「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
SCでの脆弱性は、
- 英語では、
- Vulnerability
- 俗に、Security Hole
用語 †
リスク (risk) †
- 目的に対する不確かさの影響で、好機と脅威がある。
- SCでは、好機ではなく、脆弱性に起因する脅威
※ PMP:リスク・マネジメント
脅威 (threat) †
情報資産や組織に損害を与える可能性がある、
脆弱性に起因する望ましくないインシデントの潜在的な原因
情報資産 †
- 脅威に晒される主な対象。
- 脆弱性を持っている可能性がある。
管理策(control) †
- リスク (risk)(脅威)を修正する対策のこと
- しかし、同様に脆弱性を持っている可能性がある。
- コレを導き出すのがリスク・アセスメント
インシデント (incident) †
具現化した脅威、若しくは、その確率。
- 又は予期しない単独若しくは一連の情報セキュリティ事象であって、
事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。
脆弱性の †
種類と具体例 †
# | 種類 | 具体例 |
# | 設備面 | ・構造上の欠陥 ・メンテナンス不備 ・入退館設備の不備 |
# | 技術面 | ・ネットワーク構成上の欠陥 ・ソフトウェアのバグ ・アクセス制御システムの不備 ・設定ミス、安易なパスワード ・ウィルス対策の不備 |
# | 管理面 | ・方針、既定の不備 ・機器、外部記憶媒体の不備 ・教育、マニュアルの不備 ・インシデント対応計画の不備 ・監視体制、監査の不備 |
リスク (risk)的に捉え...。
情報資産の脆弱性に起因するリスク (risk)(脅威)の
顕在化 / 具現化がインシデント (incident) / 損失
詳細(技術的) †
ネットワーク †
脆弱性 †
「機密性、完全性」、「可用性」に分かれる。
- 接続口の問題
- リピータハブの利用(盗聴可能)
- 必要以上に多いアクセス・ポイント
- 誰でも接続可能なスイッチの放置
- 処理性能
- 機器の処理能力、負荷分散
- ネットワーク帯域幅、負荷分散
- 制限
- インターネット接続口の帯域制御
- ネットワーク、サブネット分割
(ブロードキャスト制限)
対策 †
マップが難しいが、
- ネットワーク、サブネット分割
- アクセス制御(機密性、完全性)
- ブロードキャスト制限(可用性)
- ハブの
- スイッチ化(機密性、完全性、可用性)
- 物理ポートのロック(機密性、完全性)
- 各種可用性の向上(可用性)
- 冗長化
- 負荷分散
- 帯域制限
- 帯域確保
- キャパシティ・プランニング
脆弱性 †
対策 †
- SSH / TLS (SSL) / IPsecなどの導入
による暗号化(何れもVPNで利用される)
- 他の脆弱性については、TCP, UDPの
セッション層の仕様の問題なので、
上位プロトコル側での対応が必要になる。
電子メール †
SMTP脆弱性 †
オリジナルのSMTPが脆弱
- 非常に簡素な仕組み。
- 実際にはMSAの機能は無く、
- MTAは、MUA・MTAを区別しない。
- すべて、25番ポートで処理する。
- 認証の機構を持たないため、
第三者中継(オープン・リレー)が可能で、
スパマーの踏み台として機能し得る。
- 様々なスパム・メールを送信する。
- 結果として、ブラックリストに登録されてしまう。
POP3脆弱性 †
対策 †
主に、スパムメール対策
- OP25B (Outbound Port 25 Blocking)
- ISPメールサーバを経由していないアウトバウンドTCP 25番ポートの通信を遮断
- 第三者中継(オープン・リレー)対策後の、ボットなどによる直接送信を防止する。
- MTA
各種、中継処理に対する制限(ホワイトリストやブラックリストを利用)
- ブラックリストに含まれるMTAからの通信を遮断
- ホワイトリストに含まれないMTAからの通信を遮断
