Archive for 4 月, 2009

セキュリティ基礎知識:情報セキュリティスペシャリスト受験対策 Part.5

土曜日, 4 月 18th, 2009

現在、『情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2009〉 』 の要点を、ここに書きながら暗記している次第です・・・第2部後半

ツꀀ

暗号化

3種類の暗号化方式
ツꀀ

共通鍵暗号方式

公開鍵暗号方式

ハイブリッド方式

特徴

・高速処理が可能
・鍵の管理が複雑
・鍵の配送が難しい

・処理に時間がかかる
・1組の鍵で複数の相手との送受信が可能

・高速処理が可能
・鍵の配送に問題なし
・電子メールの暗号化で利用

代表

DES,Tripe DES,AES,RC4

RSA,楕円曲線暗号

PGP,S/MIME

鍵の数

n(n-1)/2

2nツꀀ

ツꀀ

ツꀀ

ハッシュ関数

一方向性を持った関数。元の値を求める事が事実上不可能。

特徴

  • 一方向性

  • 衝突回避性。異なる値からは同じハッシュ値にならない。
  • 元データの長さに関係なく固定長のデータになる。
  • 暗号化が速い(DESの数百倍)

利用シーン

  • ディジタル署名
  • PPPのCHAP
  • POP3のAPOP
  • SMTPのSMTP-AUTH
  • ワンタイムパスワード(S/KEY)
  • UNIXのOSパスワードファイル
  • ファイル整合性ツール

代表的な関数

  • SHA-1(Secure Hash Algorithm 1)
  • MD5(Message Digest 5)

ツꀀ

ディジタル署名(Digital Signatures)

ディジタル署名により、「なりすまし防止」、「否認の防止」、「改ざんの検知」が可能になる。

送信側

  • 送信したい文書からハッシュ値を求める。> メッセージダイジェスト
  • メッセージダイジェストを、自分の秘密鍵を使って暗号化する > ディジタル署名
  • ディジタル署名を送信したい文書に添付する。

受信側

  • 受信した文書からハッシュ値を求める。 > 受信側で作成したメッセージダイジェスト
  • ディジタル署名を送信側の公開鍵を使って複合化する。 > 送信側で作成したメッセージダイジェスト
  • 受信側で作成したメッセージダイジェストと、送信側で作成したメッセージダイジェストが同じ事を確認。

ツꀀ

PKI(Public Key Infrastructure)

公開鍵暗号化技術を使って、ディジタル署名の正当性を証明するための基盤。

ディジタル署名の技術だけでは、送信側の秘密鍵と公開鍵のペアが、間違いなく本人のものである事を証明できない。
(お~この辺り言葉の定義の違いについて、実はあやふやに理解していました。)

  • CA(Certification Authority:認証局)
    • 信頼のおける第三者機関。
    • ディジタル証明書の登録から発行まで一連の業務を行う。
    • RAとIAの機能を併せ持つ。
  • RA(Registration Authority:登録局)
    • ディジタル証明書の登録申請を受け付けて承認や認可を行う機関。
    • 証明書の有効期限が切れたときの失効についても登録審査の窓口になる。
  • IA(Issuing Authority:発行局)
    • ディジタル証明書の正当性を確認するアプリケーション等が直接やりとりを行う。
    • アプリケーションからの要求に応じてディジタル証明書やCRLの発行を行う。

ツꀀ

X.509

ディジタル証明書の標準として作られたフォーマット。

CRL(Certificate Revocation List)

有効期限切れ以外の理由で執行された証明書の一覧表。(発行済み証明書の撤回)

正確には、「有効期限内にも関わらず、失効しているディジタル証明書の一覧表」との事。

ツꀀ

ディジタル証明書のチェックの流れ

  1. ディジタル証明書を検証
  2. ディジタル証明書内に記載されている、"有効期限"をチェック
  3. その時点でのCRLを入手して、そこに含まれていない事を確認
  4. OCSPレスポンダに失効情報が含まれていないかを確認
  5. ディジタル証明書の正当性を確認

ツꀀ

電子メール

SMTP,POP,IMAP,MIME,BASE64,S/MIMEプロトコルを理解しておく必要あり。

S/MIME

  • 暗号化方式は、ハイブリッド方式
  • メール本文は共通鍵で暗号化
  • 共通鍵をやりとりするのに、公開鍵暗号化方式を利用
  • 暗号化されるのは本文のみで、ヘッダ部分(FROM,TO,SUBJECT等)は暗号化されない

メールヘッダの偽装

ヘッダ

偽装の可能性

Return-path

詐称可能(送信者が自由に任意のアドレス設定可能)

