【問題集】セキュリティ1
セキュリティの重要性やサイバー攻撃の例を紹介し、セキュリティ用語の紹介やネットワークセキュリティの3大目的である機密性・完全性・可用性に対しての脅威と対策について例を挙げながら説明します。質問などありましたら、お気軽にどうぞ。

セキュリティの重要性

  • TCP/IPでは、昔はセキュリティを重視していなかったが、インターネットが普及した現在では悪意を持った利用者等が多数存在するようになったため、セキュリティが重視されるようになった。
  • セキュリティとは害からの保護である。一般には保安のことであり、犯罪や事故などを防止するための警備や予防措置全般を指す。(さらに、害が発生してしまってからの回復処置を検討・計画しておくこともセキュリティの一部と言える。)
  • セキュリティの中でもIT技術者が主に行うのは、情報セキュリティやサイバーセキュリティである。
  • 情報セキュリティやサイバーセキュリティは大枠では同じ様な意味である。情報セキュリティは置き忘れ等の自己管理の部分や物理的な部分を含むが、サイバーセキュリティはネットワーク経由での犯行に対するセキュリティという意味合いが強い。

サイバー攻撃の例

被害の例

  • 機密情報を盗まれる。
  • ホームページやファイルの内容が改ざんされる。
  • 攻撃の踏み台にされる。
  • サーバーやシステムが攻撃されてサービス提供が不能になる。

被害者と加害者

  • 個人、組織、企業いずれに対して行われる。
  • 金銭目的も愉快犯的なものもある。
  • 首謀者が直接行うのではなく、他者に依頼して犯行が行われることもある。

手口の具体例

  • (ランサムウェア)システムやファイルを人質にして金銭を要求する。
  • (標的型攻撃)特定の組織内の機密情報を狙う攻撃。
  • (マルウェア)不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称。 コンピュータウイルスやワームなどが含まれる。

ネットワークセキュリティ

セキュリティ用語

用語説明
リスク危険。将来のいずれかの時において何か悪い事象(情報の漏洩、損害賠償、システム復旧の費用 等)が起こる可能性。
脅威リスクを発生させる要因となるもの
脆弱性システムやネットワークのセキュリティ上の欠陥。
インシデント事件・事故。悪い事象が起こってしまったこと。

セキュリティの(3大)目的

目的説明
機密性許可された人以外は読み書きできないようにすること。
完全性情報の改ざんや処理方法に間違いがないこと。
可用性信頼性がある、つまりいつでも使いたいときに使えること。

機密性

項目要素説明
脅威不正アクセスアクセス権限を持たないものが情報にアクセスすること
データ搾取情報を不正に取得すること
盗聴情報を不正に読み取ること
対策暗号化暗号化し意味不明な内容として送ること
(ユーザ)認証ユーザが本人であることを証明する方法
ファイアウォール外部ネットワークと内部ネットワークのアクセス制御を行う
IDS/IPS侵入検知、侵入防止

完全性

項目要素説明
脅威不正アクセスアクセス権限を持たないものが情報にアクセスすること。
改ざん情報の内容を不正に変更すること。
なりすましユーザ名などを偽って他人になりすますこと。
対策暗号化暗号化し意味不明な内容として送ること。
ユーザ認証ユーザが本人であることを証明する方法。
ファイアウォール外部ネットワークと内部ネットワークのアクセス制御を行う。
IDS/IPSIDS:侵入検知
IPS:侵入防止
データ認証目印をつけてデータを送信、受信者は目印を見て判断をする。

可用性

項目要素説明
脅威Dos攻撃大量のパケットを送るなどして、サーバなどの機能を低下させる攻撃
対策ファイアウォール外部ネットワークと内部ネットワークのアクセス制御を行う
IDS/IPSIDS:侵入検知
IPS:侵入防止
帯域幅の拡張流れる情報量より大きい(太い)回線を用意する。ギリギリでは心細い。
冗長化
(冗長構成)
二重構成にする。つまり予備を常に用意しておくこと

主なセキュリティ機器

機器説明
ファイアウォール外部ネットワークと内部ネットワークのアクセス制御を行う。
IDS/IPSファイアウオールを補助する役割を果たす。侵入防止システム(IPS) 侵入検知通報システム(IDS)がある

ファイアウォールの役割や機能


機能/役割説明
パケットフィルタリングIPアドレス や ポート番号 を判別し通信を通すか決める
アプリケーションゲートウェイ代理で外部ネットワークに接続する。更にユーザやアプリケーションごとのアクセス制御も行う
ネットワークアドレス変換NAT,NAPTを行う
DMZインターネットに公開するサーバーを配置する。LAN内なのに外部からアクセスできる場所。

