情報処理安全確保支援士_WAF/FW
- WAF(Web Application Firewall)
Webアプリケーションの脆弱性をついた攻撃に対するセキュリティ対策の1つである。SQLインジェクションやクロスサイトスクリプティングといった攻撃を防ぐことができる。アプリケーション層レベルで対策できる。拒否する通信のアクセスパターンをシグネチャに定義するブラックリスト型と、許可する通信のアクセスパターンをシグネチャに定義するホワイトリスト型の2種類がある。
- WAFとIPS/IDS(Intruction Prevention System)との違い
IPSは不正侵入防止システムともいい、プラットフォームレベルでのセキュリティ対策を行うことができる。OSやミドルウェアの脆弱性を利用した攻撃や、ファイル共有サービスへの攻撃といった、様々な攻撃への対策が可能である。
IDSは不正侵入検知システムともいい、異常な通信を検知し報告するものである。Webアプリケーションに対しても制限することができるが、WAFに比べると機能は簡素であるので、Webアプリケーションの防御にはWAFを使用することが多い。
- WAFとFW(Fire Wall)との違い
ネットワークレベルでの対策であり、送信元・先情報をもとにしてアクセスを制限できる。FWは外部へ公開する必要がなく、例えば社内システムへの外部からのアクセスを制限するといったことができる。Webアプリケーションは外部へ公開する必要があるため、FWでは制限できない。
- FW
上で述べたように、ネットワークの協会に設置され、内外の通信を中継・監視し外部からの攻撃を防ぐソフトウェアやシステムのことである。
- ステートフルパケットインスペクション(SPI)
ルータやFWのセキュリティ機能の1つで、内外を出入りするパケットの情報を読み取って通信状態を把握し、外部から送信されたパケットが内部に通信できるかどうかを動的に判断する。まず外部に出ていく通信を記録しておき、その通信に矛盾する外部からの通信、つまり外に出ていっていない通信からの返答が来た場合は、不審なパケットとして破棄する。
- 参考URL
ステートフルパケットインスペクション(SPI)とは - IT用語辞典 e-Words
情報処理安全確保支援士_RADIUS
- RADIUS(Remote Authentication Dial In User Service)
ネットワーク上のユーザ認証プロトコルの1つで、電話回線でダイヤルアップ接続の方式を利用するユーザに対してインターネット接続を実現するための認証プロトコルとして当初は使用されていた。ユーザ認証だけでなくネットワークの接続時間やデータ量の情報も収集できるため、ISPなどでは認証ユーザの課金などでも利用していた。現在では無線LANや有線LANでのネットワーク接続時のユーザ認証のプロトコルとしても利用されてる。主に、Radiusサーバ、Radiusクライアント、ユーザの3要素で構成される。
RADIUSでは、不正なRadiusクライアント、または不正なRadiusサーバからの接続要求を排除するために、Radiusクライアント ⇔ Radiusサーバ間で共有暗号鍵(Shared Secret)を事前に設定しておく。さらに、RadiusサーバとRadiusクライアントともに連携する同士のIPアドレスを指定する。これらの設定によって、不正なRadiusクライアント、Radiusサーバとが通信を行うこと(不正な接続要求)を防止することができる。
・Radiusサーバ
Radiusクライアントからきた認証要求に応じて認証を実行し、アクセスを許可するかどうか判断する。認証に使用するユーザ情報はローカルデータベースもしくは外部データベースとして保持する。
・Radiusクライアント(Network Access Server)
アクセスしてくるユーザの認証要求を受け付けてRadiusサーバに情報を転送する。
・ユーザ
Radiusクライアントにアクセスし、ユーザ名とパスワードを入力する。
属性と値のペアで構成される属性値ペアというフォーマットで情報をやり取りする。AVAペア、アトリビュートと呼ばれる。参考URLを参照。
- 参考URL
情報処理安全確保支援士_ISAC
- ISAC(Information Sharing and Analysis Center)
