とあるIT技術者の資格試験対策サイト 情報処理, Oracle Master, MCP etc…

現在、『情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2009〉 』 の要点を、ここに書きながら暗記している次第です・・・第3部

やっと午後の対策に入れます、時間もないのではしょりながらサクサク・・・進めるといいなぁ。。

ﾂꀀ

セキュアプログラミング

興味深い情報が・・・

「過去のセキュアプログラミングに関する出題は、すべてこれらの資料から出題されています」

「IPA セキュア・プログラミング講座」（新版）
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

「IPA ISEC　セキュア・プログラミング講座」（旧版）
http://www.ipa.go.jp/security/awareness/vendor/programming/

ぬわんと・・・知りませんでした・・orz

後で目を通すことにします。。

ﾂꀀ

Perlのopen関数の脆弱性への対策

• バリデーションチェック
• sysopen関数の使用

クロスサイトスクリプティングへの対策

サニタイジング処理対象文字

HTMLの特殊文字に対するエスケープ処理ですね。
そういえば、シングルクオートだけ定義された置き換え文字がないのですよね。

SQLインジェクション対策

• サニタイジング
  • SQL文の特殊文字に対してエスケープ処理を行う。
    （とはいえ、大半がシングルクォートなのですが。。Like演算子等が絡むと説明が面倒ですね。）
• プリペアドステートメント
  • バインドメカニズムを利用。

バッファオーバーフロー対策

• strcpy関数など、確保しているメモリエリア（バッファ）の大きさを無視した書き込みが可能な関数を使用せず、代替関数（strcpyの場合strncpyなどがある）を使用する。
• プログラムの中で、データをメモリエリアに転記する際に、大きさをチェックするようコーディングする。

脆弱性のある関数

ﾂꀀ

CSRF(Cross-Site Request Forgery)対策

• Cookieとは別の"トークン"を使用
  • hiddenフィールドにトークンを埋め込む等
• 確定時に入力を要求
  • 再認証（パスワードの再入力）
  • CAPTHA(Completely Automated Public Turing test to tell Computers and Humans Apart)を利用

ﾂꀀ

ディジタル署名（PKI・SSL）

SSL通信シーケンス

• "Hello Request"の交換。
  • クライアント側で使用可能な暗号アルゴリズムや圧縮方式を通知する。
  • サーバー側で暗号アルゴリズムや圧縮方式を決定する。
• サーバーからクライアントへのメッセージ送信。
  • サーバーからディジタル証明書をクライアントへ送る。(Server Certificate)
    • ディジタル証明書がない場合、Diffie-Hellmanの鍵交換方式を使用する事も可能。(Server Key Exchange)]
  • クライアント証明書を送るように要求する設定可能。(Certificate Request)
• クライアントからサーバーへのメッセージ送信。
  • サーバーから送られてきたデジタル証明書の正当性を確認。
  • サーバーの公開鍵を利用して、クライアント側で作成したプレマスターシークレットをサーバーへ送信。(Client Key Exchange)
  • サーバー側から要求がある場合は、Client Certificateでクライアント証明書をサーバーに送信する。
• 暗号化通信開始

ﾂꀀ

時刻認証

ディジタル証明書により作成者の正当性を証明するだけでなく、当該電子データが、確かにその日、その時刻に存在していたことも証明できるようになる。

時刻認証に関する基礎知識

証明内容

機関

ﾂꀀ

時刻認証方式

ﾂꀀ

ICカード

ICカード内にOSがあり、APを組み込める。

ICカード内で、鍵ペアの生成、秘密鍵の利用を行える。

PIN(Personal Identificateion Number)

ﾂꀀ

その他の認証技術

• パスワード認証
• バイオメトリクス認証
  • 正常認識
    • 本人受入率・・・本人を本人と正しく認識する割合
    • 他人拒否率・・・他人を他人と正しく認識する割合
  • 異常認識
    • 他人受入率・・・他人を本人と認識してしまうエラー割合
    • 本人拒否率・・・本人を他人と認識してしまうエラー割合
• IEEE802.1x認証

