- 追加された行はこの色です。
- 削除された行はこの色です。
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>SC:対策技術]]
*目次 [#n4ddcc1c]
#contents
*概要 [#p5eec001]
**防御 [#rd849032]
-トラステッドOS
-ホスト要塞化
-サンドボックス
-脆弱性検査
-[[ホスト要塞化>#me0fefb9]]
-[[脆弱性検査>#qa18e76a]]
-[[トラステッドOS>#hba7d5c1]]
**侵入検知 [#tdb9a347]
-F/W、WAF
-[[F/W>#u4a95bac]]、[[WAF>#zf42c05a]]
-IDS(不正侵入検知システム)
-[[IDS(不正侵入検知システム)>#f6597824]]
--NIDS(ネットワーク不正侵入検知システム)
--HIDS(ホスト不正侵入検知システム)
-IPS(不正侵入防止システム)
-[[IPS(不正侵入防止システム)>#z4d70a5e]]
-[[サンドボックス>#yc7360b1]]
*詳細 [#cf26644c]
**防御 [#d7c0ca24]
***ホスト要塞化 [#me0fefb9]
-サーバーの[[脆弱性>SC:脆弱性]]を塞ぐ。
-実施項目
--パーティション分割
---OS
---プログラム
---データ
---ログ
--セキュアなファイルシステム
---アクセス制御
---暗号化
--OSインストール
---最新版
---パッチ適用
--アカウントと権限
---コンピューターに必要なアカウントのみ追加
---リソースに必要なアカウント / 権限のみ追加
---不要なアカウント / 権限の削除
---不要なリソースの削除
--デフォルト・ロックダウンからの、
---必要なサービスの有効化(最新版)
---必要なソフトウェアの追加(最新版)
---サービス/ ソフトウェアのバージョンアップ
---サービス/ ソフトウェアへパッチ適用
>※ 必要に応じて不要なサービスを停止する。
--各種ポリシ設定~
(グループポリシーなどで設定)
---パスワードポリシ~
「文字数 / 文字種、ロックダウン回数、パスワードの定期変更」の指定~
「初期値、ユーザIDと同じ、辞書とパスワード辞書、名前、生年月日」の拒否
---監査ログのポリシ
---, etc.
***脆弱性検査 [#qa18e76a]
-ソフトウェア内部の脆弱性(パッチが未提供のもの)
-検査手法
--ホワイト・ボックス
--ブラック・ボックス(通常コチラ)~
以下の様な呼称もある
---セキュリティ・スキャン
---セキュリティ・ホール検査
---侵入検査、ペネストレーション・テスト
---ファジング(予測不可能な入力データを与える)
-対象
--OS、ミドル
--Webアプリケーション
-比較
|#|>|項目|OS、ミドル|Webアプリケーション|h
|1|>|検査対象|インストールしたソフトの[[脆弱性>SC:脆弱性]]&br;サーバ設定の[[脆弱性>SC:脆弱性]]|開発したアプリケーションのソースコードの[[脆弱性>SC:脆弱性]]|
|2|>|検査項目|OS、ミドルの[[脆弱性>SC:脆弱性]]|開発したアプリケーションの[[脆弱性>SC:脆弱性]]|
|3|>|実施時期|新規構築時、設定変更時、定期的|ページ / アプリケーションの追加 / 稼働前|
|4|実施時期|ホワイト・ボックス|設計書レビュー|ソースコード・レビュー|
|~|~|ブラック・ボックス|人手での侵入テスト&br;ツールによるスキャン、結果分析|人手でのインジェクション・テスト&br;ツールによるスキャン、結果分析|
***トラステッドOS [#hba7d5c1]
-トラステッドOS
--ISO/IEC 15408などに基づいて~
通常のOSとは仕組みを変え、~
セキュリティを強化したOS。~
軍用システムで用いられる。
--CC内で規定されたセキュリティ機能要件を実装したものを指す。
---強制アクセス制御(MAC)
---特権制御(通常は最小権限)、
---ファイルやプロセス等にラベルを付与し~
情報の機密度などを設定できる機能
---, etc.
-規格
--ISO/IEC 15408~
米国防総省のTCSEC(Trusted Computer System Evaluation Criteria)~
などを元に策定されたCommon Criteria(CC)と呼ばれる評価基準を定めている。
--Common Criteria(CC)の主要な概念
---プロテクションプロファイル (PP, Protection Profile)~
セキュリティ要件(要求仕様)を特定する文書(利用者が書く)。
---セキュリティターゲット (ST, Security Target)~
製品のセキュリティ性能を特定する文書(利用者が書く)。~
製品を評価・認証するための基礎として使用する。
---評価対象 (TOE, Target Of Evaluation)~
簡単に言えば、ST にセキュリティ主張が記述された製品。
---セキュリティ機能要件 (SFR, Security Functional Requirements)~
製品が提供する個々のセキュリティ機能を規定する条文。~
標準カタログとして PP や、ST を書くときに使用する。
---セキュリティ保証要件 (SAR, Security Assurance Requirements)~
セキュリティ機能性の主張に製品が準拠していることを保証するために、~
製品開発の間にとられる施策を規定する条文。
---評価保証レベル (EAL, Evaluation Assurance Level)~
製品の開発過程全般をカバーする保証要件のパッケージ、7段階の厳格さに対応する。
**侵入検知 [#m1687fd6]
***ファイアウォール(F/W) [#u4a95bac]
***IDS(不正侵入検知システム) [#f6597824]
***IPS(不正侵入防止システム) [#z4d70a5e]
***Webアプリケーション・ファイアウォール(WAF) [#zf42c05a]
***サンドボックス [#yc7360b1]