会員登録後、有料プランで広告を非表示に
詳しくはこちら
ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。 主な資格としては、情報処理安全確保支援士、ネットワークスペシャリスト、情報セキュリティマネジメントなどの過去問を挙げて解説していきます。
ポートスキャンとは、ネットワークを介する攻撃手法の一つで、サーバなどコンピュータに対してポート番号の変化させ網羅的に多数のIPパケットを送信することで、稼働しているサービスの種類を外部から調査する手法のことです。 コンピュータが通信を行うには通信プロトコルのTCPやUDPを使用しますが、0〜65535番までの番号で識別される「ポート(port)」と呼ばれる接続用の窓口を利用します。 例えば、WebサーバがHTTPの接続を受け付けるのに、TCPの80番ポートを利用します。 ポートスキャンは攻撃の前段階の調査として行われるもので、ある宛先ポート番号のIPパケットに対して応答が返ってきた場合は、その…
WAF(Web Application Firewall) Ver.2
WAFとは、Webサーバにアクセスするデータの内容を監視し、外部からWebアプリケーションプログラムへの攻撃を検知、防御するシステムです。 Webアプリケーションには脆弱性が存在する場合があり、攻撃者がこれを悪用して遠隔操作や窃取などの不正アクセスを行う場合があります。 例えば、クロスサイトスクリプティングやSQLインジェクションなどによる攻撃です。 本来は、Webアプリケーション側で脆弱性の修正で対処することが望ましいのですが、即時に対応できない場合が多いのが実情です。 WAFはアプリケーション層で動作するファイアウォールのことで、Webサーバへの通信を監視して、ログとして保管します。 また…
IPsec(Security Architecture for Internet Protocol)
IPsecとは、インターネットなどの開かれたネットワーク上において、専用線と同様なセキュリティが確保された通信を行うための暗号化・認証プロトコルの一つです。 IPsecはOSI基本参照モデルのネットワーク層において暗号化などの処理を行います。 したがって、ネットワーク層より上位層のトランスポート層(UDP、TCP)やアプリケーション層(HTTPなど)のプロトコルが暗号化に対応していなくても安全に情報をやり取りできます。 IPsecには二つの動作モードがあります。 トランスポートモード:IPヘッダ部分はそのままで、送受信するデータ本体(ペイロード)部分のみを暗号化する。 トンネルモード:パケット…
不正のトライアングルとは、人が不正行為をする原因をまとめた理論で、米国の犯罪学者のドナルド・R・クレッシー氏により提唱されました。 次の三つが揃ったとき、不正行為が発生するとしています。 機会:「作業の実行者と承認者が同じ」「承認者が作業内容を確認せずに承認している」など、不正行為を実行できるような客観的環境があること。また、情報システムに適切なアクセス権限が設定されておらず、機密情報を誰でも参照・複製ができるような環境も該当する。 動機:「多額の借金があり返済に追われている」など、不正行為を実行しようとする主観的事情があること。また、厳しいノルマがあり、プレッシャーから業務内容を改ざんしよう…
PCI DSS(Payment Card Industry Data Security Standard)
PCI DSSとは、クレジットカード情報を保護し、安全に取り扱うことを目的として、クレジットカード情報を取り扱う事業者に対するセキュリティ基準を定めた規格の一つで、2004年にVISA、MasterCard、AmericanExpressなどが共同で策定した基準です。 PCI DSSでは、技術面及び運用面に関する各種のセキュリティ要件が提供されています。 その中には、「安全なネットワークの構築と維持」「カード会員データの保護」「脆弱性管理プログラムの整備」などが定められており、カード業界以外でもセキュリティ基準の標準として利用されることもあります。 www.jcdsc.org 平成29年度 春…
CRL(Certificate Revocation List) Ver.2
CRLとは、ディジタル証明書の失効リストのことで、有効期限内に失効となったディジタル証明書がシルアル番号で記載されています。 CRLの仕様はITU(国際電気通信連合)のX.509で規定されています。 CRLは、ディジタル証明書を発行した認証局(CA:Certification Authority)が該当するディジタル証明書を登録し、定期的に更新されています。 CRLには、シリアル番号の他に、発行したCA名、更新日、次回更新日などが記載されています。 尚、有効期限切れで無効となったディジタル証明書は記載されません。 ディジタル証明書が失効となる理由として、例えば、該当する秘密鍵が漏えいして悪用さ…
