「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>SC:試験 - 午後 - 情報処理安全確保支援士の過去問]] *目次 [#hb300cb1] #contents *概要 [#o78867c4] 午後は手書きが必要なので、改めて復習。 *詳細 [#i21726c1] **基礎 [#x294f47e] ***[[セキュリティ>SC:基礎#z5a619d6]] [#f73b37ce] -BCP(Business Continuity Plan)、~ BCM(Business Continuity Management)、 -CP (Contingency Plan) -DR (Disaster Recovery) ***[[情報セキュリティの7大要素>SC:基礎#ta2bca33]] [#z0ecc2c5] 情報セキュリティの7大要素 -基本 --機密性 (confidentiality)~ 基本中の基本 --完全性 (integrity) ---公共的なシステムで重要になる。 ---情報が正確である(≒全て揃っていて欠損や不整合が無い)こと。 --可用性 (availability) ---公共的なシステムで重要になる。 ---常時稼働、24時間365日稼働など。 -付加~ さらに、デジタル・フォレンジック的要素 --真正性 (authenticity) --信頼性 (reliability) --責任追跡性 (accountability) --否認防止 (non-repudiation) ***情報セキュリティ対策の機能 [#c75f4565] -予防 --抑止・抑制 --予防・防止 -検知 --検知・追跡 --回復 ***物理的 or 論理的セキュリティ [#r10a0250] -物理的セキュリティ --耐震、防火、電源、回線、入退館 --全体的に可用性への対応に近い。 --あとは、人的、物理的攻撃への対応。 -論理的セキュリティ --物理的セキュリティを除くほか全て。 --以下の3つに分類できる。 ---管理的セキュリティ(運用管理) ---人的セキュリティ(教育・訓練・懲戒) ---システム的セキュリティ(技術) ※ 人的は両方に含まれる。 ***[[情報セキュリティ・マネジメント・システム(ISMS)>SC#u50c1881]] [#a1060471] -ISMS --情報セキュリティ・マネジメント・システム --Information Security Management System -ISO/IEC 27000 / JIS Q 27000 シリーズ~ ISMSの標準(手順) --ISO/IEC 27000:2013、JIS Q 27000:2014~ 基本用語集 --ISO/IEC 27001:2013、JIS Q 27001:2014~ 要求事項 --ISO/IEC 27002:2013、JIS Q 27002:2014~ 実践規範 --ISO/IEC 2700X:201X~ その他、色々。 **某書チェック・シート [#vfd2c8a4] ***経路系 [#ab3cd34f] ***分離系 [#va3aa884] -[[デスクトップ仮想化方式>SC:基礎#f1594ff0]] --ネットワーク・ブート方式 --画面転送方式 ---サーバーベース型 ---ブレードPC型 ---VDI型(主流) ***集約系 [#s086f87f] ***権限系 [#cfa51ebc] ***暗号系 [#e647fa2c] ***通信系 [#x4ea955c] -[[ポート・スキャン>SC:脅威#y31ba6ed]] --UDP, TCPリスニング・ポートを確認する。 --TCPコネクト・スキャン~ コネクション確立によるスキャン --ログを残さないステルス・スキャン ---UDPスキャン ---TCPハーフ・スキャン~ ・TCP SYNスキャン~ ・TCP FINスキャン~ ・TCP Nullスキャン~ ・TCP クリスマスツリー・スキャン -[[セッション・ハイジャック>SC:脅威#i2b48d5e]] --UDP, TCP --HTTP(HTTPS) ---HTTPなら盗聴されれば終わり。~ ・認証チケット(Cookieの場合が多い)~ ・SessionID(Cookieの場合が多い) ---HTTPSでも漏洩の可能性はある。~ ・URL中→URLからの漏洩~ ・Hidden→XSSなど。~ ・Cookie→XSSなど。 ---Cookieの堅牢化~ ・エントロピーは高め~ ・揮発性、若しくは、有効期限付き~ ・Secure、HttpOnly属性の付与 -DoS、DDoS --種類 ---SYN Flood攻撃 ---ICMPリフレクション(Smurf)攻撃 ---, etc. --ポイント ---コネクションレス・プロトコルでは攻撃者を特定し難い。 ---DDoSの対策はキャパ増強以外あまり多くないが、SDNなどで対応可能。 --参考 ---[[午前>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#e371f6f7]] ---%%午後(パターン&プラクティス)%% ---その他~ ・[[SC:脅威 - DoS攻撃]]~ ・[[CAPTCHA>SC:試験 - 午後 - パターン&プラクティス#bd53ca1d]] -DNS関連 ---分割配置 ---DNSSEC ---EDNS0:~ ・プロトコル拡張~ ・代表的な違いはペイロードの拡大 --[[午前>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#re571b9f]] --午後(パターン&プラクティス) ---[[専門基礎力系>SC:試験 - 午後 - パターン&プラクティス#fdd98782]] ---[[専門応用力系>SC:試験 - 午後 - パターン&プラクティス#m57c0271]] -電子メール関連 --POP3 ---認証は平文なのでクレデンシャル盗聴の危険性 ---対応としては、APOP、POP3 over TLS/SSH --OP25B: ---ISP以外のSMTPクライアントからサーバを使用できないようにする。 ---ただし、サブミッション・ポート、STARTTLS (25 → 587)+SMTP-AUTHで、~ 例外的に、ISP以外のSMTPクライアントからサーバを使用可能にする。 --[[午前>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#eac0255f]] --午後(パターン&プラクティス) ---[[専門基礎力系>SC:試験 - 午後 - パターン&プラクティス#j1ceddc7]] ---[[専門応用力系>SC:試験 - 午後 - パターン&プラクティス#i068f17f]] -HTTP関連 --GET問題 ---Query Stringが改ざんされる。 ---Query Stringで漏洩する。~ ・ログから漏洩~ ・Referから漏洩~ ・お気に入りから漏洩~ ・URLコピペから漏洩 --POST問題 ---攻撃は受け難くなるが、 ---入力が記録されない(アプリ・ログ頼り)。 --ステートレスとステートフル ---ステートレス~ スケーラビリティが高い~ (が、盗聴や漏洩、改ざんの可能性) ---ステートフル~ スケーラビリティが低い~ (が、よりセキュアになる) ***認証系 [#a6306b7d] -[[パスワード・クラック>SC:試験 - 午後 - パターン&プラクティス#n05eb08f]] ***テスト系 [#s8a02c3e] ***Public Client系 [#hd7e7903] ***[[マルウェア系>SC:脅威#w2adfe4a]] [#ae7a7f64] -種類 --ウィルス~ 人による操作(感染したプログラムの実行など)がなければ拡散できない --ワーム~ ネットワーク感染型ワームなど、人の手を借りずに自身で移動できる。 --ルートキット~ トロイの木馬を送り込む前段に仕込むと強力。 --トロイの木馬 ---自身を複製しない。 ---以下のようなタイプのものがある。 ・パスワード窃盗型~ スパイウェア -> キーロガー~ ・クリッカー型~ 悪意のあるモバイルコード -> クリッカー~ ・バックドア型~ ボット~ ・ダウンローダ型~ ボット、ドロッパ、ガンブラー~ ・プロキシ型~ MITB、ボットネット~ ---悪意のあるモバイルコード~ クリッカー等に代表される~ ---スパイウェア~ キーロガー等に代表される~ ---ボット~ バックドア型のワームの一種。遠隔操作が可能。~ ---ランサムウェア~ 暗号化(や盗難)→金銭要求~ ---ドロッパ~ ・侵入専門のマルウェア~ ・パッキングやDBDを行う。