情報処理安全確保支援士の勉強 情報セキュリティ対策5

昨日の勉強記録

午前2の過去問10問くらい
教科書 62ページ
午後1の過去問1問
暗記ものの暗記作業 1時間くらい

昨日は暗記ものを覚えるということをやってみた。
正直、この試験は暗記ものも選択形式で出ることが殆どなのであんまり覚える必要ないかもしれないけど
他の試験(ネットワークスペシャリスト)だった場合、間違いなく記述式になるはずなので、そのつもりで頑張る予定。
やっぱり過去問いくつか解いてみて、この試験はぬるい気がする。
でも、まだ合格点ギリギリなので気を抜かずにやっていこう。


教科書で学んだ内容は、以下の通り。
・その他の主なセキュア通信技術
無線LAN環境におけるセキュリティ対策
PKI
・ログの分析及び管理
・可用性対策

■その他のセキュア通信技術

●IP-VPN
キャリアが独自に構築したIP網を用いたVPNサービス。
MPLSと呼ばれるスイッチ技術を用いて、高速な転送処理を実現している
通信データは暗号化されないが、利用するネットワーク自体がプライベートなので通信データを暗号化しなくてもある程度のセキュリティは確保されている。

SSH
SSHでは、セッションごとに異なる暗号鍵を生成し使用する
・暗号アルゴリズムとして、Triple-DES、AES、Bloefish、Arcfourなどが使用可能
SSHでは、通常のパスワードを用いた認証方式のほか、公開鍵暗号技術を用いた公開鍵認証方式などが使用可能である

ポートフォワーディング機能
 暗号化機能を備えていないアプリケーションの通信をSSHが間に入って中継する事で、暗号化を行う機能


PPTP
第2層(データリンク層)にあたるPPPパケットをIPでトンネリングする方式

・暗号化にはMPPEという方式が採用されている
GREと呼ばれるカプセル化プロトコルを用いてPPPフレームをカプセル化し、それにIPヘッダを付加している

L2TP
第2層におけるトンネリングプロトコル

・暗号化機能は実装されていないため、IPsecと組み合わせて使用する

S/MIME
鍵の暗号化アルゴリズムRSA
データの暗号化はTriple-DES、RC2などが用いられる
PKCSに従って暗号化、ディジタル署名をなどを行う。
CMSと呼ばれるフォーマットを使用する

PGP
基本的な暗号化アルゴリズムRSAとIDEA
Web of Trust

無線LAN環境におけるセキュリティ対策
Macアドレスフィルタリング
●WEP
暗号化アルゴリズムRC4

1.端末のアクセス制御機能が脆弱でユーザ認証機能もない
2.通信データの解読や改ざんが可能

●WPA
TKIP方式が使われている。
暗号化アルゴリズムRC4

WEPとの違い
・事前共有鍵のサイズを拡張
・IVのサイズを拡張
・WPA-PSKとIV,MACアドレスからハッシュ値を求め、暗号鍵として使用する
・ユーザ認証後に認証サーバから最初の鍵を交付
・一定量のパケットを送信するごと/一定時間ごとに暗号鍵を更新する事が可能
・MICの採用により、完全性チェック機能を強化

●WPA2
暗号化アルゴリズムにAESを採用したCCMPという暗号方式が実装された
KRACKという脆弱性がある


●WPA3
SAEと呼ばれる新たなハンドシェイクの手順を実装した
暗号化アルゴリズムとしてCNSAが追加された


PKI
ディジタル証明書は、個人や組織に関する電子式の身分証明書である。
ディジタル証明書は、公開鍵の正当性を証明する役割を持つことから公開鍵証明書とも呼ばれる

Webサーバで用いるディジタル証明書の発行をCAに申請する際にはCSR(証明書署名要求)を生成する

●X.509
AC:属性証明書
ACRL:属性証明書失効リスト
AA:属性認証局
PMI:権限管理基盤

EV証明書とはCAとWebブラウザベンダで構成する業界団体が定めたWebサーバ用のディジタル証明書である。
審査基準が厳しく設定されているためEV証明書は通常の証明書より信頼性が高い

●ディジタル証明書による認証基盤を構成する要素

認証局(CA)
・利用者の公開鍵に対して、ディジタル署名を付し、ディジタル証明書を発行する
・CRL(証明書失効リスト)を発行する
CPSを公開する
・発行したディジタル証明書を検証するためのCA自身のディジタル証明書を公開する
・ディジタル証明書に署名するためのCA自身の秘密鍵を厳重に管理する

登録局(RA)
・証明書発行や失効などの資格審査の実施
・ディジタル証明書利用者情報の登録
・鍵の一括管理
・公開鍵を公開するためのディレクトリへの保管を実施
・証明書や鍵の交付


証明書有効性検証局(VA)
・ディジタル証明書の失効情報の集中管理
・CAの公開鍵で署名を検証
・ディジタル証明書内に記載された有効期限の確認
・CRLの確認


ディレクトリ(リポジトリ
ディジタル証明書利用者の情報やディジタル証明書、CRLなどを格納し、検索サービスを提供するシステム

OCSPレスポンダ
ディジタル証明書の有効性をリアルタイムで確認する仕組み

●電子文書の長期保存

1.電子文書を保存する記録媒体の劣化
2.電子文書や媒体を取り扱う技術の陳腐化・衰退
3.ハッシュ関数や暗号化技術の危殆化

電子文書の長期保存において推奨されるファイル形式
・PDF形式
・イメージ形式(TIFFなど)
XML形式

タイムスタンプの生成方式
ディジタル署名方式
・リンキング方式
・アーカイビング方式

■ログの分析及び管理
ログの運用管理上の留意点
・ログ取得、保存、管理に関するポリシの策定及び設定
・ログを安全に保存できるシステムの構築
・必要な情報を記録するのシステム面での工夫
・ログの運用管理要員の確保及び手順などの整備
・ログの定期的な分析

■可用性対策
特になし