return-Pathが問題になる事もある。
---故に、ヘッダ / エンベロープ Toのみ使用など。

-オープン・リゾルバ~
インターネットからの再帰クエリを受け付けるので以下に脆弱。
--DNSリフレクション
--DNSキャッシュ・ポイズニング

-オープン・リダイレクト(HTTP/HTTPS)

***[[ポイズニング(ARP、DNS、SEO)>SC:脅威#e6080590]] [#j483118d]
-ARPポイズニング
-DNSポイズニング
-SEOポイズニング

***[[認証付き暗号(MAC、AES)>https://techinfoofmicrosofttech.osscons.jp/index.php?%E6%9A%97%E5%8F%B7%E5%8C%96%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0#ub86b5f1]] [#v650b5bc]

-MAC

--CMAC
---ブロック暗号を用いたMAC
---元メッセージ+暗号化メッセージを送信し、~
受信側で元メッセージから暗号化メッセージを再計算して検証する。

--HMAC
---ハッシュ関数を用いたMAC~
≒ ざっくり、キーあり方式のハッシュ。
---元メッセージ+メッセージ・ダイジェストを送信し、~
受信側で元メッセージからメッセージ・ダイジェストを再計算して検証する。

-AES
--DESの後継
--ブロック暗号の一種
---ブロック長:128
---鍵長:128/198/256
---段数:10/12/14

--MACと対称暗号を組み合わせて、
---機密性(暗号)
---認証・正真性(MAC)

>  を満たす仕組み。

***[[証明書の種類(DV、OV、EV)>Lets’s Encrypt#i90c3d1c]] [#md7cf07d]
-DV(Domain Validation)
-OV(Organization Validation)
-EV(Extended Validation)

***[[証明書の失効(CRL、OCSP)>https://techinfoofmicrosofttech.osscons.jp/index.php?%E8%A8%BC%E6%98%8E%E6%9B%B8%E5%A4%B1%E5%8A%B9%E3%83%AA%E3%82%B9%E3%83%88%20%28CRL%29#e8bb8eb5]] [#m5539030]
-CRL([C]ertificate [R]evocation [L]ist)
-OCSP([O]nline [C]ertificate [S]tatus [P]rotocol)

***[[IPsec(ESP、AH)>SC:対策技術 - 暗号#s0486839]] [#ie0dbed9]
-動作モード
--トランスポート・モード
--トンネル・モード

-暗号化、メッセージ認証
--AH (Authentication Header) → 認証のみ。
--ESP (Encapsulated Security Payload) → 暗号化と認証

***[[RADIUS(PPP / EAP)>SC:対策技術 - 認証・アクセス制御#jdc6f78d]] [#g59e4c3b]
-認証を必要とするシステムに認証機能を提供する。
-[[IEEE 802.1Xの認証(PPP / EAP)で使用されている。>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#gff8331f]]

***Wi-Fi(EAP、WEP / WPA、WPS) [#n7184dcd]
-IEEE 802

--[[IEEE 802.11a/b/g/n>高度午前 - 技術要素 - ネットワーク#w4e9bb26]]~
多重アクセスと衝突回避方式

--WEP → IEEE 802.11i → WPA~
暗号化通信と、その脆弱性に対応するための通信規格

--[[IEEE 802.1X>高度午前 - 技術要素 - ネットワーク#w4e9bb26]]~
LAN接続時に使用する認証規格

---[[PPP / EAP>SC:対策技術 - 認証・アクセス制御#d42eee55]]~
PPP(ISP接続で使用)を強化したのがEAP(Wi-Fiの接続で使用)

-[[AP : Access Point>高度午前 - 技術要素 - ネットワーク#i1d45df7]]
--[[SSID>高度午前 - 技術要素 - ネットワーク#eb62b942]]
--暗号化
---[[WEP / WPA>高度午前 - 技術要素 - ネットワーク#e9d10f67]]、[[WPS>高度午前 - 技術要素 - ネットワーク#vf088c57]]~
・WEP :危殆化済~
・WPA :WEPを補強~
・WPA2:WPA後継でAESを使用~
・WPA3:WPA2のセキュリティ拡張~
・WPS :セットアップ技術~

---TKIP:Temporal Key Integrity Protocol~
WEPの脆弱性のため既存ハードウェアにも実装できる代替手段
--MACアドレス・フィルタリング

***[[耐タンパ(破壊 or 非破壊攻撃)>SC:脅威#we7b8cd8]] [#r1845e83]
-[[サイドチャネル攻撃>SC:脅威#f2c2a00a]]~
非破壊攻撃の一種。

--電磁波解析攻撃(テンペスト攻撃)
--音響解析攻撃
--電力解析攻撃
--故障利用攻撃(フォールト攻撃)
--タイミング攻撃
--キャッシュ攻撃
--プローブ解析
--スキャンベース攻撃
--, etc.

***フィルタリング(ポジティブ、ネガティブ)系 [#o6cb9de8]
-リスト
--ホワイト・リスト(ポジティブ・セキュリティ・モデル)
--ブラック・リスト(ネガティブ・セキュリティ・モデル)

-検知
--誤検知(フォールス・ポジティブ)
--見逃し(フォールス・ネガティブ)

-誤検知防止系
--FW:ステートフルなプロトコル分析
--WAF・IPD/IDS:ビヘイビア分析、アノマリ分析

***[[法制度、法人系の記号>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#v5773e7e]] [#pceed2c6]
-ISO/IEC 15408、CC、JISEC
-CERT/CC、JPCERT/CC、ISAC
-J-CSIP、J-CRAT
-FIPS140-2、JCMVP
-CRYPTREC

-[[脆弱性対策情報データベース>SC:脅威#h30259ad]]~
CVE、CWE、CVSS 識別子、JVN識別子

***[[過去問から>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#e06de1f7]] [#o6434a21]

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS