「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>SC:対策技術]]

*目次 [#n4ddcc1c]
#contents

*概要 [#p5eec001]

**防御 [#rd849032]
-[[ホスト要塞化>#me0fefb9]]
-[[脆弱性検査>#qa18e76a]]
-[[トラステッドOS>#hba7d5c1]]

**侵入検知 [#tdb9a347]
-[[F/W>#u4a95bac]]、[[WAF>#zf42c05a]]

-[[IDS(不正侵入検知システム)>#f6597824]]
-[[IPS(不正侵入防止システム)>#z4d70a5e]]

-[[サンドボックス>#yc7360b1]]

*詳細 [#cf26644c]

**防御 [#d7c0ca24]

***ホスト要塞化 [#me0fefb9]
-サーバーの[[脆弱性>SC:脆弱性]]を塞ぐ。

-実施項目

--パーティション分割
---OS
---プログラム
---データ
---ログ

--セキュアなファイルシステム
---アクセス制御
---暗号化

--OSインストール
---最新版
---パッチ適用

--アカウントと権限
---コンピューターに必要なアカウントのみ追加
---リソースに必要なアカウント / 権限のみ追加
---不要なアカウント / 権限の削除
---不要なリソースの削除

--デフォルト・ロックダウンからの、
---必要なサービスの有効化(最新版)
---必要なソフトウェアの追加(最新版)
---サービス/ ソフトウェアのバージョンアップ
---サービス/ ソフトウェアへパッチ適用

>※ 必要に応じて不要なサービスを停止する。

--各種ポリシ設定~
(グループポリシーなどで設定)

---監査ログのポリシ

---パスワードポリシ~
「文字数 / 文字種、ロックダウン回数、パスワードの定期変更」の指定~
「初期値、ユーザIDと同じ、辞書とパスワード辞書、名前、生年月日」の拒否

---, etc.

***脆弱性検査 [#qa18e76a]
-ソフトウェア内部の脆弱性(パッチが未提供のもの)
--OS、ミドル
--Webアプリケーション

-検査の手法
--ホワイト・ボックス
--ブラック・ボックス(通常コチラ)~
以下の様な呼称もある
---セキュリティ・スキャン
---セキュリティ・ホール検査
---侵入検査、ペネストレーション・テスト
---ファジング(予測不可能な入力データを与える)

-検査の手段

--手動
---ツールでは検出困難な検査が出来る。

--自動(ツール)
---検出能力に限界がある。
---複数の脆弱性を組み合わせた攻撃などは検出できない。
---検査結果の分析とサイトに合った対策などは人手が必要。

-比較
|#|>|項目|OS、ミドル|Webアプリケーション|h
|1|>|検査対象|インストールしたソフトの[[脆弱性>SC:脆弱性]]&br;サーバ設定の[[脆弱性>SC:脆弱性]]|開発したアプリケーションのソースコードの[[脆弱性>SC:脆弱性]]|
|2|>|検査項目|OS、ミドルの[[脆弱性>SC:脆弱性]]|開発したアプリケーションの[[脆弱性>SC:脆弱性]]|
|3|>|実施時期|新規構築時、設定変更時、定期的|ページ / アプリケーション の 追加時 / 稼働前|
|4|実施方法|ホワイト・ボックス|設計書レビュー|ソースコード・レビュー|
|~|~|ブラック・ボックス|人手での侵入・攻撃テスト&br;ツールによるスキャン、結果分析|人手での各種インジェクション・テスト&br;ツールによるスキャン、結果分析|
|5|>|対処方法|バージョンアップ、パッチ適用、定期的検査|修正、類似見直し、再発防止|

***トラステッドOS [#hba7d5c1]
-トラステッドOS
--軍用システムで用いられる。
--「TCSEC」の「B Division」に定義されている規約を満たす。
--Common Criteria(CC)内で規定されたセキュリティ機能要件を実装する。