~ ---ガンブラー~ DBD → FTP → 改ざん(攻撃サイト化)~ ---マイニング・マルウェア~ 仮想通貨のマイニングを行わせるマルウェア~ ---PUA (Potentially Unwanted Application)~ 潜在的に不要なアプリケーション >※ [[ドライブバイダウンロード(DBD)>SC:脅威#p39e1378]]~ ウェブブラウザなどの脆弱性を介して、ダウンロードされる。 -対策~ 複合的な実践を行う。 --入口・出口対策 ---入口対策 感染前の防御など、通常通り行う。 ---出口対策 感染後の攻撃や、ワーム的拡散があるので、出口対策も重要。 --通信経路上 ---F/W ---IDPS ---プロシキ ---認証、URLフィルタ、POSTフィルタ ---コンテンツ・フィルタリング --サンドボックス ---Web検査型サンドボックス ---メール検査型サンドボックス ---仮想ブラウザ型サンドボックス --エンドポイント(クライアントOS) ---アンチウィルス ---パーソナル・ファイアウォール(PFW) ---EDR (Endpoint Detection and Response) ---ファイル検査型サンドボックス ---シェル・スクリプトやリモート管理ツールの実行制限 ---入(出)力デバイスの接続制限 ---エンドポイントの回復のためのバックアップ取得 --マネジメント面 ---感染の防止~ ・OS、AVバージョン最新化、パッチ適用~ ・FOSS利用申請(業務に無関係なソフトの使用禁止)~ ・ファイル送受信時のウィルス・チェック ---感染後の対策~ ・連絡体制、対応手順、回復手順の明確化と周知 -[[検出手法系>#q85283f5]] ***フィルタリング系 [#t01d1999] -[[FW>SC:対策技術 - 防御・侵入検知#u4a95bac]] --パケット・フィルタリング型ファイアウォール --その他、様々なファイアウォール ---サーキットレベル・ゲートウェイ型(L4スイッチ的)~ 最も単純 ---ダイナミック・パケットフィルタ型(L4スイッチ的)~ コネクション識別 ---ステートフル・インスペクション型(L4スイッチ的)~ フロー識別 ---アプリケーション・ゲートウェイ or プロキシ型(L7スイッチ的)~ → WAF -[[WAF、IPS、IDS>#f00456b7]] ***セキュア・コーディング系 [#yb5201a1] -[[インジェクション系>SC:脅威#i46de8fb]] --OSコマンド・インジェクション~ &ディレクトリ・トラバーサル ---影響~ 様々なコマンド実行を攻撃に利用される。 ---対策~ ・ユーザ入力を持っていかない。~ ・入力チェックを行う。 --SQLインジェクション ---影響~ ・DBデータのCRUD操作を攻撃に利用される。~ ・DBデータの盗難、改ざん、削除。 ---対策~ ・メタキャラのエスケープ~ ・プレペア(パラメタライズド) --Mailヘッダ・インジェクション~ ---影響~ ・投稿フォームなどから、Mailヘッダへのインジェクションを行う。~ ・主に、迷惑、フィッシング、標的型攻撃メール等の発信元として利用される。 ---対策~ ・入力チェックを行う。~ ・フレームワークのAPIを使用する。 --HTTPヘッダ・インジェクション~ ---影響~ レスポンスのヘッダやボディを追加したり、~ レスポンス自体を分割したりして、攻撃を行う。 ---対策~ ・改行コードに相当する文字列を削除~ ・フレームワークのAPIを使用する。 --XSS(JavaScriptのインジェクション) ---対策~ ・メタキャラのサニタイジング~ ・フレームワークのAPIを使用する。 ---[[以下のような種類があり>SC:脅威#zc735b27]]、~ DOMベースでは出力に変化が無い場合がある。~ ・反射型のXSS (非持続的)、Reflected XSS~ ・格納型のXSS (持続的)、Stored XSS~ ・DOMベースのXSS、DOM-based XSS -[[CSRF(XSRF)>SC:脅威#xd433779]] --GETなら簡単 --POSでもなんとか行ける --SameSite属性が追加されている。 ***情シス・マター系 [#zd29d5f2] ISMS(情報セキュリティマネジメントシステム:Information Security Management System)系のみ。 -[[リスク関連>SC:マネジメント#ca4a047f]] --リスク・マネジメント --リスク・アセスメント --リスク分析評価手法 --その他 ---リスク・コントロール(実行&監視・制御) ---リスク・ファイナンシング(予備) -CSIRT:[C]omputer [S]ecurity [I]ncident [R]esponse [T]eam --インシデント対応を主導 ---現場組織に適宜対応を指示 ---情報公開(企業のステークホルダーへ) --平時 ---情報の収集(他部門、社外CSIRT) ---インシデント発生に備えた対応 -BCM(事業継続マネジメント:[B]usiness [C]ontinuity [M]anagement) --BIA(ビジネス・インパクト分析:[B]usiness [I]mpact [A]nalysis)の後 --BCP(事業継続計画:[B]usiness [C]ontinuity [P]lan)を策定 ***攻撃手法 [#c364dabd] -種別 --フット・プリンティング --ソーシャル・エンジニアリング ---構内侵入 ---トラッシング ---ショルダー・ハッキング ---なりすましによる聞き出し --[[フィッシング>SC:脅威#bf909049]] --[[標的型攻撃>SC:脅威#b392f9e0]] -電子メール系 --[[フィッシング>SC:脅威#bf909049]] ---フィッシング・メール ---スピア・フィッシング --[[標的型攻撃>SC:脅威#b392f9e0]] ---やり取り型攻撃 → 標的型メール攻撃 ---ビジネス・メール詐欺 ---サプライチェーン攻撃 ---マルウェア送付攻撃 ---持続的標的型攻撃 -HTTP系(Web系) --[[フィッシング>SC:脅威#bf909049]] ---ファーミング ---クリック・ジャッキング --[[標的型攻撃>SC:脅威#b392f9e0]] ---標的型メール攻撃 → 水飲み場型攻撃 ---持続的標的型攻撃 -その他 --[[標的型攻撃>SC:脅威#b392f9e0]] ---ファイルレス攻撃 ---持続的標的型攻撃 ***その他 [#l033da5c] -Linux関連 --[[setuid/setgid>Linuxの各種 基礎#ef3f58ba]] --[[syslog(UDP)>#q4093480]] **サプリ [#ecc55bc3] ***経路系 [#s206f547] -[[フィッシング>SC:脅威#bf909049]]・サイト ***分離系 [#bc8d5759] ***集約系 [#dec56862] ***権限系 [#uc62350b] ***暗号系 [#m5a7a332] ***通信系 [#p619c040] -DNS系 --[[攻撃>SC:脅威#zbccb56f]]→[[脆弱性>SC:脆弱性#f8137c18]] ---DDoS系~ ・DNSフラッド(DNS Flood)~ ・DNSリフレクション(DNS amp) ---DNSキャッシュ・ポイズニング --[[対策>SC:脆弱性#leeda16d]] ---コンテンツ サーバとキャッシュ サーバを分割~ ・キャッシュ サーバの再帰問合せを無効化する。~ ・キャッシュサーバをインターネットからアクセスさせない。 ---送信元ポートのランダム化、TxIDの推測を困難にする。 ---DNSSEC(DNS Security Extensions)を導入する。 -[[メール>SC:脆弱性#xfde9a7f]] --SMTP、POP3、IMAP --MUA、MTA、MDA、MRA、MSA --SMTP-AUTH(、POP before SMTP、Authenticated POP --OP25B、Sender ID、DMARC(SPF、DKIM) --送信元・送信先アドレス ---送信元アドレス~ ・ヘッダFrom~ ・エンベロープFrom ---送信先アドレス~ ・ヘッダTo~ ・エンベロープTo -その他 --[[NTP>高度午前 - 技術要素 - ネットワーク#ifa7ba8e]]~ 時刻同期 --[[SSH>高度午前 - 技術要素 - セキュリティ#f4e83466]]~ 暗号化+OSへのログイン ***認証系 [#kc820459] -[[多要素認証、二要素認証>高度午前 - 技術要素 - セキュリティ - 暗号・認証#h5a10eac]] ***テスト系 [#q6783db2] ***Public Client系 [#m56a93d8] ***マルウェア系 [#q85283f5] -[[ウィルス検出>SC:脅威#tec2b3cd]] --基本 ---コンペア法 ---パターン・マッチング法 --単純なコンペア法から進化 ---チェックサム法 ---インテグリティ・チェック法 --パターン・マッチング法から進化~ → ヒューリスティック法 ---ヒューリスティック法(スタティック・ヒューリスティック法) ---ビヘイビア法(ダイナミック・ヒューリスティック法) -[[ステルス技術を使うウイルス>SC:脅威#sa327481]] --ポリモーフィック型~ 攻撃用コードを暗号化する(外観上の変化)。 --メタモーフィック型~ ミューテーションエンジン(ME)で攻撃用コード自体を変化させる。 ***フィルタリング系 [#f00456b7] -[[FW>#t01d1999]] -[[Webアプリケーション・ファイアウォール(WAF)>SC:対策技術 - 防御・侵入検知#zf42c05a]] -侵入検知・防止 --[[検知 or 防止>SC:対策技術 - 防御・侵入検知#m1687fd6]] ---検知:IPS(NIPS、HIPS) ---破棄:WAF、IDS(NIDS、HIDS) --[[検知の仕組み>SC:対策技術 - 防御・侵入検知#kde3b72d]] ---シグネチャ型~ 異常パターンとのパターン・マッチング ---アノマリ型~ 正常パターンからの逸脱~ (誤検知が多く、検知品質向上のため、AIなどを使用することも) ***セキュア・コーディング系 [#u76b8a46] -まさかの[[DLLインジェクション>SC:試験 - 午後 - パターン&プラクティス#q5f663ea]]。 -インジェクション・ベクタは、~ [[フィルタリング系>#f00456b7]]と関連が深い。 ***情シス・マター系 [#q4093480] -[[基礎~ISMS>#x294f47e]] -[[デジタル・フォレンジック>高度午前 - 技術要素 - セキュリティ#q93872b0]] --syslog~ Linuxのログ(UDP) --コンピューター・フォレンジック~ デジタル・フォレンジックの小分野 -セキュリティ情報イベント管理(SIEM) ***その他 [#h276382b] **その他 [#b2f3cb2e] ***[[権限系の原則>SC:試験 - 午後 - パターン&プラクティス#y7b462b0]] [#ab88f593] -最小権限の原則 -職務分離の原則 ***[[スプーフィング、スヌーピング>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#t1cce59d]] [#tcc6a4ef] -スプーフィング -スヌーピング 後者が、語源がパケット・スニッファのSniffer→Sniffと同じ。 ***オープン・XXXX [#p84434bf] 第三者中継 -オープン・リレー(メールなど) --基本的に、OP25Bで対応。 --通知で、 ---エンベロープ Fromは、Return-Pathが問題になる事もある。 ---故に、ヘッダ / エンベロープ Toのみ使用など。 -オープン・リゾルバ~ インターネットからの再帰クエリを受け付けるので以下に脆弱。 --DNSリフレクション --DNSキャッシュ・ポイズニング -オープン・リダイレクト(HTTP/HTTPS) ***[[ポイズニング(ARP、DNS、SEO)>SC:脅威#e6080590]] [#j483118d] -ARPポイズニング -DNSポイズニング -SEOポイズニング ***[[認証付き暗号(MAC、AES)>https://techinfoofmicrosofttech.osscons.jp/index.php?%E6%9A%97%E5%8F%B7%E5%8C%96%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0#ub86b5f1]] [#v650b5bc] -MAC --ざっくり、キーあり方式のハッシュ。 --メッセージ+ハッシュを送信し、~ 受信側でメッセージからハッシュを再計算して検証する。 -AES --DESの後継 --ブロック暗号の一種 --MACと対称暗号を組み合わせて、 ---機密性(暗号) ---認証・正真性(MAC) > を満たす仕組み。 ***[[証明書の種類(DV、OV、EV)>Lets’s Encrypt#i90c3d1c]] [#md7cf07d] -DV(Domain Validation) -OV(Organization Validation) -EV(Extended Validation) ***[[証明書の失効(CRL、OCSP)>https://techinfoofmicrosofttech.osscons.jp/index.php?