信頼性とは、情報セキュリティの要素の一つで、情報システムによる処理に欠陥や不具合がなく、期待した処理が確実に行われているという特性のことです。 JIS Q 27001:2014(情報セキュリティマネジメントシステムー用語)では、以下のように定義されています。 意図する行動と結果とが一貫しているという特性。 kikakurui.com 同資料では、情報セキュリティの定義としては、「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある」としています。 それぞれの用語について以下に示します。カッコ内は上記のJIS Q 2…
真正性とは、情報セキュリティの要素の一つで、利用者、プロセス、システム、情報などのエンティティが、それが主張する本人である(なりすましではない)という特性のことです。 JIS Q 27001:2014(情報セキュリティマネジメントシステムー用語)では、以下のように定義されています。 エンティティは、それが主張するとおりのものであるという特性。 kikakurui.com 同資料では、情報セキュリティの定義としては、「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある」としています。 それぞれの用語について以下に示…
ディレクトリトラバーサル攻撃(directory traversal attack)
ディレクトリトラバーサル攻撃とは、Webサーバ等のようにユーザが入力したファイル名にしたがって処理を行うコンピュータシステムにおいて、特殊な文字列を指定することにより、通常は外部からのアクセスを想定していないディレクトリやファイルを不正に閲覧する手法のことです。 OSの多くはファイルやディレクトリの所在を記述するパスとして、現在のディレクトリは「.」、一階層上の親ディレクトリは「..」、最上位ディレクトリは「/」や「¥」など特殊な記号の組み合わせが用いられています。 /etc/passwd ../../etc/passwd これを悪用して、コンピュータシステムに対して、ディレクトリ階層を移動す…
ディジタル署名とは、文書やメッセージなどデータのの真正性を証明するために付加する短い暗号データのことです。 電子署名とも言われる場合がありますが、電子署名は押印やサインに相当する証明手段を電子的な手段で実現したもの全般を意味する総称です。 ディジタル署名により、データの作成者・送信者を証明して、また、データの改ざんやすり替えが行われていないことを保証します。 インターネットなど信頼できないネットワークを介するデータの送受信で利用されますが、データを安全に保管する場合などにも利用されます。 また、データの作成者・送信者が、当事者であることを否定するのを防ぐ、否認防止の証拠として利用される場合もあ…
ソーシャルエンジニアリングとは、ソーシャル(社会的)な手段によって、パスワードや重要情報を不正に得ようとする手口のことです。 エンジニアリングとありますが、技術的な方法というより、人の心理に付け込む方法になります。 社会的な手段とは、コンピュータやネットワークの管理者や利用者から、盗み聞きや盗み見、話術による聞き出しなどの手段を用いることです。 ソーシャルエンジニアリングの例としては、以下のようなものがあります。 パスワードを入力するところを後ろから盗み見る 本人になりすまして「パスワードを忘れてしまったので教えてください」などという電話をかけて、セキュリティ管理者からパスワードを聞き出す オ…
ハッシュ関数とは、任意の長さのデータを入力すると固定長のビット列を返す関数です。このビット列のことをハッシュ値またはメッセージダイジェストと言います。 入力データが同じであれば、常に同じメッセージダイジェストが生成される。 入力データがわずかでも異なる場合は、メッセージダイジェストは大きく異なる。 メッセージダイジェストから、元の入力データを復元することは困難である。 異なる入力データから同じメッセージダイジェストが生成される可能性は非常に低い。 同じメッセージダイジェストを出力する異なる二つの入力データを特定することは困難である。 メッセージダイジェストの長さは、入力データの長さによらず一定…