米国のセキュリティ情報共有組織である。各業界(金融、エネルギー、情報技術など)の事業者で構成される民間組織であり、設立経緯や目的が異なる複数の組織が存在する。ISCAの組織デザインについては明確に限定されていないため、組織ごとに異なる運営体型、ビジネスモデル、資本メカニズムが存在する。ちなみに、National ISAC Councilが掲げる定義も存在する。
National ISAC Council が掲げる ISAC の定義
・ 24 時間×週 7 日体制のセキュアなオペレーション機能を継続的に提供し、会員間でインシデント、脅威及び脆弱性に関する分野独自の情報共有と分析を行う
・ 分野において重要な警戒情報を収集・分析し、インシデントに関するレポートを会員に対して提供する
・ インシデント、脅威、及び脆弱性が分野に与える影響について、関係政府機関への説明を行う
・ 重要インフラ防護の目的において、サイバー/物理に関わらず、あらゆる脅威情報を会員間で共有するための信頼出来るシステムを提供する
・ 意図的/非意図的に関らず政府や他 ISAC に被害をもたらす、又はその可能性がある事象が発生した場合、専門的な支援や情報共有を行う
- 参考URL
情報処理安全確保支援士_SSH
- SSH(Secure Shell)
ネットワークに接続された機器をリモートで安全に操作するためのプロトコルである。パスワード認証方式と公開鍵認証方式がある。Teratermなどのツールを使ってサーバに接続したりすることが多いと思われる。
・パスワード認証方式
一般的に使われている方式。設定したユーザ名とパスワードでログインする。
・公開鍵認証方式
公開鍵と秘密鍵を使用した接続方式。サーバ側に公開鍵を、クライアント側に秘密鍵を配置する。ssh-keygenコマンドを使って公開鍵と秘密鍵を生成する方法がよく知られている。
- 参考URL
情報処理安全確保支援士_VPN
- VPN(Virtual Private Network)
インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワークである。通信者間でトンネリング通信を行い、データをカプセル化することで攻撃者が情報を読み取れなくする。
試験では、よくフリーWifiのSSIDと同じ設定をした攻撃者用サーバを要しておいて、ターゲットに接続させられた、、、のでVPNを検討したみたいな問題が出ていたと思います。
・メリット
- 無料Wi-Fiなど無線ネットワークでの覗き見、改ざんリスクの低減
- 物理的な距離に関係なく疑似的なLANを構築できる
- アクセスが匿名化されるため第三者にIPアドレスを知られる心配がない
- 専用線よりもはるかに低コストで専用線に近いセキュリティを実現できる
・デメリット
- VPNだからといってセキュリティが完璧になるわけではない
- VPNでのぞき見などを防ぐことはできても、マルウェアを検出することはできない
- 満足な通信速度が得られない場合がある (特に日本に接続するVPNサーバーが無い場合)
- モバイル機器の場合、バッテリーを多く消費する可能性がある
- IPSec-VPN(Security Architecture for Internet Protocol VPN)
暗号技術を使ってIPパケットの完全性や機密性を実現する仕組みである。IPsecを使うホストは、相手のホストと事前にIPsecで使う暗号の種類や暗号鍵を取り決める。この取り決めはSA(Security Association)と呼ばれる。また、SAの交換と、交換する相手ホストの認証にIKE(Internet Key Exchange)が使われる。このIPSecを利用したIPSecVPNがある。ネットワーク層で動作し、トンネリングが可能である。情報セキュリティを維持するために、IPSecをさらに構成するプロトコルとして、以下の3つがある。
(1)認証ヘッダー Authentication Header(AH)
(2)セキュリティペイロードのカプセル化 Encapsulation Security Payload(ESP)
(3)鍵交換プロトコル Internet Key Exchange(IKE)
暗号化にSSL技術を使用したリモートアクセスVPNのことである。セション層で動作する。SSL-VPNには「リバースプロキシ、ポートフォワーディング、L2フォワーディング」の3方式がある。
- 参考URL
VPN接続とは?VPNの基本とメリット・デメリットを紹介|ICT Digital Column 【公式】NTTPCコミュニケーションズ
【初心者も5分で理解!】VPNとは?身近な事例でわかりやすく解説!|初心者!VPNトーーク!
インターネット用語1分解説~IPsecとは~ - JPNIC
【わかりやすい】 【図解】IPSecの仕組みとは?IPSec-VPN とSSL-VPNの違い | カゴヤのサーバー研究室
情報処理安全確保支援士_送信ドメイン認証技術
- SPF(Sender Policy Framework)
メールの送信元(Sender)ドメインが詐称されていないことを証明するための技術で、DNSを利用する。ドメインをSPFに対応させるには、 そのドメインのゾーンデータにSPFレコード情報を追加する。 SPFレコードには、 そのドメイン名を送信元としてメールを送ってもよいサーバのIPアドレス等を記述する。
一方、SPFに対応したメール受信サーバは、 メールの受信時にそのメールの送信元となっているドメインのSPFレコードを、 DNSで問い合わせる。 送信元のサーバがSPFレコード中で許可されていない場合は、 送信ドメインの詐称が行われたと判断して、 受信を拒否する。
- DKIM(Domain Keys Idenrified Mail)
受信したメールが改ざんされていない正当なメールかどうかを調べることができる電子署名を付与する。送信側はあらかじめ送信メールサーバに自ドメイン対する公開鍵をDNSに登録しておく。メールが送信された時に送信メールサーバ側で秘密鍵でデジタル署名を不可し、受信側では署名されたメールが配送された時点で、送信ドメインからDNSに登録された公開鍵を取得する。その公開鍵でデジタル署名を取得して内容を検証することで、改ざんされていないかどうかを判定できる。
- DMARC(Domain-based MEssage Authentication, Reporting and Conformance)
SPFやDKIMの認証が失敗したときの対応策を定めたものである。SPFおよびDKIMを用いて送信元ドメインを認証する際、 認証に失敗したメールをどのように取り扱うかは、受信者の判断に任せられている。 また、認証に失敗したことやそのメールがどのように処理されたかは、 送信者には把握することができない。
- 参考URL
インターネット用語1分解説~DMARCとは~ - JPNIC
送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説 – エンタープライズIT [COLUMNS]
情報処理安全確保支援士_XSSとCSRF
ユーザのアクセス時に表示内容が生成される「動的Webページ」の脆弱性、もしくはその脆弱性を利用した攻撃方法のことである。
よく攻撃者が送信したメールに記載されたURLをクリックして~、などの問題で出てくる。この場合、被害者が使用していたWebブラウザに是弱性がある、かつそれを利用して攻撃されたという意味でXSSが使われていると思われる。なぜクロスなのかというと、攻撃者が直接被害者のサイトに攻撃するのではなく、別の掲示板等に被害者がクリックしそうなリンク等を設定しておき、そのリンクを踏むことで被害者側の端末にスクリプトを仕込むからである。スクリプトが仕込まれた状態で被害者が自分のサイトにアクセスすると、巧妙に似せた偽ページを表示したりして、ログインクレデンシャル情報を搾取したりできる。
Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法のことである。CSRFの脆弱性があるWebアプリケーションにログインした状態で、別の攻撃車が用意したWebページにアクセスしてしまうと、Webアプリケーションでユーザが意図していない操作(勝手に掲示板に投稿するなど)をされてしまう。
XSSはWebブラウザに対してJavaScriptでできる範囲ならなんでも実行されてしまうが、CSRFはWebアプリケーションに対してアプリケーションでできる範囲でなんでも実行されてしまう。XSSはクライアント側でCSRFはサーバ側、というイメージ。
(どうせなら、XSCFとXSSFみたいな感じでサーバかクライアントか分かるようにしたらよかったのに。あとIT全般について略語多すぎ(あと適当につけたやろみたいなのとか)て初見だと意味わからんなあと思うことが多々あります。浅いからかもしれんけど。独学大全とか参考に勉強したほうがいいんかなあ、あそこまでするモチベーションが中々わかないんですけどね..)
- 参考URL
クロスサイトスクリプティング(XSS) | トレンドマイクロ
クロスサイトリクエストフォージェリ(CSRF) | トレンドマイクロ
クロスサイトスクリプティングって何?サイトのセキュリティを高めるために | カゴヤのサーバー研究室
