高度午前 - 技術要素 - セキュリティ のバックアップ(No.12)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 高度午前 - 技術要素 - セキュリティ へ行く。
  • 1 (2019-05-04 (土) 15:41:52)
  • 2 (2019-05-18 (土) 19:42:41)
  • 3 (2019-06-08 (土) 17:52:36)
  • 4 (2019-06-09 (日) 21:13:04)
  • 5 (2019-06-10 (月) 21:08:29)
  • 6 (2019-06-14 (金) 21:16:05)
  • 7 (2019-06-15 (土) 15:09:03)
  • 8 (2019-06-15 (土) 16:59:58)
  • 9 (2019-08-06 (火) 20:40:43)
  • 10 (2019-08-12 (月) 13:22:41)
  • 11 (2019-08-12 (月) 16:57:36)
  • 12 (2019-08-16 (金) 14:49:35)
  • 13 (2019-08-18 (日) 17:40:25)
  • 14 (2019-08-20 (火) 21:15:10)
  • 15 (2019-10-27 (日) 15:00:31)
  • 16 (2019-11-03 (日) 20:39:51)
  • 17 (2019-11-04 (月) 19:41:16)
  • 18 (2019-12-03 (火) 20:45:41)
  • 19 (2020-01-11 (土) 19:17:01)
  • 20 (2020-01-26 (日) 19:31:04)
  • 21 (2020-08-25 (火) 22:07:25)
  • 22 (2020-09-25 (金) 02:45:46)

---

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

情報セキュリティ（高度：午前Ⅰ、午前Ⅱ）

詳細 †

情報セキュリティ †

各種攻撃手法 †

暗号・認証 †

シャドーIT †

IT部門などの管理下に無いITハード、ソフト、外部サービスなど。

情報セキュリティ管理 †

クラウドへのパッチ適用 †

NIST定義の組合せは以下の通り（OpenPaaSならできそうだが、古い？）。

• IaaS : パッチ適用可能
• PaaS : パッチ適用不可
• SaaS : パッチ適用不可

情報セキュリティ・リスク †

• PMPのリスクと大体同じ。

• ただし、情報セキュリティ・リスクなので、
  基本的には好機は含まれない（脅威のみ）。

• 当たり前だが、脆弱性とリスクは異なる。

CPとBCPの違い †

サイバー情報共有イニシアティブ †

脆弱性情報データベース †

サイバーレスキュー隊 †

（J-CRAT：Cyber Rescue and Advice Team against targeted attack of Japan）

• IPAが経済産業省の協力のもと2014年7月16日に発足させた。

• 標的型サイバー攻撃の被害拡大防止のため、

• 相談を受けた組織の被害の低減と
• 攻撃の連鎖の遮断

を支援する活動を行う。

ISMS、ISO/IEC 27000 シリーズ †

その他、セキュリティ規格 †

• PMS (Personal information protection Management Systems)
  • 個人情報保護マネジメントシステム
  • ISOガイド72に基づき開発されたJIS Q 15001規格を用いてPMSを構築する。
  • 個人情報保護法とJIS Q 15001では対象となる個人情報の定義に違いがあるらしい。

• PCI DSS (Payment Card Industry Data Security Standard)
  • PCIデータセキュリティスタンダード
  • クレジットカード情報および取り引き情報を保護するセキュリティ基準
  • 2004年12月、クレジット業界で共同策定されたグローバルセキュリティ基準
  • 国際ペイメントブランド5社（JCB・American Express・Discover・Master・VISA）

セキュリティ技術評価 †

コモンクライテリア (CC : Common Criteria) †

• コンピュータセキュリティのための国際規格（ISO/IEC 15408）
• IT製品・システムに対して、情報セキュリティを評価し認証する評価基準を定める。

• 正式名称
  • Common Criteria for Information Technology Security Evaluation
  • 情報技術セキュリティ評価のためのコモンクライテリア

FIPS140(FIPS PUB 140-2) †

• FIPS 140 (Federal Information Processing Standardization 140)

• 暗号モジュール（ハード＆ソフト）に関する
  セキュリティ要件の仕様を規定する米国連邦標準規格。

• FIPS（連邦情報処理標準）はNIST（米国国立標準技術研究所）が発行する。

• 2013年6月現在、規格の最新版は2001年5月25日発行のFIPS 140-2。

CVE、CWE、CVSS †

その他、評価・認証制度 †

評価・認証機関は、国別に存在するのが慣例らしい。

• ISMSの認証@日本

• コモンクライテリア (CC : Common Criteria)の認証@日本
  • IPAが認証機関を運営している
  • 名称
    • ITセキュリティ評価及び認証制度
    • JISEC : Japan Information Technology Security Evaluation and Certification Scheme

• FIPS140(FIPS PUB 140-2)の認証@日本
  • IPAが認証機関を運営している
  • FIPS 140-2 が主要な提供文書となっている規格に ISO/IEC 19790:2006 があり、
  • この ISO/IEC 19790:2006 を基に作成された X 19790：2007 の認証を行う。
  • 名称
    • 暗号モジュール試験及び認証制度
    • JCMVP : Japan Cryptographic Module Validation Program