%E8%A8%BC%E6%98%8E%E6%9B%B8%E5%A4%B1%E5%8A%B9%E3%83%AA%E3%82%B9%E3%83%88%20%28CRL%29#e8bb8eb5]] [#m5539030] -CRL([C]ertificate [R]evocation [L]ist) -OCSP([O]nline [C]ertificate [S]tatus [P]rotocol) ***[[IPsec(ESP、AH)>SC:対策技術 - 暗号#s0486839]] [#ie0dbed9] -動作モード --トランスポート・モード --トンネル・モード -暗号化、メッセージ認証 --AH (Authentication Header) --ESP (Encapsulated Security Payload) ***[[RADIUS(PPP / EAP)>SC:対策技術 - 認証・アクセス制御#jdc6f78d]] [#g59e4c3b] -[[IEEE 802.1Xの認証(PPP / EAP)>#n7184dcd]]で使用されている。 -[[PPP / EAPのように認証を必要とするシステムに認証機能を提供する。>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#gff8331f]] ***Wi-Fi(EAP、WEP / WPA、WPS) [#n7184dcd] -IEEE 802 --[[IEEE 802.11a/b/g/n>高度午前 - 技術要素 - ネットワーク#w4e9bb26]]~ 多重アクセスと衝突回避方式 --[[IEEE 802.1X>高度午前 - 技術要素 - ネットワーク#w4e9bb26]]~ LAN接続時に使用する認証規格 ---[[PPP / EAP>SC:対策技術 - 認証・アクセス制御#d42eee55]]~ PPP(ISP接続で使用)を強化したのがEAP(Wi-Fiの接続で使用) -[[AP : Access Point>高度午前 - 技術要素 - ネットワーク#i1d45df7]] --[[SSID>高度午前 - 技術要素 - ネットワーク#eb62b942]] --暗号化 ---[[WEP / WPA>高度午前 - 技術要素 - ネットワーク#e9d10f67]]、[[WPS>高度午前 - 技術要素 - ネットワーク#vf088c57]]~ ・WEP :危殆化済~ ・WPA :WEPを補強~ ・WPA2:WPA後継でAESを使用~ ・WPA3:WPA2のセキュリティ拡張~ ・WPS :セットアップ技術~ ---TKIP:Temporal Key Integrity Protocol~ WEPの脆弱性のため既存ハードウェアにも実装できる代替手段 --MACアドレス・フィルタリング ***[[サイドチャネル攻撃>SC:脅威#f2c2a00a]] [#r1845e83] -種類 --電磁波解析攻撃(テンペスト攻撃) --音響解析攻撃 --電力解析攻撃 --故障利用攻撃(フォールト攻撃) --タイミング攻撃 --キャッシュ攻撃 --プローブ解析 --スキャンベース攻撃 --, etc. -[[耐タンパ>SC:脅威#we7b8cd8]] ***フィルタリング(ポジティブ、ネガティブ)系 [#o6cb9de8] -リスト --ホワイト・リスト(ポジティブ・セキュリティ・モデル) --ブラック・リスト(ネガティブ・セキュリティ・モデル) -検知 --誤検知(フォールス・ポジティブ) --見逃し(フォールス・ネガティブ) -誤検知防止系 --ステートフルなプロトコル分析 --ビヘイビア分析 --アノマリ分析 ***[[法制度、法人系の記号>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#v5773e7e]] [#pceed2c6] -ISO/IEC 15408、CC、JISEC -CERT/CC、JPCERT/CC、ISAC -J-CSIP、J-CRAT -FIPS140-2、JCMVP -CRYPTREC -[[脆弱性対策情報データベース>SC:脅威#h30259ad]]~ CVE、CWE、CVSS 識別子、JVN識別子 ***[[過去問から>SC:試験 - 午前Ⅱ - 情報処理安全確保支援士の過去問#e06de1f7]] [#o6434a21]