「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
詳細 †
情報セキュリティ †
シャドーIT †
IT部門などの管理下に無いITハード、ソフト、外部サービスなど。
情報セキュリティ管理 †
クラウドへのパッチ適用 †
NIST定義の組合せは以下の通り(OpenPaaSならできそうだが、古い?)。
- IaaS : パッチ適用可能
- PaaS : パッチ適用不可
- SaaS : パッチ適用不可
情報セキュリティ・リスク †
- ただし、情報セキュリティ・リスクなので、
基本的には好機は含まれない(脅威のみ)。
CPとBCPの違い †
- 共通項
企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、
事業資産の損害を最小限に止め、中核事業の継続・早期復旧を可能とする。
- BCP(Business Continuity Plan)
- 事業継続計画と言い、「事業継続」を目的としている。
- 事「前」に行っておくべきことを定めている。
- CP (Contingency Plan)
- 非常事態発生「後」の対応に焦点を当てる。
- 被害を最小限に抑えることを目的としている。
脆弱性情報データベース †
- CVE識別子
- CVE(Common Vulnerabilities and Exposures)識別子 = 共通脆弱性識別子
- 製品に含まれる脆弱性を識別するCVE-西暦年-4桁の通番で表される識別子。
- 米国政府の支援を受けた非営利団体のMITRE社が採番している。
- 脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用する。
- JVN識別子
- JVN(Japan Vulnerability Notes)識別子
- CVE識別子の日本版で、以下の組織が共同運営している。
- 情報処理推進機構(IPA)
- JPCERT コーディネーションセンター(JPCERT/CC)
サイバーレスキュー隊(J-CRAT) †
- サイバーレスキュー隊(J-CRAT:Cyber Rescue and Advice Team against targeted attack of Japan)
- IPAが経済産業省の協力のもと2014年7月16日に発足させた。
を支援する活動を行う。
ISMS(情報セキュリティマネジメントシステム) †
- 情報セキュリティの経営陣の方向性及び支持を規定。
(品質マネジメント・システムの情報セキュリティ版みたいな)
- 全社的な基本方針を定めるもので広く社内外に公開する。
- 詳細に踏み込まず、頻繁に変更しないが、
ビジネス環境や技術の変化に対応させる。
- 是正処置
不適合の発生源を除去し再発を防止。
PMBOKでも是正処置の対象は作業内容で、再発防止。
ISO/IEC 27001:2013、JIS Q 27001:2014 †
- ISMSの標準の中身は以下に規定されている。
- ISO/IEC 27001
- JIS Q 27001
- JISには、ISOを単純に翻訳したものも多く、ISO/IEC 27001に対応するのはJIS Q 27001
- ISO 27001の最新版がISO/IEC 27001:2013で、対応する日本語訳がJIS Q 27001:2014。
- 日本語訳の作業は、日本工業標準調査会(JISC)が行う。
その他、セキュリティ規格 †
- PMS (Personal information protection Management Systems)
- 個人情報保護マネジメントシステム
- ISOガイド72に基づき開発されたJIS Q 15001規格を用いてPMSを構築する。
- 個人情報保護法とJIS Q 15001では対象となる個人情報の定義に違いがあるらしい。
- PCI DSS (Payment Card Industry Data Security Standard)
- PCIデータセキュリティスタンダード
- クレジットカード情報および取り引き情報を保護するセキュリティ基準
- 2004年12月、クレジット業界で共同策定されたグローバルセキュリティ基準
- 国際ペイメントブランド5社(JCB・American Express・Discover・Master・VISA)
セキュリティ技術評価 †
コモンクライテリア (CC : Common Criteria) †
- コンピュータセキュリティのための国際規格(ISO/IEC 15408)
