情報セキュリティ
情報セキュリティの基礎
情報セキュリティとは
企業や組織の重要な財産である情報のセキュリティを確保し、維持すること
物理セキュリティとは
建築物や設備などを対象とした物理的セキュリティ対策
- 耐震設備
- 防火設備
- 電源設備
- 回線設備
- 入退室管理設備
論理セキュリティとは
物理的セキュリティ以外の全てのセキュリティ
システム的セキュリティ
管理的セキュリティ
人的セキュリティ
情報セキュリティの三要素
機密性
管理者とそうでない者を区別し、権限を制限する
完全性
データの正当性・正確性・網羅性・一貫性を維持する要素である
可用性
必要なときにいつでもサービスを提供できる状態を維持する
攻撃手段と対策
侵入・攻撃手法の種類
ポートスキャン
開いているポートを探査し、脆弱性のあるプロトコルを利用して侵入・情報収集を行う。
バッファオーバーフロー攻撃
C言語やC++d開発されたアプリケーションの入力データの処理に関するバグを利用し、コンピュータのメモリに不正なデータを書き込む。システムへの侵入や管理者権限の取得が行われてしまう。
ローカルバッファオーバーフロー攻撃
パスワードクラック
セッションハイジャック
セッションフィクセイション
DNSサーバに対する攻撃
DoS攻撃
Webアプリケーションの入力データを悪用した攻撃
クロスサイトスクリプティング
HTMLの入力フォームにjavascriptのコードなどを送信し、出力先で実行させる攻撃手法
<script>alert('aaaa')</script>
サニタイジング(無害化)…メタキャラクタをエスケープ処理
SQLインジェクション
正常な入力データ
SELECT * FROM table WHERE user = 'USER' AND password = 'password'
不正な入力データ
SELECT * FROM table WHERE user = 'USER ' OR '1' = '1'
'や;などの記号をエスケープ処理する必要がある
OSコマンドインジェクション
悪意のあるコードによる攻撃
コンピュータウィルス、ワーム
トロイの木馬
スパイウェア
ボット
情報セキュリティにおける脆弱性
主なプロトコルの脆弱性
| プロトコル | 脆弱性 | 想定されるリスク |
| SMTP | メール送信においてユーザを認証する仕組みがない | スパムの踏み台になる |
| SMTP | 平文で情報が流れる | パケット盗聴 |
| HTTP | 平文で情報が流れる | パケット盗聴 |
| HTTP | ベーシック認証がほぼ平文 | パケット盗聴 |
| FTP | 平文で情報が流れる | パケット盗聴 |
| DNS | ゾーン転送要求によって登録内容を取得可能 | サーバ構成の漏洩 |
| DNS | キャッシュに不正なデータが書き込まれる | 偽のサイトへ誘導される |
| TELNET | 平文で情報が流れる | パケット盗聴 |
侵入探知・防御
ホストの要塞化
- OS,アプリケーションの最新化
- パッチの適用
- 不要なサービスやコマンドの停止
脆弱性検査
アクセスコントロール
ファイアウォール
Webアプリケーションファイアウォール WAF
侵入検知システム(IDS)
ネットワーク型侵入検知システム NIDS (Network-Based Intruction Detection System)
ホスト型侵入検知システム HIDS (Host-Based Intruction Detection System)
認証
Authentication
ユーザID、パスワードなどの識別情報に基づいて、人、物、情報を識別し、その正当性や真正性を直接確認すること
Certification
ディジタル証明書など第三者が発行する証明書の保有を元に、持ち主の正当性を確認すること
RADIUS (Remote Authentication Dial-In User Service)
ネットワーク利用者の認証と利用記録を一元的に行うサービス