ディジタル証明書 ディジタル証明書とは、暗号化通信やディジタル署名に用いる公開鍵の通信において、受信者が公開鍵の所有者を確認するために同封される一連のデータセットのことです。別の呼び方として、サーバ証明書、電子証明書、公開鍵証明書などがあります。 ディジタル証明書は、認証局(CA:Certificate Authority)に申請し審査に合格すると発行されます。 ディジタル証明書は、公開鍵をインターネット上で安全に確実に送受信間でやり取りする方式として考案されました。 それは、公開鍵が通信途上で改ざんやすり替えされておらず、確かに送信者本人のものであることを受信者が確認できるように、公開鍵のデ…
2要素認証 2要素認証とは、利用者の本人確認などの認証において、二つの異なる方式の認証手段を組み合わせることです。これにより精度と安全性を高めることができます。 認証の方式は主に以下のように分類できます。 WYK(What You Nnow)認証:本人しか知らない情報を用いる(パスワード、暗証番号) WYH(What You Have)認証:本人しか持っていないモノを用いる(乱数表、USBトークン) WYA(What You Are)認証:本人の人体パターンを用いる(指紋、虹彩) 2要素認証は、これらの方式から異なる二つ(パスワードとUSBトークン、暗証番号と指紋など)を組み合わせ、連続的に実…
DMZ(DeMilitarized Zone)(非武装地帯、非武装セグメント) DMZとは、インターネットなど組織の外部と接続するネットワークにおいて、外部と内部の両方のネットワークの中間に位置付けられた領域のことで、ファイアウォールなどを介してネットワークが分離され構成されます。 DMZという言葉は軍事用語であり、紛争地域の軍事境界線付近で軍事活動の禁じられて地域のことをいいます。 外部ネットワークと直接通信する必要がある公開サーバやDNSサーバ、メールサーバなどが、DMZに配置されます。 通常、外部ネットワークから内部ネットワークへ、ファイアウォールを介して直接通信するような構成は取りませ…
辞書攻撃 辞書攻撃とは、ユーザのパスワードを推測するための攻撃方法の一つで、辞書に載っている一般的な名詞などの単語(administrator、managerなど)や、パスワードに使用されることが多い文字列(root、1111など)を1つずつ試していく攻撃です。 大文字、小文字や数字を組み合わせたパターンも試しますが、コンピュータにより短時間で処理できるため、基本的なパスワード破りの手法として用いられます。 よく使用するパスワードは、できるだけ分かり易くて覚えやすい一般的な単語やそれらの組合せを使用しがちです。この心理をついてパスワードを推測しようとするものです。 辞書攻撃への対策としては、推…
スニッフィング スニッフィングとは、ネットワーク上のパケットを盗聴する行為です。 暗号化されていないデータは全て見ることができて、ユーザ名やパスワード、クレジットカード番号などの個人情報、メール本文など、本人に気づかれないで盗み見することができます。 通常は、管理用にネットワーク上のパケットやフレームを読み取り表示するキャプチャツールで利用されますが、これを悪用して盗聴することができてしまいます。 有線LANでは、リピータハブという装置で通過する全ての送受信データを受け取ることができ、自分宛て以外のデータもキャプチャツールで盗み見することができます。 無線LANでは、想定する利用場所から漏れ出…
情報セキュリティマネジメント【ブルートフォース攻撃(総当り攻撃)】
ブルートフォース攻撃(総当り攻撃)(brute force attack) ブルートフォース攻撃とは、考えられる全ての種類の文字列などの組み合わせを総当りで試行して、パスワードや暗号鍵を解読する方式のことです。 「brute force」は「力づく」という意味です。 例えば、0〜9の数字10個と、A〜Zの英大文字26個の組み合わせで、3文字の文字列の場合、36の3乗で46,656種類のパターンが存在します。これを1個ずつ試行していくと必ず合致して、不正にログインしたり、暗号鍵の解読が可能になります。 ブルートフォース攻撃への対策としては、文字数の長さをできるだけ長くしたり、ログインの試行回数に…
ディジタルフォレンジックス ディジタルフォレンジックスとは、コンピュータ犯罪に対する科学的調査において、コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠を明らかにする手段や技術の総称をいいます。 対象となるパソコン、サーバ、ネットワーク機器、携帯電話、情報家電などデジタルデータを扱う機器全般から証拠となるデータを抽出したり、通信記録から活動状況を割り出したり、さらに、破壊・消去されたデータを復元したりする活動が含まれます。 平成29年度 春期 情報セキュリティマネジメント試験 午前 情報セキュリティマネジメント試験 平成29年度 春期 午前 問15 ア あらかじめ設定した運用…
