ネットワーク資源の一元管理
- ネットワーク資源を一元管理して、利用者に提供する仕組みは、一般に、ディレクリサービスといわれ、シングルサインオンなどで利用される
不正アクセスの攻撃手法
- LAN内で稼働している端末が持っているIPアドレスとMACアドレスの対応表は、ARPパケットにより書換え可能である
- Webサイトを改ざんすることにより、Web感染型ウイルスをWebサイト閲覧者のパーソナルコンピュータに感染させようとする攻撃手法にガンブラーがあり、別名GENOウイルスといわれる
- セキュリティパッチがまだ無い状態において、その脆弱性を狙って行われる攻撃は、ゼロディ攻撃といわれる
- コネクションが確立できたことにより標的ポートが開いていることを確認する方法は、TCPスキャンといわれる
不正ログイン
- IDとパスワードの組み合わせを全て同じにしていると、その中のいずれかのサービスでアカウント情報が漏洩した場合、パスワードリスト攻撃により別のサービスにおいても不正にログインされるおそれがある
ファイアウォール
- NAT機能は、一般に、ファイアウォールやルータに実装されており、NAT機能を用いることにより、外部に対して内部の送信元IPアドレスを隠蔽することができる
- アプリケーションゲートウェイ型ファイアウォールは、プロキシサーバの形態で動作することから、このファイアウォールの内側と外側との直接のアクセスを制限できるため、パケットフィルタリング型ファイアウォールと比較して、高いレベルのセキュリティ確保が可能とされている
- ネットワーク層とトランスポート層で動作し、パケットのIPヘッダとTCP/UDPヘッダを参照することで通過させるパケットの選択を行なうファイアウォールはサーキットレベルゲートウェイといわれる
デジタル署名
- 悪意のある第三者による送信データの改ざんの有無と送信者のなりすましを確認することができる
- 送信者がデータを送信したことを、後になって否認することができなくする否認防止の機能がある
- 送信者の秘密鍵が漏洩すると、なりすましやメッセージの改ざんの危険が発生する
- 通信内容の秘匿に公開鍵暗号方式を使用する場合は、受信者の公開鍵と秘密鍵が用いられ、デジタル署名に公開鍵暗号方式を使用する場合には、送信者の秘密鍵と公開鍵が用いられる
電子データ送受信の脅威
- 悪意のある第三者によって電子データが不正に変更されることを防止するための手段として、一般に、メッセージ認証が有効とされている
- 送信者が後になって送信の事実を否定したり、内容が改ざんされたと主張することを防止するための手段として、電子署名が有効とされている
暗号化メール
- S/MIMEは、第三者の認証機関により保証されたデジタル証明書を用いる電子メールの暗号化方式である
- PGPを電子メールで利用する場合には、送信者側は電子メールのメッセージを共通鍵で暗号化して、その鍵を送信相手の公開鍵を用いて暗号化するハイブリッド暗号方式が用いられる
IPsec
- 動作モードには、トンネルモードとトランスポートがある
- ESPプロトコルでは、ネットワーク上に流れるデータを暗号化することによって、ネットワーク上における盗聴からデータを保護できる
- SSL/TLSが同じく、ネットワーク層のプロトコルであり、クライアントとサーバ間相互の通信や電子メール通信において標準として広く利用されている
- データを送信する際にデータんい認証情報を付加して送信することにより、受信側では通信経路途中でのデータの改ざんの有無を確認することができる
情報セキュリティポリシー
- 基本方針は、情報セキュリティに関する、組織としての基本的な考え方・方針を定めたものであり、組織内外に対する情報セキュリティに関する行動指針として用いることもある
- 対策基準は、情報セキュリティ基本方針を遂行するために具現化した基準であり、情報の取り扱い基準や社内ネットワークの利用基準などがある
- 対策実施手順・規定などは情報セキュリティ対策基準を守るための詳細な手順や規定であり、情報セキュリティ対策基準では記述しきれない個別の規定や具体的な手順書などがある
情報セキュリティ対策の技術
- 管理対象の複数のサーバから出力されるログについて、1台のホスト(ログサーバ)にまとめることにより、集中して管理する方法がある