Received

詐称困難

From

詐称可能

To

-

Subject

-

ツꀀ

ファイアウォール

種類

  • パケットフィルタリング型(ルーターと同じ仕組み)
    • ポリシに基づいてIPパケットを通過させるか、させないかを判断
  • ゲートウェイ型(プロキシサーバーと同じ仕組み)
    • サーキットレベルゲートウェイ型
      • トランスポート層で通過パケットを判断
      • パケットフィルタリング型とあまり判断基準が変わらない
    • アプリケーションゲートウェイ型
      • アプリケーションレベルでの制御が可能
        (ftpやhttpの"GET"や"PUT"等のコマンドレベルでのコントロール可能)

ACL(Access Control List)

ファイアウォールの通過ルールの設定を記述したリスト。

ペネトレーションテスト、ペネトレーションアタック

拒否すべきサービスが期待通りに遮断されていることの確認テストや、管理者用ポートへのアクセス制限テストの事。

ファイアウォールで防げない攻撃

  • 高い不可をかけるDoS(Denial Of Service:サービス妨害攻撃)
  • サーバーのセキュリティホールを突いてくる正常なパケット
  • 電子メールに添付されてくるワームなどのウィルス
  • Webで公開されている悪意のあるサイト
  • なりすまし

VPN(Virtual Private Network)

VPNの3機能

機能

備考

暗号化

通信回線上を流れるパケットを暗号化する。

完全性検査

通信途中で改ざんがあたかどうかを検知する。

トンネル化

本来のパケットに新しいヘッダをつけて通信するなどしてカプセル化し、エンドツーエンドで透過的な通信を可能にする。

VPNの種類

種類

備考

LAN間接続VPN

LAN間をVPNで接続する

リモートアクセスVPN

リモートアクセス端末とLANを接続する

インターネットVPN

物理回線にインターネットを利用する

IP-VPN

通信事業者の所有する専用のIP網を利用する

エントリーVPN

FTTHやADSLを利用するベストエフォード型IP-VPN

IPsec(IP security protocol)

IPレベルでVPNを実現するためのプロトコル。

IPv4ではオプションだが、IPv6では標準仕様。

IPsecの設定

設定

備考

通信モード

・トンネルモード
・トランスポートモード

プロトコル

・ESP(Encapsulation Security Payload)
・AH(Authentication Header)

モード

・メインモード
・アグレッシブモード

ツꀀ

無線LAN

自宅で無線LANを使い設定を弄っているとすんなり入ってきますね。

IEEE 802.11シリーズ

規格

周波数帯域

通信速度(最大)

IEEE802.11

2.4GHz帯

2Mビット/秒

IEEE802.11b

2.4GHz帯

11Mビット/秒

IEEE802.11a

5GHz帯

54Mビット/秒

IEEE802.11g

2.4GHz帯

54Mビット/秒

IEEE802.11n

2.4GHz帯/5GHz帯

600Mビット/秒

IEEE802.11nは知りませんでした・・・600Mb/sも速度がでるのですねぇ。

ツꀀ

Wi-Fi Alliance

無線LAN製品の相互接続性試験などを行っている業界団体。

ツꀀ

無線LANのセキュリティ

  • ESSID(またはSSID)の隠ぺい
  • MACアドレスフィルタリング
  • IEEE802.1x認証
  • WEP(Wired Equivalent Privacy)による暗号化
  • WPA,WPA2,IEEE802.11iによる暗号化

ツꀀ

第2部後半は、前半よりも技術よりの話が多くとっつきやすい内容でした。

次は、第3部のセキュリティの応用知識の確認となりますが、現在18:30・・・

まだ記憶を掘り起こしてる段階で、練習問題に一問も手が付いていません・・・orz

ツꀀ

関連する投稿

セキュリティ基礎知識:情報セキュリティスペシャリスト受験対策 Part.4

土曜日, 4 月 18th, 2009

現在、『情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2009〉 』 の要点を、ここに書きながら暗記している次第です・・・第2部