内部不正 内部不正とは、組織の内部者の不正行為による情報セキュリティインシデントの発生のことをいいます。 外部からの不正アクセスよりも多くの顧客情報や製品情報などの秘密情報が漏えいするケースもあり、賠償や信用失墜など組織にも甚大な影響をもたらします。 内部不正への対策は、それぞれの組織の事情や経験に基づき、個別に対策を講じているのが実情です。 IPA(独立行政法人情報処理推進機構)では、企業やその他の組織において必要な内部不正対策を効果的に実施可能とすることを目的に、「組織における内部不正防止ガイドライン」を作成し、公開しています。(第1版は2013年3月、最新の第4版は2017年1月) 本ガ…
IDS(Intrusion Detection System) IDSとは、内部ネットワークに対する外部(インターネットなど)からの攻撃を検知するための侵入検知システムのことです。 IDSには、NIDS(ネットワーク型IDS)とHIDS(ホスト型IDS)の2つがあります。 NIDS(Network-based IDS) ネットワーク上に配置して、流れているパケットの内容を解析し、攻撃に使用されるタイプのパケットや、挙動の疑わしいパケットを判別して、検知すると管理者に通知します。 多くのNIDSはステルスモードという、ネットワーク上で自身の存在を隠すことができる状態で配置する機能を持ちます。 H…
JVN(Japan Vulnerability Nptes) JVNとは、ソフトウェアの脆弱性対策情報ポータルサイトのことで、2004年からJPCERT/CC(JPCERTコーディネーションセンター)とIPA(独立行政法人情報処理推進機構)によって運営されています。 JVNの設立の経緯は、脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基づいています。 JVNの目的は、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に貢献することです。 JVNに公開される情報としては以下のようなものがあります。 脆弱性が…
ISMS(Information Security Management System) ISMS(情報セキュリティマネジメントシステム)とは、組織内での情報資産の取り扱いについて、その確保すべきセキュリティ水準を定め、計画や規約、体制を整備して運用していく取り組みのことです。 ISMSは、国際規格のISO/IEC 27001、国内規格JIS 27001に定められた要求事項を満たす必要があります。 そのためには、これらの規格を満足する情報セキュリティポリシーを作成して、全社的な取り組みとして周知、実施を図る必要があります。 また、情報セキュリティポリシーは定期的に見直しして、各プロセスを繰り返…
タイムスタンプサービス タイムスタンプとは文書データに付与された日時情報のことですが、情報セキュリティにおいては、文書データの存在証明と原本保証性を証明するために、この日時情報を利用するサービスをタイムスタンプサービスといい、タイムスタンプ機関(時刻認証局、TSA:Time-Stamping Authority)が提供するサービスです。 存在証明:文書データがその日時以前に確かに存在する 原本保証性:文書データが作成された時刻以降に変更・改ざんされていない 文書データの作成時は、文書データからハッシュ関数により算出したハッシュ値①をTSAに送信。TSAでは、受信したハッシュ値と日時データを合わ…
危殆化 危殆化とは、暗号技術において、コンピュータ性能など技術の進歩により暗号強度が低下してしまうことです。 危殆化により、当初は解読が難しかった暗号アルゴリズムが容易に解読できるようになったりします。 例えば、1976年に開発された共通鍵暗号方式のDES(Data Encryption Standard)は、共通鍵として56ビットのデータ列を用います。この場合、鍵のバリエーションは2の56乗である約7京です。 DESが開発された当初は、コンピュータの性能が低かったため、鍵のバリエーションを現実的な時間内にすべて試すことは不可能でした。そのため、暗号文が解読されるリスクはほとんどありませんでし…
情報セキュリティマネジメント【情報セキュリティインシデント】
情報セキュリティインシデント 情報セキュリティインシデントとは、情報セキュリティに関する事件や事故のことです。具体的には、情報漏えい、改ざんや消失、日常使用している機能の停止または極端な性能の低下などがあります。 情報セキュリティインシデントによる損害を最小限に抑えるためには、予防策を講じるとともに、インシデント発生時の対応方法を明確にしておく必要があります。 具体的な対策については、IPA(情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」が参考になります。 まず、経営者がやるべきこととして、項目を次のように挙げています。 【認識すべき「3原則」】 原則1:情報セ…