ﾂꀀ

Webサーバーのセキュリティ

セッション管理

• クエリストリング
• hidden
• Cookieを使ったセッションメカニズム

ﾂꀀ

電子メールのセキュリティ

SPAMメール対策

• SMTPの第三者リレーの禁止
• 送信者認証
  • AUTHコマンド(SMTP-AUTH)を使う
  • POP before SMTP
• OP25B
• 送信ドメイン認証

ﾂꀀ

ファイアウォール・IDS・UTM

IDS(Intrusion Detection System)

• ホスト型IDS(HIDS)・・・ホストにくる不正アクセスを検知。(ログ情報を解析）
• ネットワーク型IDS(NIDS)・・・ネットワーク上を流れるパケットより不正アクセスを検知。

IDS検知の仕組み

• Misuse検知（不正利用検知）
• Anomaly検知（異常検知）

シグネチャ

• false positive　・・・　正常なアクセスを異常と判断しアラームを出す。
• false negative　・・・　不正なアクセスを正常と判断しアラームを出す。

ﾂꀀ

UTM(Unified Threat Management)

統合脅威管理の事。

特にUTMの明確な定義はないが多くのUTM製品が持っている機能をピックアップすると次のような機能がある。

• ファイアウォール機能
• VPN機能
• コンテンツセキュリティ
  • IPS機能
  • アンチウィルス機能
  • メールフィルタリング機能
  • コンテンツフィルタリング機能

ﾂꀀ

検疫ネットワーク

クライアントパソコンの安全性を検査するために社内LANから隔離されたネットワーク。

認証VLANなどを使って実現する。

ﾂꀀ

VPN

VPNを実現する技術

VPN方式の比較

ﾂꀀ

ログ

用途

• インシデントが発生した後の調査
• インシデントの検知に利用
• 内部犯行の抑止効果。

コンピュータフォレンジクス(コンピュータ犯罪の法的な証拠）

ﾂꀀ

JIS Q 27002:2006で次のポイントを示している

• 監査ログの取得
• システム使用状況の監視
• ログ情報の保護
• 実務管理者及び運用担当者の作業ログ
• 障害のログ取得
• クロックの同期

ログ監査の実施手順

• 監査目的・監査方針を決める
• 目的・方針に合ったログ取得対象を決める
• 監査ログの保存（DB監査を設定し、DB監査を開始する）
• 監査ログの監視（監査結果をチェックする）

ﾂꀀ

インシデント対応

インシデント対応の基本的な手順

1. ネットワークから切断（被害拡大を防止）
2. スナップショットを保存（後の原因分析および要因特定）

※現場利用者が自分の判断で再インストールしたり、ウィルスを削除することは誤った対応。

現場利用者から連絡を受けた責任者または管理者は、現場利用者に事実確認を指示し、影響範囲を特定する。

そのあと必要に応じて、外部専門家と連携を取りながら原因を追及し普及する。

ﾂꀀ

物理的セキュリティ対策

一般的な入退室管理の手順

1. 来訪者の受付：受付で会社名、指名、訪問先部署・担当者、要件等を記入する。
2. その記入用紙の控えを名札とともに渡される。以降その名札を目につくところに着用する。
3. 要件が済むと、訪問先の担当者から、受付の控えに印鑑をもらう。
4. 受付で名札とともに印鑑のある控えを返却。
5. 何も問題がなければ退出する。

ﾂꀀ

と、、はしょりながらですが、一通り読み込みは完了しました。

・・・既に0時を回って、試験当日になってしまっていますね・・・演習問題に全く手がついていません・・・orz

後は、考えてもしょうがないので、３年分の積み重ねと今回掘り起こした記憶で、あたって砕ける事にします。

ﾂꀀ

新試験というお祭りですし、最後まであきらめずにがんばりましょ～