- 逆引きが出来ないMTAからの通信を遮断
- 第三者中継(オープン・リレー)を許可しているMTAからの通信を遮断
- SPF、Sender IDを使用して検証されないMTA(ドメイン)からの通信を遮断
- 経路の暗号化も可能
STARTTLS (25 → 587)
SMTP over SSL/TLS (25 → 465)
- スパムメールと思われる通信を遮断
シグネチャが該当する通信を遮断(シグネチャ・マッチング)
学習した特徴に該当する通信を遮断(ベイジアン・フィルタリング)
- クレデンシャルと経路の暗号化
POP3 → APOP (クレデンシャル)
POP3 → STARTTLS (110 → 110) (経路)
POP3 → POP3 over SSL/TLS (110 → 995) (経路)
SSHポート・フォワーディング (110 → 22) (クレデンシャルと経路)
- 構成
- MTAの脆弱性対策
- 最新バージョン、パッチ適用
- VRFY、EXPNコマンドの無効化
- ウィルス対策ソフトの導入
- MTAの構成
- 社内向けはイントラネット上に配置
- 社外向けはDMZ上に配置
- 経路
- 送信:社内向けMTA → 社外向けMTA → ISPのMTA
- 受信:ISPのMTA → 社外向けMTA →★→ 社内向けMTA
★に「メール検査型サンドボックス」を配置する。
DNS †
脅威にも書いたけど。
脆弱性 †
- ゾーン転送によって情報が抜かれる。
- 管理情報 (サーバ名や IP アドレス等)が漏洩、悪用される。
- コレらが外部に流出することで、組織のサーバやネットワーク構成を推測され、
セキュリティに対する、潜在的な脅威の増加につながる可能性がある。
対策 †
- ゾーン転送先のサーバを制限する。
- 外部DNSと内部DNSに分割し、外部DNSには内部のソーン情報を登録しない。
- インターネットからのゾーン転送要求をフィルタリングする。
- セカンダリDNSからのゾーン転送要求のみ許可するように設定する。
- DNSポイズニングのリスク低減
- DNSキャッシュ時間を短くする。
- ソースポートのランダマイゼーション
- DNSSEC (DNS Security Extensions)の導入
- キャッシュサーバをインターネットからアクセスさせない。
DNS amp攻撃と言うDoS攻撃の踏み台にならないようにする。
- コンテンツ サーバとキャッシュ サーバを分割し、
- 外部キャッシュ サーバは内部コンテンツ サーバのクエリにのみ対応。
- 若しくは、クライアントと、問い合わせ数を制限する。
- DNSSEC (DNS Security Extensions)
ゾーン情報改竄、DNSポイズニングの防止
- ゾーン内のリソースレコードを、秘密鍵で署名し、電子署名を作成。
- また、コンテンツ サーバは電子署名付きの応答を返す。
- ゾーン・レコードの改ざん防止
- SOAレコードのシリアル番号はDNS設定内の更新を識別できる。
- RFC2845: DNSにおける秘密鍵のトランザクション認証(TSIG)
動的ゾーンを更新できる人を制限するために使用できる。
・更新要求が許可されているエンドポイントの特定と認証。
・共有秘密鍵と一方向ハッシュ関数を使用する。
- EDNS0対応
昨今、IPv6、DNSSEC、SPF、DKIMなどの普及によりDNSデータは拡大傾向で、
512以上のデータ送信を、TCPフォールバックでなく、UDPパケット拡張で対応。
HTTP、Webアプリ †
HTTP、Sessionの脆弱性、対策 †
サーバ設定・実装の脆弱性、対策 †
各種、技術的な脅威への対応。
- 乗っ取り対策
- 最新バージョン+パッチ適用
- バナーの非表示化(HTTPヘッダ)
- アクセス許可の設定
- 不要な機能、コマンドの無効化
- デフォルト・ページの配置とディレクトリ参照禁止
- HTTPメソッド(PUT、TRACE)
- エラーメッセージ送信機能の抑止
アプリ仕様・実装上の脆弱性、対策 †
各種、アプリケーション脆弱性への対応