情報処理安全確保支援士の勉強 情報セキュリティ対策3
昨日の勉強記録
午前2の過去問10問くらい
教科書 34ページ
午後1の過去問1問
教科書で学んだ内容は、以下の通り。
・バイオメトリクスによる本人認証
・ICカードによる本人認証
・認証システムを実現するさまざまな技術
・シングルサインオンによる認証システム
■バイオメトリクスによる本人認証
バイオメトリクスによる認証は自分の識別情報を他人に悪用されないよう厳重に管理するという負担を利用者に強いる事が無く、
高い精度で個人を識別できるという点で大きなメリットがある。
バイオメトリクスは次の3つの性質を持つ。
・普遍性 誰もが有している特徴である事
・唯一性 本人以外は同じ特徴をもたない事
・永続性 時間の経過とともに変化しない事
主なバイオメトリクスの種類
・指紋
・顔
・音声
・網膜
・キーストローク
■ICカードによる本人認証
ICカードは携帯性に優れ、耐タンパ性も高いため、秘密鍵の保管に適している
ICカードに格納した秘密鍵を用いてデータの復号処理やディジタル署名処理などが行われる。
ICカードに対する攻撃手法は大きく分けて2種類ある。
・破壊攻撃
・非破壊攻撃
非破壊攻撃はコストが安く済むが、情報奪取までに時間が掛かる。
主な攻撃な種類は以下のとおりである。
破壊攻撃
・プロ―ピング ICチップの配線パターンに直接針を当てて信号を読み取る
・リバースエンジニアリング ICチップを観察し機能やセキュリティのメカニズムに関する情報を得る
非破壊攻撃
・DPA 多数の消費電流波形を統計処理して暗号鍵を推定する手法
・SPA ICチップへの消費電流波形を比較・解析して暗号鍵を推定する
・グリッチ 一時的にクロック周波数を変化させるなどしてフリップフロップの入力をサンプルしたり、誤作動を引き起こして解析する方法
・光照射 レーザ光やカメラのフラッシュ光をICチップに照射してICチップの機能を阻害する手法
・タイミング攻撃 暗号化や復号に要する時間の差異を精密に測定する事で用いられている鍵を推測する手法
ICカードに対する攻撃の対策
・周波数、電圧、光などに関するセンサを搭載し、使用範囲外の動作環境に置かれた場合、チップが動作しなくなるようにする
・大事な回路は可能な限り下層に配線し、上層部が剥ぎ取られると回路がそのものが破壊される設計にする
・動作クロックの内部生成
・メモリチェック機構の導入
・同一演算でも処理時間が異なるようなアルゴリズムにする
・テスト回路の削除
■認証システムを実現する様々な技術
●RADIUS
・ネットワーク利用者と利用履歴を一元管理する
・認証を一元管理し、複数のアクセス手段を用いる場合にも認証処理を集約する事が可能になる
●TACACS/TACACS+
・ネットワーク利用者の認証と利用記録を一元管理する
・認証、認可、課金の3つの機能によって構成される
●Kerberos
・信頼された第三者機関による認証方式
●ディレクトリサービス
・ユーザID、パスワード、所属などのユーザ情報、プリンタなどのネットワーク資源の情報を一元管理するとともに、
これらの情報を提供する仕組み
・ディレクトリサービスを提供するサーバをディレクトリサーバもしくはLDAPサーバと呼ぶ。
●EAP
・PPPの認証機能を強化・拡張したユーザ認証プロトコル
・無線LAN環境のセキュリティを強化する技術として普及しているほか、有線LANにおいてもクライアントの正当性や安全性を認証する技術として普及している
■シングルサインオンによる認証システム
新たにSSOを導入する場合、次のように検討・実施するのが望ましい
・利用者のユーザIDとパスワードの各々の統一
・複数のアプリケーションの認証インターフェースの統合
・各アプリケーションに対するアクセス制御の実施
SSOを実現する仕組み
1.クッキーを用いたSSO(エージェント型SSO)
2.リバースプロキシ型SSO
3.SAMLによるSSO