情報処理安全確保支援士の勉強情報セキュリティ対策技術1

金曜日の分の勉強記録

午前2の過去問10問くらい
教科書　50ページ
午後1の過去問1問

教科書で学んだ内容は、以下の通り。
・情報セキュリティの全体像
・ホストの要塞化
・脆弱性検査
・TrustedOS
・ファイアウォール

■情報セキュリティの全体像
各種セキュリティ対策技術は2つの観点から分類する事が出来る
1.セキュリティの要素から分類
・機密性、完全性の侵害への対策
・可用性低下への対策

2.セキュリティ対策機能・効果からの分類
・予防の動きをする対策
・防止・防御の動きをする対策
・検知・追跡の動きをする対策
・回復の動きをする対策

■ホストの要塞化
・最適なパーティション設計
・セキュアなファイルシステムの選択
・最新バージョンのソフトウェアを最小構成でインストールする
・パッチの適用
・不要なサービスや機能の停止
・不要なグループ、アカウントの削除及び不要な共有資源の解除
・推測困難なパスワードの設定、及びパスワードチェック機能の有効化
・ディレクトリ、ファイル、プログラムなどのアクセス権の設定
・ログの設定

■脆弱性検査
・脆弱性検査の手法として、ブラックボックス検査とホワイトボックス検査がある
・脆弱性を検査する対象として、「OS、サーバーソフトウェア」と「Webアプリケーション」がある

●OS、サーバーソフトウェアの検査の特徴及び留意点
・仕様がある程度統一されている市販製品の検査なので、ツールで検査が可能
・ツールによる検査結果の検証や高度な検査を要する場合は、専門家が必要
・Dos攻撃検査などは本番環境に影響を及ぼす可能性があるため実施する時間帯などを検討/調整する必要がある
・発見された脆弱性は、直ちに対処するとともに、同じ製品の他のホストも同様の脆弱性が存在する可能性が高いので確認する必要がある
・市販品の脆弱性は次々に発見されているため、構成・設定などに変更が無い場合も定期的に実施する必要がある

●Webアプリケーションに対する検査の特徴及び留意点
・Webアプリケーションは、サイトによって独自の仕様となるため、ツールによる検査が困難
・検査の実施により、DBにデータが登録されたり、各種処理が実施されたりするため、検査後の対処が必要
・会員向けページ、管理者向けページなどの検査のためには、検査用にアカウントを用意する必要がある
・発見された脆弱性は直ちに対策するともに、そのアプリケーションを開発したベンダによる他のアプリケーションにも同様の脆弱性が存在する可能性が高い
・再発防止のため、開発ベンダにセキュアなアプリケーション開発手順を確立/徹底させる必要がある

ファジングとは、検査対象の製品に対して極端に長い文字列や通常は使わない制御コードなど、問題を引き起こしそうなデータを大量に送り込みその応答や挙動を監視する事。

■Trusted　OS
もともとは米国国防総省が定めたセキュリティ評価認証基準であるTCSECに代表される「レインボーシリーズ」において「B.DIVISION」以上の要求基準をクリアしたOS

■ファイアウォール

●ファイヤウォールのフィルタリング方式
1.パケットフィルタ型
　・パケットのヘッダ情報に含まれるIPアドレス、ポート番号などによって中継の可否を判断するもの。

2.アプリケーションゲートウェイ型
　・HTTP,SMTP,FTPなどのアプリケーションプログラム毎に別々のプロキシをもち、パケットのアプリケーション層も含めた情報に基づいたパケットの中継可否を判断する仕組み
　・IPアドレス、ポート番号に加え、ペイロードに含まれるコマンドやポート番号などの情報についてもチェックする。
　・新たなプロトコルを許可するためには、それに対応した専用のプロキシが必要となる
　・この方式では、クライアントは目的のサーバーではなく、ファイヤウォールとコネクションを確立する。
3.サーキットレベルゲートウェイ型
　・ファイヤウォールがクライアントからの接続要求をいったん受け取り、接続を許可する場合は、アプリケーションゲートウェイ型とことなり目的のサーバーに対して、トランスポート層レベルでコネクションを確立し、クライアントとサーバを結ぶ仮想的な通信経路を確立するタイプ。

4.ダイナミックパケットフィルタ型
　・最初にコネクションを確立する方向のみ意識したACLを事前に登録しておき、実際に接続要求があると、個々の通信セッション管理テーブルに登録するとともに必要なルールが動的に生成され、フィルタリング処理を行う方式である。
　・セッション管理テーブルによって通過したパケットの応答や、それに付随するコネクションなどを総合的に管理し、自動的に必要な処理を行う。
　・セッションが終了すると、動的に生成したルールは破棄される。
　・従来のスタティックパケットフィルタでは、上りも下りも別個の通信としかとらえられなかったため、不正アクセスによって順序の矛盾したパケットが送られたとして該当するACLがあれば中継していた。ダイナミックパケットフィルタではそれが無い
　・常に必要最低限のルールが動的に生成され、必要がなくなったら破棄されるため、ACL設定を悪用した不正アクセスが発生する可能性は非常に低い
　
5.ステートフルインスペクション型
　・基本的な仕組みはダイナミックパケットフィルタと同じだが、アプリケーション毎に通信フローなどの情報を持っており、それに基づいてレイヤを限定しないきめ細かい制御を行う