ツꀀ

第2部は、セキュリティ基礎知識の確認との事。

ツꀀ

情報システムへの脅威

過去3年間のテクセとセキュアドの午前で出題された"脅威"に関する問題の種類がまとまって掲載されており参考になります。

SQLインジェクションが3年連続で出ていますね。。。

クロスサイトスクリプティングが次に多いようです。

ツꀀ

情報システムへの脅威の種類

  • ソーシャルエンジニアリング(Social Engineering)
    • 人間の心理的な錯覚や間違いを悪用して情報を引き出す手口(振込詐欺等)
    • スキャベジング(ゴミあさり)
    • 対策としては、重要な情報の管理規定や運用ルールの策定と、セキュリティ教育による普及・啓蒙
  • パスワードクラッキング
    • ブルートフォースアタック(総当たり攻撃)
    • 辞書攻撃
  • IPスプーフィング(IP Spoofing)
    • IPアドレスの偽造
  • Man-in-the-middle攻撃
    • 公開鍵暗号方式で暗号化通信を行っている双方の間に入って情報を搾取する。
      (名前があったのですねぇ。初めて知りました。)
  • フィッシング(phishing)
    • 有名企業のWebサイト等になりすまし、パスワード等の情報を搾取する。
  • サービス妨害攻撃(DoS : Denial of Service)
    • 一度に大量データを送りつけサービスをダウンさせる。
    • セキュリティホールを突きサービスをダウンさせる。
    • ボットを使うなどして、大量の攻撃を行う。
    • DDoS(Distributed Denial of Service : 分散サービス妨害)
  • ボット、ボットネット
    • コンピュータウィルスまたはワームの一種。
    • ボットを操作するコンピュータを指令サーバと言う。
  • ウォードライビング(war driving)
    • 無防備な無線LANをアクセスポイントを探すために、無線をキャッチできるパソコンを車に積み街中を走り回る攻撃。
  • Webビーコン
    • 利用者のアクセス動向などの情報を収集するためにHTMLメールやWebページなどに埋め込まれた画像の事。
  • クロスサイトスクリプティング
  • SQLインジェクション
  • バッファオーバーフロー
  • クロスサイト・リクエスト・フォージェリ
  • セッションハイジャック

各攻撃の大雑把な概念は分かりますが文章で解答するとなると、あたって砕けるかもしれませんねぇ。。

ツꀀ

法律と制度

どうやら、次の6つの法律をおさえておく必要があるようです。

この辺りの記憶はかなりあやふやなのですよね・・

  • 著作権法
    • 著作物を作成するために用いるプログラム言語、規約及び解法に及ばない(第10条3項)
  • 不正競争防止法
    • 営業秘密(秘密性、有用性、非公知性)
  • 不正アクセス禁止法(2000年施行)
    • 対象となるのはアクセス制御機能を持つシステムかつネットワークを通じて行われる不正アクセス。
    • スタンドアロンシステムの端末を直接操作する事や、DDoS攻撃、Spamメールなどは対象外。
    • 不正アクセスを助長する行為の禁止や、不正アクセスを受けた管理者への援助措置は規定されている。
  • 電子署名法(2001年4月1日施行)
    • 実社会における印鑑の役割。
    • 電子署名法の対象となるのは、私文書のみで、公文書は対象外。
    • 技術面での規定は無い。(PKIでもバイオメトリクスでも可能)
  • e-文書法(2005年4月1日施行)
    • 民間事業者等に紙媒体での保存が義務付けられていた財務や税務関連の書類・帳票を、電子データで保存する事を認めた法律。
    • 電子的に作成されたデータに加えて、スキャナで読み取ったデータも対象となった。
  • 個人情報保護関連法(2003年5月30日公布)
    • 基本法
      • 利用目的の特定・公表、利用目的範囲内での取扱い
      • 適正取得、利用目的の通知等
      • 正確性の確保
      • 安全性確保
      • 第三者提供の制限等
      • 公表等、開示、訂正等、利用停止等
      • 苦情の処理
    • 個人情報の定義
      • 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの。
      • 個人情報取扱事業者(5000件以下は対象外)
    • オプトアウト
      • 本人の求めがあれば、第三者への提供を停止する
      • あらかじめ通知しておく内容
        • 第三者への提供を利用目的とすること
        • 第三者に提供される個人データの項目
        • 第三者への提供の手段又は方法
        • 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