- IT製品・システムに対して、情報セキュリティを評価し認証する評価基準を定める。
- 正式名称
- Common Criteria for Information Technology Security Evaluation
- 情報技術セキュリティ評価のためのコモンクライテリア
FIPS140(FIPS PUB 140-2) †
- FIPS 140 (Federal Information Processing Standardization 140)
- 暗号モジュール(ハード&ソフト)に関する
セキュリティ要件の仕様を規定する米国連邦標準規格。
- FIPS(連邦情報処理標準)はNIST(米国国立標準技術研究所)が発行する。
- 2013年6月現在、規格の最新版は2001年5月25日発行のFIPS 140-2。
CVE、CWE、CVSS †
- CWE (Common Weakness Enumeration)
- 共通脆弱性タイプ一覧
- 脆弱性の種類を定義している。
- 例えば以下の様な脆弱性タイプがある。
- CWE-78:OSコマンド・インジェクション
- CWE-79:クロスサイト・スクリプティング(XSS)
- CWE-89:SQLインジェクション
- CVSS (Common Vulnerability Scoring System)
- 共通脆弱性評価システム
- 脆弱性の深刻度をスコア表記で評価する。
その他、評価・認証制度 †
評価・認証機関は、国別に存在するのが慣例らしい。
- ISMSの認証@日本
- JIPDECが認証機関を運営している
- 一般財団法人日本情報経済社会推進協会
- JIPDEC : Japan Institute for Promotion of Digital Economy and Community
- 名称 : ISMS適合性評価制度
- FIPS140(FIPS PUB 140-2)の認証@日本
- IPAが認証機関を運営している
- FIPS 140-2 が主要な提供文書となっている規格に ISO/IEC 19790:2006 があり、
- この ISO/IEC 19790:2006 を基に作成された X 19790:2007 の認証を行う。
- 名称
- 暗号モジュール試験及び認証制度
- JCMVP : Japan Cryptographic Module Validation Program
- Wi-Fi Alliance
Wi-Fi Protected Access(WPA)
- FIDO Alliance
FIDO Certified
- OpenID Foundation
OpenID Certified
情報セキュリティ対策 †
ウィルス検出手法 †
- コンペア法(比較法)
ウイルスの感染が疑わしい対象(検査対象)と
安全な場所に保管してあるその対象の原本を比較
- 保証情報を付加する方法
検査対象に対して別途ウイルスではないことを保証する情報を付加する方法
- パターンマッチング法
- 未知のウィルスに対応できない。
- 所謂一つのウィルス定義ファイルを用いた方法。
- ヒューリスティック法
- ウイルスのとるであろう動作を事前に登録
- 検査対象コードに含まれる一連の動作と比較して検出する
- 「動作の特徴コード」を検出に用いているかどうかが分類の尺度。
- ビヘイビア法
- 未知のウィルスにも対応できる。
- 異常動作や環境変化を監視することによって検出する。
異常動作:書き込み、複製
環境変化:例外ポート、不完パケット、通信メトリック異常
- ウイルス検出技術の発展
以下の2つの流れがある。
- 単純なコンペア法から、チェックサム法・インテグリティチェック法。
- パターンマッチング法からヒューリスティック法、ビヘイビア法。
DNSサーバの設定 †
- SOAレコードのシリアル番号はDNS設定内の更新を識別できる。
- ポイゾニング攻撃のリスク低減
- DNSキャッシュ時間を短くする。
- DNSの返すIP・ホスト名の組合せをサーバ証明書で検証する。
- ゾーン転送先のサーバを制限する。
- 管理情報 (サーバ名や IP アドレス等)が漏洩しないようにする。
- コレらが外部に流出することで、組織のサーバやネットワーク構成を推測され、
セキュリティに対する、潜在的な脅威の増加につながる可能性がある。
- キャッシュサーバをインターネットアクセスさせない。
DNS amp攻撃と言うDoS攻撃の踏み台にならないようにする。
無線LAN †
- WEP
基本的に対応するパスワードでガードされている。
セキュリティ実装技術 †
IPスプーフィング