--システムの設定方法や扱いが非常に難しく、大変に高価

-セキュアOS
--Trusted OSの高度なセキュリティ機能を実装しながら、~
民間にも導入しやすいようにいろいろな工夫を施したOS。
--Trusted OSの豊富なセキュリティ機能から、~
民間市場が要求する機能だけを実装するように開発。

-SELinux (Security-Enhanced Linux)
--トラステッドOSではなく、セキュアOS
--Linuxディストリビューションではない。
--Linuxに強制アクセス制御 (MAC) 機能を付加するモジュール
--アメリカ国家安全保障局 (NSA) がGPL下で提供している。
-- Linux(UNIX)は、~
root が乗っ取られると、システム全体に致命的な被害を及ぼす。~
そのため、以下の仕組みを導入し、rootに権限が集中することを防いでいる。
---Flaskアーキテクチャ(セキュリティーサーバーとアクセスベクターキャッシュ)
---HTTP、FTPといったプロセスごとにアクセス制限をかける Type Enforcement(TE)
---rootも含む全てのユーザに関して制限をかけるロールベースアクセス(RBAC)

-規格
--ISO/IEC 15408~
米国防総省のTCSEC(Trusted Computer System Evaluation Criteria)など~
TCSEC(Trusted Computer System Evaluation Criteria)など~
を元に策定されたCommon Criteria(CC)と呼ばれる評価基準を定めている。

--TCSEC(Trusted Computer System Evaluation Criteria)
---米国国防総省のNCSCによって1983年に策定されたセキュリティ評価基準
---コンピュータシステムの信頼性を図るための指標として用いられている。
---A1 - D の division、classに分類されたセキュリティ要求レベル
---レインボーシリーズ : 技術的文書とポリシー文書のセット

--Common Criteria(CC)の主要な概念

---プロテクションプロファイル (PP, Protection Profile)~
セキュリティ要件(要求仕様)を特定する文書(利用者が書く)。

---セキュリティターゲット (ST, Security Target)~
製品のセキュリティ性能を特定する文書(利用者が書く)。~
製品を評価・認証するための基礎として使用する。

---評価対象 (TOE, Target Of Evaluation)~
簡単に言えば、ST にセキュリティ主張が記述された製品。

---セキュリティ機能要件 (SFR, Security Functional Requirements)~
製品が提供する個々のセキュリティ機能を規定する条文。~
標準カタログとして PP や、ST を書くときに使用する。

---セキュリティ保証要件 (SAR, Security Assurance Requirements)~
セキュリティ機能性の主張に製品が準拠していることを保証するために、~
製品開発の間にとられる施策を規定する条文。

---評価保証レベル (EAL, Evaluation Assurance Level)~
製品の開発過程全般をカバーする保証要件のパッケージ、7段階の厳格さに対応する。

**侵入検知 [#m1687fd6]
|#|>|種類|特徴|h
|1|>|ファイアウォール(F/W)|TCP/IP以下のレイヤでパケット・フィルタリング|
|2|>|IDS(不正侵入検知システム)|各種、侵入や攻撃を検知|
|2|-1|NIDS(ネットワーク不正侵入検知システム)|パケット・キャプチャでネットワーク上の...|
|2|-2|HIDS(ホスト不正侵入検知システム)|ホストに常駐して、ホストへの...|
|3|>|IPS(不正侵入防止システム)|IDSに防御機能を追加|
|3|-1|NIPS(ネットワーク不正侵入防止システム)|通信を遮断するためのインライン構成をとる。|
|3|-2|HIPS(ホスト不正侵入防止システム)|パーソナル・ファイアウォール的な機能を持つ|
|4|>|Webアプリケーション・ファイアウォール(WAF)|L7スイッチ的に、リクエストの中を解析して、インジェクション攻撃などを検知する。&br;Arrayシリーズなどの統合アプライアンスに機能追加したようなタイプのものもある。|
|2|>|Webアプリケーション・ファイアウォール(WAF)|L7スイッチ的に、リクエストの中を解析して、インジェクション攻撃などを検知する。&br;Arrayシリーズなどの統合アプライアンスに機能追加したようなタイプのものもある。|
|3|>|IDS(不正侵入検知システム)|各種、侵入や攻撃を検知|
|~|-1|NIDS(ネットワーク不正侵入検知システム)|パケット・キャプチャでネットワーク上の...|
|~|-2|HIDS(ホスト不正侵入検知システム)|ホストに常駐して、ホストへの...|
|4|>|IPS(不正侵入防止システム)|IDSに防御機能を追加|
|~|-1|NIPS(ネットワーク不正侵入防止システム)|通信を遮断するためのインライン構成をとる。|
|~|-2|HIPS(ホスト不正侵入防止システム)|パーソナル・ファイアウォール的な機能を持つ|
|5|>|サンドボックス|サンドボックス上で[[ヒューリスティック法>SC:脅威#tec2b3cd]]でウィルスを検知する。|

