「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>SC:試験]] --[[基礎>SC:基礎]] --[[脅威>SC:脅威]] --脆弱性 --[[対策技術>SC:対策技術]] --[[システム開発>SC:システム開発]] --[[マネジメント>SC:マネジメント]] --[[法制度>SC:法制度]] *目次 [#tcc99821] #contents *概要 [#kd2fcb9e] **用語 [#l9ba6f71] ***[[基礎>SC:基礎#i964ef5a]] [#k7573310] ***リスク (risk) [#ec5e51c6] -目的に対する不確かさの影響で、好機と脅威がある。 -SCでは、好機ではなく、[[脆弱性>#c74872df]]に起因する[[脅威>#c1be2f95]] ※ [[PMP:リスク・マネジメント>PMP:共通#oa93a230]] ***[[脆弱性 (vulnerability)>#i4107a51]] [#c74872df] SCでの脆弱性は、 -安全性上の弱点 -英語では、 --Vulnerability --俗に、Security Hole -ISO 27000では、~ 一つ以上の[[脅威>#c1be2f95]]によって付け込まれる~ 可能性のある[[情報資産>#x0f16030]]または[[管理策(control)>#pa7e8d27]]の弱点 -区分 --設備 --技術 --管理 ***[[脅威>SC:脅威]] (threat) [#c1be2f95] -[[情報資産>#x0f16030]]や組織に損害を与える可能性がある、~ [[脆弱性>#c74872df]]に起因する望ましくないインシデントの潜在的な原因 -区分 --災害 --障害 --人的 ***管理策(control) [#pa7e8d27] -[[リスク (risk)>#ec5e51c6]]([[脅威>#c1be2f95]])を修正する対策のこと -しかし、同様に脆弱性を持っている可能性がある。 -コレを導き出すのがリスク・アセスメント ***インシデント (incident) [#wfbeada9] 具現化した[[脅威>#c1be2f95]]、若しくは、その確率。 -望まない単独若しくは一連の情報セキュリティ事象 -又は予期しない単独若しくは一連の情報セキュリティ事象であって、~ 事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。 ***情報資産 [#x0f16030] -[[脅威>#c1be2f95]]に晒される主な対象。 -脆弱性を持っている可能性がある。 **脆弱性の [#i4107a51] ***種類と具体例 [#v68374f1] |#|種類|具体例|h |#|設備面|・構造上の欠陥&br;・メンテナンス不備&br;・入退館設備の不備| |#|技術面|・ネットワーク構成上の欠陥&br;・ソフトウェアのバグ&br;・アクセス制御システムの不備&br;・設定ミス、安易なパスワード&br;・ウィルス対策の不備| |#|管理面|・方針、既定の不備&br;・機器、外部記憶媒体の不備&br;・教育、マニュアルの不備&br;・インシデント対応計画の不備&br;・監視体制、監査の不備| ***[[識別 / 評価>SC:脅威#h30259ad]] [#i2623c47] [[リスク (risk)>#ec5e51c6]]的に捉え...。 ***[[情報資産>#x0f16030]]、[[脅威>#c1be2f95]]との関係 [#hee94e71] [[情報資産>#x0f16030]]の脆弱性に起因する[[リスク (risk)>#ec5e51c6]]([[脅威>#c1be2f95]])の~ 顕在化 / 具現化が[[インシデント (incident)>#wfbeada9]] / 損失 *詳細(技術的) [#z15d61c2] **ネットワーク [#t558117c] ***脆弱性 [#r5b85e94] 「機密性、完全性」、「可用性」に分かれる。 -機密性、完全性の侵害 --ネットワーク、サブネット ---が分割されていない。 ---間のアクセス制御が無い。 --接続口の問題 ---リピータハブの利用(盗聴可能) ---必要以上に多いアクセス・ポイント ---誰でも接続可能なスイッチの放置 -可用性の低下 --処理性能 ---機器の処理能力、負荷分散 ---ネットワーク帯域幅、負荷分散 --冗長化 ---機器 ---ネットワーク --制限 ---インターネット接続口の帯域制御 ---ネットワーク、サブネット分割~ (ブロードキャスト制限) ***対策 [#p99a980e] マップが難しいが、 -ネットワーク、サブネット分割 --アクセス制御(機密性、完全性) --ブロードキャスト制限(可用性) -接続口(機密性、完全性) --無線LAN廃止 --セキュリティ対策強化 --ハブの ---スイッチ化(機密性、完全性、可用性) ---物理ポートのロック(機密性、完全性) --インターネット接続口の集約 ---フィルタ(機密性、完全性) ---帯域制御等(可用性) -各種可用性の向上(可用性) --冗長化 --負荷分散 --帯域制限 --帯域確保 --キャパシティ・プランニング **[[UDP, TCP>SC:基礎#ba939ce8]] [#ud64b850] ***脆弱性 [#xede3001] -仕様が公開されている(RFC)。 -[[IPスプーフィング>SC:脅威#dd7a47fd]]が可能 -暗号化機能が標準で実装されていない(IPv4)。 -セッション層の仕様 --[[DoS系>SC:脅威 - DoS攻撃]]に対する脆弱性がある。 --[[ポイズニング系>SC:脅威#e6080590]]に対する脆弱性がある(特にUDP)。 ***対策 [#f2b89ee2] -[[IPスプーフィング>SC:脅威#dd7a47fd]]対策として、逆引き+遮断 -SSH / TLS (SSL) / IPsecなどの導入~ による暗号化(何れも[[VPN>https://techinfoofmicrosofttech.osscons.jp/index.php?VPN]]で利用される) -他の脆弱性については、[[UDP, TCP>SC:基礎#ba939ce8]]の~ セッション層の仕様の問題なので、~ 上位プロトコル側での対応が必要になる。 **電子メール [#xfde9a7f] ***SMTP脆弱性 [#b77f7043] [[オリジナルのSMTPが脆弱>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB]] -非常に簡素な仕組み。 --実際にはMSAの機能は無く、 --MTAは、MUA・MTAを区別しない。 --すべて、25番ポートで処理する。 -平文であり --改ざんが可能 --情報漏洩の可能性 -MTAに脆弱性がある可能性 --アカウント漏洩(VRFY、EXPNコマンドの脆弱性) --[[バッファ・オーバーフロー>SC:脅威#gc7d9e26]]の脆弱性 -認証の機構を持たないため、~ 第三者中継(オープン・リレー)が可能で、~ スパマーの踏み台として機能し得る。 --様々な[[スパム・メール>SC:脅威 - DoS攻撃#kfa1e5de]]を送信する。 --結果として、ブラックリストに登録されてしまう。 ***POP3脆弱性 [#jd5988a5] -メールが平文 -認証のクレデンシャルが平文 ***対策 [#f905bd89] 主に、スパムメール対策 -送信時 --OP25B (Outbound Port 25 Blocking)~ ---ISPメールサーバを経由していないアウトバウンドTCP 25番ポートの通信を遮断する。 ---第三者中継(オープン・リレー)対策後の、ボットなどによる直接送信を防止する。 ---ただし、以下の送信はOP25Bの影響を受けない。~ ・固定IPからの送信~ ・SMTP-AUTHで認証済ノードからの送信 --MUA ---[[Sender ID>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB#x22267ea]]アカウントを[[SMTP AUTH>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB#wa05ce37]]で認証~ -受信時 --MTA~ 各種、中継処理に対する制限(ホワイトリストやブラックリストを利用) ---ブラックリストに含まれるMTAからの通信を遮断 ---ホワイトリストに含まれないMTAからの通信を遮断 ---逆引きが出来ないMTAからの通信を遮断 ---第三者中継(オープン・リレー)を許可しているMTAからの通信を遮断 ---[[Sender ID、SPF、DKIM、DMARCなどの送信元ドメイン認証>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB#z6363368]]を~ 使用して検証されないMTA(ドメイン)からの通信を遮断 ---経路の暗号化も可能~ STARTTLS (25 → 587)~ SMTP over SSL/TLS (25 → 465) --MUA ---スパムメールと思われる通信を遮断~ シグネチャが該当する通信を遮断(シグネチャ・マッチング)~ 学習した特徴に該当する通信を遮断(ベイジアン・フィルタリング)~ ---クレデンシャルと経路の暗号化~ POP3 → APOP (クレデンシャル)~ POP3 → STARTTLS (110 → 110) (経路)~ POP3 → POP3 over SSL/TLS (110 → 995) (経路)~ SSHポート・フォワーディング (110 → 22) (クレデンシャルと経路)~ -送受信時 --MUA ---[[S/MIME>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB#kdf1d7fa]]による署名と暗号化 ---[[PGP>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB#oe23ce1a]]による署名と暗号化 -構成 --MTAの脆弱性対策 ---最新バージョン、パッチ適用 ---VRFY、EXPNコマンドの無効化 ---ウィルス対策ソフトの導入 --MTAの構成 ---社内向けはイントラネット上に配置 ---社外向けはDMZ上に配置 --経路 ---送信:社内向けMTA → 社外向けMTA → ISPのMTA ---受信:ISPのMTA → 社外向けMTA →★→ 社内向けMTA~ ★に「[[メール検査型サンドボックス>SC:脅威#b8dfbc98]]」を配置する。 ***参考 [#zb8766fd] -メール - マイクロソフト系技術情報 Wiki > 認証関連~ https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%83%A1%E3%83%BC%E3%83%AB#qd892e0b **DNS [#f8137c18] [[脅威>SC:脅威#zbccb56f]]にも書いたけど。 ***脆弱性 [#fabff12d] -ゾーン転送によって情報が抜かれる。 --管理情報 (サーバ名や IP アドレス等)が漏洩、悪用される。 --コレらが外部に流出することで、組織のサーバやネットワーク構成を推測され、~ セキュリティに対する、潜在的な脅威の増加につながる可能性がある。 -セッション層の仕様 --[[DoS系>SC:脅威 - DoS攻撃]]に対する脆弱性がある。 --[[DNSポイズニング>SC:脅威#xcae4991]]に対する脆弱性がある(特にUDP)。 -オープン リゾルバによる --踏み台利 --不正なリクエストによるダウン ***対策 [#leeda16d] -乗っ取り対策 --最新バージョン+パッチ適用 --バナーの非表示化 -ゾーン転送先のサーバを制限する。 --外部DNSと内部DNSに分割し、外部DNSには内部のソーン情報を登録しない。 --インターネットからのゾーン転送要求をフィルタリングする。 --セカンダリDNSからのゾーン転送要求のみ許可するように設定する。 -[[DNSポイズニング>SC:脅威#xcae4991]]のリスク低減 --DNSキャッシュ時間を短くする。 --組織内 ---コンテンツ、キャッシュ・サーバを分割。 ---キャッシュ・サーバ利用を組織内に限定する。 --組織外 ---[[再帰問合せ>https://techinfoofmicrosofttech.osscons.jp/index.php?DNS%E3%82%B5%E3%83%BC%E3%83%90#y5fadfd0]]の無効化 ---送信元ポートのランダム化、TxIDの推測を困難にする。 ---DNSSEC(DNS Security Extensions)を導入する。 -オープンにしない(オープン リゾルバ)~ --キャッシュサーバをインターネットからアクセスさせない。~ [[DNS amp攻撃>SC:脅威#zbccb56f]]と言うDoS攻撃の踏み台にならないようにする。 --コンテンツ サーバとキャッシュ サーバを分割し、~ ---外部キャッシュ サーバは内部コンテンツ サーバのクエリにのみ対応。 ---若しくは、クライアントと、問い合わせ数を制限する。 -その他 --DNSSEC (DNS Security Extensions)~ ゾーン情報改ざん、[[DNSポイズニング>SC:脅威#xcae4991]]の防止 ---ゾーン内のリソースレコードを、秘密鍵で署名し、電子署名を作成。 ---また、コンテンツ サーバは電子署名付きの応答を返す。 --ゾーン・レコードの改ざん防止 ---SOAレコードのシリアル番号はDNS設定内の更新を識別できる。 ---RFC2845: DNSにおける秘密鍵のトランザクション認証(TSIG)~ 動的ゾーンを更新できる人を制限するために使用できる。 ~ ・更新要求が許可されているエンドポイントの特定と認証。~ ・共有秘密鍵と一方向ハッシュ関数を使用する。 --EDNS0対応~ 昨今、IPv6、DNSSEC、SPF、DKIMなどの普及によりDNSデータは拡大傾向で、~ 512以上のデータ送信を、TCPフォールバックでなく、UDPパケット拡張で対応。 **HTTP、Webアプリ [#m1ac06a2] ***HTTP、Sessionの脆弱性、対策 [#o22440c5] -[[セッション・ハイジャック系>SC:脅威#sb205cd0]] -[[認証関連>https://techinfoofmicrosofttech.osscons.jp/index.php?%E8%AA%8D%E8%A8%BC%E5%9F%BA%E7%9B%A4]]~ --基本認証、Forms認証は、HTTPSで経路の暗号化が必要 --, etc. ***サーバ設定・実装の脆弱性、対策 [#va1fe845] 各種、[[技術的な脅威>SC:脅威#j7ed0357]]への対応。 -乗っ取り対策 --最新バージョン+パッチ適用 --バナーの非表示化(HTTPヘッダ) --アクセス許可の設定 -不要な機能、コマンドの無効化 --デフォルト・ページの配置とディレクトリ参照禁止 --HTTPメソッド(PUT、TRACE) --エラーメッセージ送信機能の抑止 -最後はIPSの導入 ***アプリ仕様・実装上の脆弱性、対策 [#hd8a0126] 各種、[[アプリケーション脆弱性>SC:脅威#vbff04d2]]への対応 -インジェクション系 -最後はWAFの導入