- メモリ領域が小さすぎるてログを記録できなくなったり、トラブルによりログを失ったりしてしまう場合に備えて、定期的にログのバックアップを取得する方法が有効であり、バックアップ先としては改ざんが不可能なメディアを使用することが望ましいとされている
- 侵入検知システムを導入しても、侵入検知システムのセンサの処理可能な能力を超えることなどが原因となってログを収集できない場合がある
- 不正侵入を検知した場合は、そのアクセスがどのようなものかを知るためにはできるだけ詳細な情報が必要であるが、管理対象のシステムの規模が大きいとログが膨大となる
- 侵入検知システムにおけるフォルスポジティブとは、正常な通信にも関わらず不正であると判断してしまう誤検知のことである。フォルスポジティブを放置しておくと、どれが本当の不正な通信であるかわからなくなってしまう危険性がある
ネットワーク上での攻撃
- ネットワーク上に流れるIPパケットを盗聴して、そこからIDやパスワードなどを拾い出す行為は、スニッフィングといわれる
- IPアドレスを詐称することにより、そのIPアドレスの保持者になりすまし、ハッキングなどを行う行為はIPスプーフィングといわれる
セキュリティ強化の強化
- 退出記録がないのにまた入室したり、退出記録があるのにまた退出するといった矛盾した情報が発生していないかを監視する機能は、アンチパスバック機能といわれる
- 端末の情報を盗み見られないようにすることは、クリアスクリーンといわれる
セキュリティプロトコル
- S/MIMEは、電子メールでマルチメディア情報を取り扱う規格であるMIMEに、セキュリティ機能を実装したものである
- SSHはアプリケーション層のプロトコルであり、サーバとリモートコンピュータとの間でセキュアなリモートログインを可能としている
- SSLではRSAなどの公開鍵暗号を利用したデジタル証明書による認証を行い、なりすまし行為を防いでいる
- RADIUSはダイヤルアップ接続時などにおけるユーザ認証、ユーザ情報の管理などを行い、アクセスサーバと認証サーバとの間で用いられる
SQLインジェクション
- 攻撃者がデータベースと連動したWebサイトにおいて、データベースへの問い合わせや操作を行うプログラムの脆弱性を利用して、データベースを改ざんしたり、情報を不正に入手したりする攻撃である
ウイルス検知の仕組み
- コンピュータウイルスに特徴的な挙動の有無を調べることによりコンピュータウイルスを検知するものは、ヒューリスティック方式といわれる
侵入検知システム
- OSやアプリケーションが生成するシステムログ、監査ログ、イベントログなどの情報を利用する方法が用いられる
- 不正な通信や異常を検知した場合には、管理者への通知、ログの出力、ファイアウォールとの連携による防御などの処理を行う機能を有している
ISMSの管理策
- 組織が採用した分類体系に従って、取り外し可能な媒体の管理のための手順を実施しなければならない
- 情報を格納した媒体は、輸送の途中における、認可されていないアクセス、不正使用または破損から保護しなければならない
- 媒体が不要になった場合は、正式な手順を用いて、セキュリティを保って処分しなければならない
- 情報、法的要求事項、価値、重要性、及び認可されていない開示又は変更に対して取り扱いに慎重を要する度合いの観点から、分類しなければならない
個人情報
- 生存していない個人に関する情報は、個人情報に該当しない
- 悪質な顧客のブラックリストでも、個人情報に該当する
- 個人情報取扱事業者は、個人情報を取り扱うに当っては、その利用の目的を出来る限り特定しなければならない
暗号方式
- 公開鍵暗号の一種であるRSA暗号は、大きな整数の素因数分解の困難さを利用している
- 公開鍵暗号は、暗号化と復号に異なる鍵を使っており、代表的な公開鍵暗号として、桁数の多い素因数分解を利用したRSAがある
- 共通鍵暗号は、暗号化と復号に同じ鍵を使っており、代表的な共通鍵暗号としてDESやAESがある
- 公開鍵暗号方式は、共通鍵暗号方式と比較して、鍵の配送は容易であるが、暗号化・復号処理に時間がかかる
- 共通鍵暗号の一種であるストリーム暗号はデータをビット列とみなして、1ビットごとに暗号化・復号処理を行う
- 共通鍵暗号方式は暗号鍵を第3者に対して秘匿しておかなければならないため、鍵の管理が難しい。
- ハイブリッド暗号方式は、共通鍵暗号と公開鍵暗号を組み合わせた方式であり、PGP、SSL、S/MIMEなどに利用されている