***ファイアウォール(F/W) [#u4a95bac]
-もともとはインバウンドのパケット・フィルタリング機能
-最近はアウトバウンドのパケット・フィルタリングも行う。
-ルータや、OS、IPSなどに付属している。
-ルータや、OS(パーソナル・ファイアウォール)などに付属している。

-機能
--パケット・フィルタリング~
(スタティック・パケット・フィルタ型)~
以下は設定項目(ACL : アクセス制御リスト)
---No(優先順位)
---方向 : in, out
---srcアドレス, srcポート~
srcポートにwell-knownを使うFTP(PASV)などがある。
---dstアドレス, dstポート~
dstポートは、基本的にwell-knownになる。
---プロトコル : TCP, UDP, ICMP~
トランスポート層までのプロトコル
---ACK : ON or Active OpenのNo.2のみ通す。
---Action : accept, drop(deny), reject

--アプリケーション・ゲートウェイ~
(アプリケーション・ゲートウェイ型)~
(アプリケーション・プロキシ型)~
>詳しくは「[[Webアプリケーション・ファイアウォール(WAF)>#zf42c05a]]」を参照

-[[構成例>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%81%AE%E5%9F%BA%E7%A4%8E%E7%B7%A8#e1cd1ba4]]

--BBルータ的な構成

--非武装セグメント(DMZ)

---「ノーガード」~
外部公開サーバが野晒

---「三脚境界」~
外部公開サーバに必要な通信だけルーティング

---「2台のF/Wに挟まれた」
---「2台のF/Wに挟まれた」~
三脚境界はF/Wが1台だが、F/Wを2台にすることで、~
異なるベンダのF/Wにできるのでセキュリティが強化される。

---「レベルによって分割された」
---「レベルによって分割された」~
「4~脚境界」はレベルに応じた設定が可能。

--, etc.
***Webアプリケーション・ファイアウォール(WAF) [#zf42c05a]
-種類

--サーキットレベル・ゲートウェイ型~
L4スイッチ的に動作する。
---クライアントを認証し、TCP/IPのコネクションを確立して転送する。
---ペイロードをチェックしないが、UDPを対象にできる。
---クライアント・プログラムが、SOCKS拡張に対応している必要がある。~
(SOCKS は、サーキットレベル・ゲートウェイのデファクトスタンダード)

--アプリケーション・ゲートウェイ型~
L7スイッチ的に動作する。
---クライアントとTCP/IPのコネクションを確立、
---TCP/IPストリームのペイロードをチェックして、
---対象プロトコルのコマンドやメソッドなどをフィルタする。
---TCP、UDP、または ICMP リクエストは処理対象ではないものが多い。

-フィルタリング機能が高機能であるため、
--結果的にACLが設定し易い。
--ACLの設定ミスも発生し難い。

***IDS(不正侵入検知システム) [#f6597824]

***IPS(不正侵入防止システム) [#z4d70a5e]

***Webアプリケーション・ファイアウォール(WAF) [#zf42c05a]

***サンドボックス [#yc7360b1]
トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS