「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>SC:試験]] *目次 [#tcc99821] #contents *概要 [#kd2fcb9e] SCでの脆弱性は、 -安全性上の弱点 -英語では、 --Vulnerability --俗に、Security Hole -ISO 27000では、~ 一つ以上の[[脅威>#c1be2f95]]によって付け込まれる~ 可能性のある[[情報資産>#x0f16030]]または[[管理策(control)>#pa7e8d27]]の弱点 **用語 [#l9ba6f71] ***リスク (risk) [#ec5e51c6] -目的に対する不確かさの影響で、好機と脅威がある。 -SCでは、好機ではなく、脆弱性に起因する[[脅威>#c1be2f95]] ※ [[PMP:リスク・マネジメント>PMP:共通#oa93a230]] ***[[脅威>SC:脅威]] (threat) [#c1be2f95] [[情報資産>#x0f16030]]や組織に損害を与える可能性がある、~ 脆弱性に起因する望ましくないインシデントの潜在的な原因 ***情報資産 [#x0f16030] -[[脅威>#c1be2f95]]に晒される主な対象。 -脆弱性を持っている可能性がある。 ***管理策(control) [#pa7e8d27] -[[リスク (risk)>#ec5e51c6]]([[脅威>#c1be2f95]])を修正する対策のこと -しかし、同様に脆弱性を持っている可能性がある。 -コレを導き出すのがリスク・アセスメント ***インシデント (incident) [#wfbeada9] 具現化した[[脅威>#c1be2f95]]、若しくは、その確率。 -望まない単独若しくは一連の情報セキュリティ事象 -又は予期しない単独若しくは一連の情報セキュリティ事象であって、~ 事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。 **脆弱性の [#i4107a51] ***種類と具体例 [#v68374f1] |#|種類|具体例|h |#|設備面|・構造上の欠陥&br;・メンテナンス不備&br;・入退館設備の不備| |#|技術面|・ネットワーク構成上の欠陥&br;・ソフトウェアのバグ&br;・アクセス制御システムの不備&br;・設定ミス、安易なパスワード&br;・ウィルス対策の不備| |#|管理面|・方針、既定の不備&br;・機器、外部記憶媒体の不備&br;・教育、マニュアルの不備&br;・インシデント対応計画の不備&br;・監視体制、監査の不備| ***[[識別 / 評価>SC:脅威#h30259ad]] [#i2623c47] [[リスク (risk)>#ec5e51c6]]的に捉え...。 ***[[情報資産>#x0f16030]]、[[脅威>#c1be2f95]]との関係 [#hee94e71] [[情報資産>#x0f16030]]の脆弱性に起因する[[リスク (risk)>#ec5e51c6]]([[脅威>#c1be2f95]])の~ 顕在化 / 具現化が[[インシデント (incident)>#wfbeada9]] / 損失 *詳細(技術的) [#z15d61c2] **ネットワーク [#t558117c] ***脆弱性 [#r5b85e94] 「機密性、完全性」、「可用性」に分かれる。 -機密性、完全性の侵害 --ネットワーク、サブネット ---が分割されていない。 ---間のアクセス制御が無い。 --接続口の問題 ---リピータハブの利用(盗聴可能) ---必要以上に多いアクセス・ポイント ---誰でも接続可能なスイッチの放置 -可用性の低下 --処理性能 ---機器の処理能力、負荷分散 ---ネットワーク帯域幅、負荷分散 --冗長化 ---機器 ---ネットワーク --制限 ---インターネット接続口の帯域制御 ---ネットワーク、サブネット分割~ (ブロードキャスト制限) ***対策 [#p99a980e] マップが難しいが、 -ネットワーク、サブネット分割 --アクセス制御(機密性、完全性) --ブロードキャスト制限(可用性) -接続口(機密性、完全性) --無線LAN廃止 --セキュリティ対策強化 --ハブの ---スイッチ化(機密性、完全性、可用性) ---物理ポートのロック(機密性、完全性) --インターネット接続口の集約 ---フィルタ(機密性、完全性) ---帯域制御等(可用性) -各種可用性の向上(可用性) --冗長化 --負荷分散 --帯域制限 --帯域確保 --キャパシティ・プランニング **[[TCP, UDP>SC:基礎#ba939ce8]] [#ud64b850] ***脆弱性 [#xede3001] -仕様が公開されている(RFC)。 -[[IPスプーフィング>SC:脅威#dd7a47fd]]が可能 -暗号化機能が標準で実装されていない(IPv4)。 -[[DoS系>SC:脅威 - DoS攻撃]]に対する脆弱性がある。 -[[ポイズニング系>SC:脅威#e6080590]]に対する脆弱性がある(特にUDP)。 ***対策 [#f2b89ee2] -[[IPスプーフィング>SC:脅威#dd7a47fd]]対策として、逆引き+遮断 -SSH / TLS (SSL) / IPsecなどの導入~ による暗号化(何れも[[VPN>https://techinfoofmicrosofttech.osscons.jp/index.php?VPN]]で利用される) -その他の脆弱性については、~ [[TCP, UDP>SC:基礎#ba939ce8]]自体の仕様変更が必要なので、~ 上位プロトコル側での対応が必要になる。 **電子メール [#xfde9a7f] ***SMTP脆弱性 [#b77f7043] [[オリジナルのSMTPが脆弱>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB]] -非常に簡素な仕組み。 --実際にはMSAの機能は無く、 --MTAは、MUA・MTAを区別しない。 --すべて、25番ポートで処理する。 -平文であり --改竄が可能 --情報漏洩の可能性 -MTAに脆弱性がある可能性 --アカウント漏洩(VRFY、EXPNコマンドの脆弱性) --[[バッファ・オーバーフロー>SC:脅威#gc7d9e26]]の脆弱性 -認証の機構を持たないため、~ 第三者中継(オープン・リレー)が可能で、~ スパマーの踏み台として機能し得る。 --様々な[[スパム・メール>SC:脅威 - DoS攻撃#kfa1e5de]]を送信する。 --結果として、ブラックリストに登録されてしまう。 ***POP3脆弱性 [#jd5988a5] ***対策 [#f905bd89] 主に、スパムメール対策 -送信時 --OP25B (Outbound Port 25 Blocking)~ ---ISPメールサーバを経由していないアウトバウンドTCP 25番ポートの通信を遮断 ---第三者中継(オープン・リレー)対策後の、ボットなどによる直接送信を防止する。 --MUA ---[[Sender ID>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB#x22267ea]]アカウントを[[SMTP AUTH>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB#wa05ce37]]で認証~ -受信時 --MTA~ 各種、中継処理に対する制限(ホワイトリストやブラックリストを利用) ---ブラックリストに含まれるMTAからの通信を遮断 ---ホワイトリストに含まれないMTAからの通信を遮断 ---逆引きが出来ないMTAからの通信を遮断 ---第三者中継(オープン・リレー)を許可しているMTAからの通信を遮断 ---[[SPF、Sender ID>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB#z6363368]]を使用して検証されないMTA(ドメイン)からの通信を遮断 ---経路の暗号化も可能(over SSL) --MUA ---スパムメールと思われる通信を遮断~ シグネチャが該当する通信を遮断(シグネチャ・マッチング)~ 学習した特徴に該当する通信を遮断(ベイジアン・フィルタリング)~ ---経路の暗号化も可能(over POP、IMAP) -送受信時 --MUA ---[[S/MIME>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB#kdf1d7fa]]による署名と暗号化 -構成 --MTAの脆弱性対策 ---最新バージョン、パッチ適用 ---VRFY、EXPNコマンドの無効化 ---ウィルス対策ソフトの導入 --MTAの構成 ---社内向けはイントラネット上に配置 ---社外向けはDMZ上に配置 --経路 ---送信:社内向けMTA → 社外向けMTA → ISPのMTA ---受信:ISPのMTA → 社外向けMTA →★→ 社内向けMTA~ ★に「[[メール検査型サンドボックス>SC:脅威#b8dfbc98]]」を配置する。 **DNS [#f8137c18] ***脆弱性 [#fabff12d] ***対策 [#leeda16d] **HTTP [#qcc3c139] ***脆弱性 [#rdf0ad19] ***対策 [#g6fa9385] **Webアプリ [#m1ac06a2] ***HTTP Sessionの脆弱性、対策 [#o22440c5] ***設定・実装の脆弱性、対策 [#va1fe845] ***仕様・実装上の脆弱性、対策 [#hd8a0126]