リスクレベル(level of risk) リスクレベルとは、JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)では、以下のように説明されています。 結果とその起こりやすさの組み合わせとして表現される、リスクの大きさ(目的に対する不確かさの影響) これ以外にも、リスク基準、リスク特定、リスク分析、リスク評価など、リスクに関する様々な用語が説明されています。 kikakurui.com 尚、最新版はJIS Q 27000:2019となっています。 www.kikakurui.com 平成29年度 春期 情報セキュリティマネジメント試験 午前 情報セキュリティマネジメン…
情報セキュリティマネジメント【リスクマネジメント】Ver.2
リスクマネジメント リスクとは、情報資産に対する脅威と脆弱性により発生するもので、その危険度によりメリハリのある投資を行うことで、効率的なセキュリティ管理を行うことができます。 リスクマネジメントとは、主にリスクの評価を行うリスクアセスメントと、リスクアセスメントによって評価されたリスクに対してどのような対策を講じるかを決めるリスク対応など、一連のプロセスをいいます。 リスクマネジメントに関する標準規約としてJIS Q 31000があります。JIS Q 31000は、リスクを識別、管理していくためのプロセスと、それを行っていくための組織作りや継続的改善のフレームワークが示されています。 (Ve…
リスクマネジメント リスクとは、情報資産に対する脅威と脆弱性により発生するもので、その危険度によりメリハリのある投資を行うことで、効率的なセキュリティ管理を行うことができます。 リスクマネジメントとは、主にリスクの評価を行うリスクアセスメントと、リスクアセスメントによって評価されたリスクに対してどのような対策を講じるかを決めるリスク対応など、一連のプロセスをいいます。 リスクマネジメントに関する標準規約としてJIS Q 31000があります。JIS Q 31000は、リスクを識別、管理していくためのプロセスと、それを行っていくための組織作りや継続的改善のフレームワークが示されています。 平成2…
ディザスタリカバリ(Disaster Recovery:災害復旧) ディザスタリカバリとは、災害などによってシステムが停止するなどの被害が発生した際に、できるだけ早く回復させて、事業を早期に再開させるための手段や手順の総称のことです。 地震などの自然災害だけでなく、機器故障、不正アクセスなどのサイバー攻撃など、不測事態なども含みます。 また、被害発生時のみに限らず、被害を最小限にするために行う予防策なども含まれます。 ディザスタリカバリに類似するキーワードとして、以下のようなものがあります。 BCM(Business Continuity Management:事業継続管理) BCP(Busi…
CSIRT(Computer Security Incident Response Team) CSIRTとは、情報セキュリティに関するインシデント(不正アクセス、マルウェア、情報漏えいなど)が発生したときに、対応するチームの総称のことです。 CSIRTは、企業などの組織単位のものから、国家単位で他国と情報連携する大規模なものまで、様々な形態があり、いずれも報告の窓口対応から原因分析、対策検討などを行います。(日本の代表的なCSIRTは、JPCERTコーディネーションセンターという組織です) www.jpcert.or.jp 平成29年度 春期 情報セキュリティマネジメント試験 午前 情報セキ…
情報セキュリティマネジメント【サイバーセキュリティ経営ガイドライン】
サイバーセキュリティ経営ガイドライン サイバーセキュリティ経営ガイドラインとは、経済産業省とIPA(情報処理推進機構)が策定したもので、企業の経営者向けにサイバーセキュリティへのリーダシップとして取るべき対策を示したものです。 具体的には、経営者が認識する必要のある「3原則」、及び経営者がCISO等の情報セキュリティ対策の責任者に指示すべき「重要10項目」がまとめられています。 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要 平時及び緊急時のいずれにお…
「ブログリーダー」を活用して、湊 コウさんをフォローしませんか?
指定した記事をブログ村の中で非表示にしたり、削除したりできます。非表示の場合は、再度表示に戻せます。
画像が取得されていないときは、ブログ側にOGP(メタタグ)の設置が必要になる場合があります。