• その他いろいろ書ききれない

• Wi-Fi Alliance
  Wi-Fi Protected Access（WPA）

• FIDO Alliance
  FIDO Certified

• OpenID Foundation
  OpenID Certified

情報セキュリティ対策 †

各種攻撃手法 †

無線LAN †

• SSID
  アクセスポイントを識別する名称

• WEP/WPA

• WEP (Wired Equivalent Privacy)
  • 共通鍵による暗号化を行う。
  • 後に容易に解読できることが判明したため廃れた。

• WPA (Wi-Fi Protected Access)
  これまでにWPA、WPA2、WPA3の3つのプログラム及びプロトコルが策定

• WPA-Personal
  個人宅や小規模の会社向けに設計されたパーソナルモード
  ユーザがすべて同じパスフレーズ（PSK）を使用し、認証サーバを必要としない。

• WPA-Enterprise
  ユーザ認証に従来のIEEE802.1Xを利用。RADIUSサーバが必要になる。
  

• 認証と暗号化

• EAP (Extensible Authentication Protocol)
  • 認証プロトコルを選択するプロトコル
  • データリンク層とAuthentication層の間に位置する。
  • LANにおけるユーザー認証の規格であるIEEE 802.1Xに採用されている。

• PSK (Pre-Shared Key)
  • 8 - 63文字の事前共有キーを使用して暗号化。
  • WPA-PSK/WPA2-PSK および TKIP または AESで使用される。

DNSサーバの設定 †

• SOAレコードのシリアル番号はDNS設定内の更新を識別できる。

• ポイゾニング攻撃のリスク低減
  • DNSキャッシュ時間を短くする。
  • DNSの返すIP・ホスト名の組合せをサーバ証明書で検証する。

• ゾーン転送先のサーバを制限する。
  • 管理情報 (サーバ名や IP アドレス等)が漏洩しないようにする。
  • コレらが外部に流出することで、組織のサーバやネットワーク構成を推測され、
    セキュリティに対する、潜在的な脅威の増加につながる可能性がある。

• キャッシュサーバをインターネットアクセスさせない。
  DNS amp攻撃と言うDoS攻撃の踏み台にならないようにする。

• DNSSEC (DNS Security Extensions)
  ドメイン登録情報にデジタル署名を付加することで、以下を保証する。
  • 正当な管理者によって生成された応答レコードであること
  • 応答レコードが改竄されていないこと

• RFC2845: DNSにおける秘密鍵のトランザクション認証(TSIG)
  • 更新要求が許可されているエンドポイントの特定と認証。
  • 共有秘密鍵と一方向ハッシュ関数を使用する。

SMTPサーバの設定 †

主に、スパムメール対策

• 送信メール

• OP25B (Outbound Port 25 Blocking)
  SMTPの転送処理を自ネットワーク内に閉じる。
  • spamメールやvirusメールの送信を抑制しようとする
  • 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断

• POP before SMTP
  POP3によるユーザ認証後にメール送信を許可する仕組み。

• 受信メール

• SMTPサーバ
  • DNSBL (DNS Blacklist)に含まれるSMTPサーバからの通信を遮断
  • 不正中継（第三者中継）を許可しているSMTPサーバからの通信を遮断
  • 逆引きが出来ないSMTPサーバからの通信を遮断
  • ホワイトリストに含まれないSMTPサーバからの通信を遮断
  • SPF (Sender Policy Framework)レコードを使用して送信ドメイン認証

• メール

• 認証が出来ないメールの通信を遮断
  SenderID (Resent-Sender, Resent-From, Sender, From)のアカウントを検証
  サブミッションポート（587）およびSMTP認証（SMTP AUTH）を使用してメール送信者を認証
  電子メールに付加されたデジタル署名をDNS上の公開鍵を使用して検証（S/MIME）
  

• スパムメールと思われる通信を遮断
  シグネチャが該当する通信を遮断（シグネチャ・マッチング）
  学習した特徴に該当する通信を遮断（ベイジアン・フィルタリング）
  

アプリケーション †

• デスクトップ

• サンドボックス
  外部から受け取ったプログラムを保護された領域で動作させることによって、
  システムが不正に操作されるのを防ぐセキュリティ機構のことをいう。

• Web/APサーバー

• WAF (Web Application Firewall)
  Webアプリケーションへの攻撃を監視・阻止する。

アンチウィルスソフト †

ウィルス検出手法により、ウィルスを検疫し、隔離、削除する。

デジタル・フォレンジック †

インシデントレスポンスの法的紛争・訴訟に際し、

• 電磁的記録の証拠保全及び調査・分析を行うとともに、
• 電磁的記録の改ざん・毀損等についての分析・情報収集等を行う

一連の科学的調査手法・技術

セキュリティ実装技術 †

SSL/TLS †

SSH/RDP †

VPN †

SSH / TLS (SSL) / IPsec / PPTP / L2TP / L2F / MPLSなどを使用。

DNS †

前述の

• DNSSEC (DNS Security Extensions)
• RFC2845: DNSにおける秘密鍵のトランザクション認証(TSIG)