ファイアウォールのアクセス制御の例

場所/方向制限内容
外部⇒DMZサーバに対してアクセス可
DMZ⇒社内ほぼアクセスできない(一部許可されている)
社内⇒DMZ管理者のみアクセスできるよう制限
外部⇒社内ほぼアクセスできない
社内⇒外部ほぼ自由にアクセス可

ファイアウォールあって、ルータにない機能

機能説明
ユーザ認証ユーザ名で通信を通すか判別
ログ収集通過したログを記録する
コンテンツフィルタリング添付ファイルなどを認識して許可されたものだけ通す

IDS/IPSの役割

名前役割
IDS(侵入検知システム)監視をし不正アクセスなどがあれば通報するのみ
IPS(侵入防御システム)IDSの進化版 監視をし不正アクセスなどがあれば通報 & 防御を実行する

IDSの特徴

不正アクセスがあった場合などの流れ

  1. IDSから管理者に電子メールなどで、アラート(警告)が通知される
  2. 管理者がすぐにファイアウオールの設定変更などを行う
  3. この繰り返しを24時間 365日続ける

IDSの種類

種類説明
ホスト監視型(HIDS)サーバーやクライアントPC内にソフトウェアをインストールする
ネットワーク監視型(NIDS)ネットワーク上に専用の機器を設置し監視させる

IPSの特徴

不正アクセスがあった場合などの流れ

  1. IPSから管理者に電子メールなどで、アラート(警告)の通知 & 防御動作が行われる。
  2. 管理者は、防御動作で解決できない問題があった場合対処に当たる。
  3. この繰り返しを24時間 365日続ける

暗号化技術の基礎

暗号化技術の階層分類

階層暗号化技術
アプリケーションSSH、SSL-Telnet、PET等の遠隔ログイン、PGP、S/MIMEなど暗号化メール
セッション、トランスポートSSL/TLS、SOCKS V5の暗号化
ネットワークIPsec
データリンクイーサネット・WANの暗号化装置など、PPTP(PPP)

共通鍵暗号方式と公開鍵暗号方式

公開鍵暗号方式
 
共通鍵暗号方式_解答

認証技術

認証とは本人確認の様な事である。それによって、利用者が正当な利用者であるかを確認し、正当な利用者のみが使える様にする。
費用対効果で認証方法を検討する。組み合わせて使う場合も多い。

  • 情報による認証

    パスワード、暗証番号、鍵(公開鍵・秘密鍵 等)、ワンタイムパスワード 等を用いて認証する。

  • ものによる認証

    IDカード、電子証明書、電話番号、携帯電話の製造番号 等を用いて認証する。

  • 生体による認証

    指紋、目の瞳孔、静脈 等を用いて認証する。

セキュリティのためのプロトコル

IPsecとVPN

  • VPN(Virtual Private Nework)とは、仮想的に拠点間を専用線で接続したのと同等に扱えるネットワークである。つまり、仮想的なプライベートネットワーク接続である。
  • インターネット(広帯域で安価な光回線 等含む)などの公衆網を利用する場合でも、安全に企業の拠点間通信を実現できる。
  • 安全確保のために拠点と拠点の間では通信は暗号化されている。それを実現するためにIPsec等の高度なセキュリティを実装させられる

VPNの大まかな分類
分類使用技術説明
インターネットVPNIPSec-VPNセキュリティプロトコルにIPsecを使用
SSL-VPNセキュリティプロトコルにSSLを使用
IP-VPNMPLS-VPN通信(回線)事業者のプライベートIP網内
 

インターネットVPNのタイプ
タイプ説明
サイト間VPNVPNを実装したルーター同士を接続する構成。
アプリケーション層・トランスポート層に加えてIPヘッダーまで暗号化されるトンネルモードが用いられる。
リモートアクセスVPNVPNを実装したルーター(やサーバー)とVPNクライアントソフトをインストールしたPCとを接続する構成。
アプリケーション層・トランスポート層まで暗号化されるトランスペアレントモードが用いられる。

TLS/SSLとHTTPS

SSL通信事前やりとり1_解答
 

1.クライアントがサーバーにHTTPSでアクセスする。
2.サーバーが「サーバーの公開鍵」「証明書」を送信する。
3.クライアントが認証局の公開鍵を用いて、証明書を復号する。(もし、復号失敗したら偽物。)

 
SSL通信事前やりとり2_解答
 

4.クライアントが共通鍵を作成し、サーバーの公開鍵を用いて暗号化し、送信する。
5.サーバーがサーバーの秘密鍵を用いて、復号する。

 
SSL通信手順2_解答
 

6.やり取りの本番は、クライアントもサーバーも共通鍵を用いて 暗号化・復号を行う。

IEEE802.1X

LANに接続する際に、ユーザ認証を行うプロトコル。有線・無線共に使えるが、無線が普及し始めた頃は、暗号化認証が弱かったため、無線LANと組み合わせて使う用途で普及した。