情報セキュリティの基礎

情報セキュリティとは

企業や組織の重要な財産である情報のセキュリティを確保し、維持すること

物理セキュリティとは

建築物や設備などを対象とした物理的セキュリティ対策

  • 耐震設備
  • 防火設備
  • 電源設備
  • 回線設備
  • 入退室管理設備

論理セキュリティとは

物理的セキュリティ以外の全てのセキュリティ

システム的セキュリティ

管理的セキュリティ

人的セキュリティ

情報セキュリティの三要素

機密性

管理者とそうでない者を区別し、権限を制限する

完全性

データの正当性・正確性・網羅性・一貫性を維持する要素である

可用性

必要なときにいつでもサービスを提供できる状態を維持する

攻撃手段と対策

侵入・攻撃手法の種類

ポートスキャン

開いているポートを探査し、脆弱性のあるプロトコルを利用して侵入・情報収集を行う。

バッファオーバーフロー攻撃

C言語やC++d開発されたアプリケーションの入力データの処理に関するバグを利用し、コンピュータのメモリに不正なデータを書き込む。システムへの侵入や管理者権限の取得が行われてしまう。

ローカルバッファオーバーフロー攻撃

パスワードクラック

セッションハイジャック

セッションフィクセイション

DNSサーバに対する攻撃

DoS攻撃

Webアプリケーションの入力データを悪用した攻撃

クロスサイトスクリプティング

HTMLの入力フォームにjavascriptのコードなどを送信し、出力先で実行させる攻撃手法

<script>alert('aaaa')</script>

サニタイジング(無害化)…メタキャラクタをエスケープ処理

SQLインジェクション

正常な入力データ

SELECT * FROM table WHERE user = 'USER' AND password = 'password'

不正な入力データ

SELECT * FROM table WHERE user = 'USER ' OR '1' = '1'

'や;などの記号をエスケープ処理する必要がある

OSコマンドインジェクション

悪意のあるコードによる攻撃

コンピュータウィルス、ワーム

トロイの木馬

スパイウェア

ボット

情報セキュリティにおける脆弱性

主なプロトコルの脆弱性

プロトコル脆弱性想定されるリスク
SMTPメール送信においてユーザを認証する仕組みがないスパムの踏み台になる
SMTP平文で情報が流れるパケット盗聴
HTTP平文で情報が流れるパケット盗聴
HTTPベーシック認証がほぼ平文パケット盗聴
FTP平文で情報が流れるパケット盗聴
DNSゾーン転送要求によって登録内容を取得可能サーバ構成の漏洩
DNSキャッシュに不正なデータが書き込まれる偽のサイトへ誘導される
TELNET平文で情報が流れるパケット盗聴

侵入探知・防御

ホストの要塞化

  • OS,アプリケーションの最新化
  • パッチの適用
  • 不要なサービスやコマンドの停止

脆弱性検査

アクセスコントロール

ファイアウォール

Webアプリケーションファイアウォール WAF

侵入検知システム(IDS)

ネットワーク型侵入検知システム NIDS (Network-Based Intruction Detection System)

ホスト型侵入検知システム HIDS (Host-Based Intruction Detection System)

認証

Authentication

ユーザID、パスワードなどの識別情報に基づいて、人、物、情報を識別し、その正当性や真正性を直接確認すること

Certification

ディジタル証明書など第三者が発行する証明書の保有を元に、持ち主の正当性を確認すること

RADIUS (Remote Authentication Dial-In User Service)

ネットワーク利用者の認証と利用記録を一元的に行うサービス

Kereros

LDAP ディレクトリサービス

暗号

秘密鍵暗号方式

公開鍵暗号方式 RSA

DESIGN SAMPLE

勉強予定

VideoGames|DS VideoGames|PSP VideoGames|PlayStation3 VideoGames|XBOX VideoGames|任天堂 VideoGames|エニックス
v