メール †

前述の

• POP before SMTP
• SMTP AUTH
• SPF (Sender Policy Framework)
• S/MIME

AAAフレームワーク †

• AAAフレームワークの構成要素
  • 認証（Authentication）
  • 認可（Authorization）
  • アカウンティング（Accounting）

• 以下が提供すべき機能を表す。
  • RADIUS
  • DIAMETER（RADIUSの後継）

RADIUS †

RADIUS（Remote Authentication Dial In User Service）

• ネットワーク資源の利用の
  • 認証と、
  • 記録を、

ネットワーク上のサーバに一元化することを目的とした、IP上のプロトコル。

• 目的と利用
  • 元来は、ダイヤルアップ・インターネット接続サービスの実現を目的として開発
  • 昨今は、サービス提供者側設備で、認証と記録を実現するプロトコルとして幅広く利用。
    • 無線LAN、VLAN、
    • コンテンツ提供サービス
    • 常時接続方式のインターネット接続サービス

IDPS †

• パケットキャプチャにより侵入を検知、防止する。
  • 侵入検知システム (IDS : Intrusion Detection System)
  • 侵入防止システム (IPS : Intrusion prevention system)

• オープンソースのIDPS であるSnortの例
  • パケットキャプチャ部
    ネットワーク上を流れるパケットを収集する。
  • プリプロセッサ部
    キャプチャしたパケットを解析し易い形に正規化する。
  • 検知エンジン部
    正規化されたパケットを相関分析する。
  • アウトプットプロセッサ部
    パケットが攻撃だと判断された場合、管理者にアラートする。

ファイア・ウォール †

• ファイアウォールの方式

• ステートフル・インスペクション方式
  パケット・フィルタリングを拡張したもの。
  TCP/IP通信のセッション状態に適合したパケットのみ通過させる。

• トランスポート・ゲートウェイ方式
  特定のプロトコルのみを通過させる

• アプリケーション・ゲートウェイ方式
  アプリケーション・プロトコル毎にインストールし、通信を監視・阻止する。

• WAF (Web Application Firewall) Webアプリケーションへの攻撃を監視・阻止する。

• 通過させない通信を登録するブラックリスト方式
• 通過させる通信を登録するホワイトリスト方式

• パーソナル・ファイアウォール
  ブラウザのローカル・プロキシとして動作し送信を監視。

アプリケーション †

• アプリケーションへの攻撃

• OSコマンド・インジェクション
  • ユーザ入力をもっていかない。
  • ディレクトリ・トラバーサル攻撃などが起きないように入力をチェックする。

• SQLインジェクション
  バインド機構、静的プレースホルダの利用
  （プリペアド・ステートメント、パラメタライズド・クエリ）

• HTTPヘッダ・インジェクション
  • ユーザ入力をもっていかない。
  • 問題が起きないように入力をチェックする。

• XSS（JavaScriptのインジェクション）
  サニタイジングを実施しJavaScriptが
  インジェクションされても動作しないようにする。

• CSRF(XSRF)
  単純なGET, POST一本で機能が動かないようにする。

• セッション・ハイジャック
  
  • セッションIDを推測されないようにしたり、
  • 認証前にセッションIDを割り当てないようにしたり

する。

ウィルス検出手法 †

• バイナリを調べる方法

• コンペア法（比較法）
  ウイルスの感染が疑わしい対象(検査対象)と
  安全な場所に保管してあるその対象の原本を比較

• 保証情報を付加する方法
  検査対象に対して別途ウイルスではないことを保証する情報を付加する方法

• チェックサム法 チェックサムを確認する

• インテグリティ法 デジタル署名を確認する。

• パターンマッチング法
  • 未知のウィルスに対応できない。
  • 所謂一つのウィルス定義ファイルを用いた方法。

• 動作を調べる方法

• ヒューリスティック法
  • ウイルスのとるであろう動作を事前に登録
  • 検査対象コードに含まれる一連の動作と比較して検出する
  • 「動作の特徴コード」を検出に用いているかどうかが分類の尺度。

• ビヘイビア法
  • 未知のウィルスにも対応できる。
  • 異常動作や環境変化を監視することによって検出する。
    異常動作：書き込み、複製
    環境変化：例外ポート、不完パケット、通信メトリック異常

• ウイルス検出技術の発展
  以下の２つの流れがある。
  • 単純なコンペア法から、チェックサム法・インテグリティチェック法。
  • パターンマッチング法からヒューリスティック法、ビヘイビア法。

• 参考
  • 情報処理推進機構：情報セキュリティ：未知ウイルス検出技術に関する調査
    https://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf

ダークネット †

未使用＆到達可能なIPアドレスの活動状況を観測用センサで観測し、
不正アクセスの手口や、マルウェア活動状況を調査する。

     

Site admin: TechInfoOfMicrosoftTech

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.056 sec.