ツꀀ

国際標準と国内標準

国内法よりも、苦手とする部分です。。

  • ISO/IEC 15408(JIS X 5070)
    • 情報システムや情報システムを構成する製品に対して、信頼できるITセキュリティ機能を装備するための国際標準規格。
    • 日本では、JIS X 5070として制定された。
    • PART1:Introduction and general mode(概説と一般モデル)
    • PART2:Security functional requirements(セキュリティ機能要件)
    • PART3:Security assurance requirements(セキュリティ保証要件)
  • ISO/IEC 27001:2005(JIS Q 27001:2006)
    • ISMSの審査用企画であるBS7799-2が国際規格化されたもの。
    • 日本では、JIS Q 27001:2006として発行された。
  • ISO/IEC 27002:2007(JIS Q 27002:2006)
    • 旧ISO/IEC 17799(JIS X 5080)
    • 対象となる情報資産が、ITに限らずドキュメントなどの紙媒体や要員を含む点が、ITセキュリティのみを対象とした ISO/IEC 13335(GMITS)とは異なる。
  • ISO/IEC 13335
    • 通称 GMITS(Guidelines for the Management for IT Security)
    • ITセキュリティのマネジメント手法を示すガイドライン。
    • 情報システムの運用に関わる人や情報処理機器類の管理に必要な要件を規定。
  • JIS Q 15001:2006
    • 個人情報を保護するためのマネジメントシステムの規格。
    • JIS Q 15001:1999 コンプライアンスプログラム (CP:Compliance Program)
    • CP→PMS
    • 個人情報保護マネジメントシステム :PMS(Personal information protection Management System)
    • JIPDEC
  • JIS X 0160
    • ソフトウェア開発プロセスモデルに関する規格。
    • ISO/IEC 12207 をJIS 規格化したもの。
    • 役割や意義はSLPC-JFCと同じく、購入者と供給者の取引を明確にするため、「共通のものさし」や「共通語」を定義している。
    • SLPC-JFC:2007は、JIS X 0160に日本でのソフトウェア取引に必要とされているプロセスを追加したもの。
  • RFC(Request For Comment)
    • IETF(Internet Engineering Task Force)が正式に発行する文書。
  • 情報システム安全対策基準
    • 情報システムの機密性、保全性及び可用性を確保することを目的として、自然災害、機器の障害、故意・過失等のリスクを未然に防止し、また発生したときの影響の最小化及び回復の迅速化を図るため、情報システムの利用者が実施する対策項目を列挙したもの。
    • 適用区分と重要度により、どこまでのセキュリティを確保するべきかを示す内容。
      • 適用区分:設置基準、技術基準、運用基準
      • 重要度:社会への影響、企業への影響大、企業への影響小
    • コンピュータウィルスへの記載なし。→ コンピュータウィルス対策基準に準じる
    • 実効性を確保するために → システム監査基準を参照
  • コンピュータウィルス対策基準
    • コンピュータウィルスに対する予防、発見、駆除、復旧についての実効性の高い対策をまとめたもの。
  • コンピュータ不正アクセス対策基準
    • コンピュータ不正アクセスによる被害の予防、発見及び復旧並びに拡大及び再発防止について、企業等の組織及び個人が実行すべき対策をとりまとめたもの。
  • ソフトウェア管理ガイドライン
    • ソフトウェアの違法複製等を防止する目的のガイドライン。
    • 法人、団体等を対象として、ソフトウェアを使用するにあたって実行されるべき事項をとりまとめている。
  • OECDプライバシー原則
    • 個人情報保護に関する国際的なガイドライン。
    • 個人情報保護に関する8原則
      • 収集制限の原則
      • データ内容の原則
      • 目的明確化の原則
      • 利用制限の原則
      • 安全保護の原則
      • 公開の原則
      • 個人参加の原則
      • 責任の原則
  • OECDセキュリティ原則
    • 情報セキュリティのためのガイドライン
      • 責任の原則(Accountability Principle)
      • 情報提供の原則(Awareness Principle)
      • 倫理性の原則(Ethics Principle)
      • 多面的考慮の原則(Multidisciplinary Principle)
      • 統合の原則(Integration Principle)
      • 適時性の原則(TimeLiness Principle)
      • 再評価の原則(Reassessment Principle)
      • 民主主義の原則(Democracy Principle)

ツꀀ

セキュリティに関する制度

次の3つの制度をおさえておく必要があるようです。

  • ISMS適合性評価制度
    • 財団法人 日本情報処理開発協会(JIPDEC)が運営
    • 情報セキュリティ管理に対する第三者適合性評価制度。
    • JIS Q 27001:2006
    • リスク回避、リスク移転、リスク保有
  • プライバシーマーク制度
    • 財団法人 日本情報処理開発協会(JIPDEC)が運営
    • 個人情報の取扱いについて適切な保護措置を講ずる体制を整備している民間事業者等に対し、その旨を示すマークとしてプライバシーマークを付与し事業活動に関してプライバシーマークの使用を認容する制度
    • JIS Q 15001:2006
  • 情報セキュリティ監査制度
    • 経済産業省が運営。
    • 情報セキュリティ監査を有効に普及させるために考えられたもの。
    • 助言型監査と保障型監査がある。

ツꀀ

ここまでが、第2部の前半でセキュアド色が強いと感じる部分ですね。

後半は、テクセ色が強くなっているようです。

関連する投稿

ネットワークの基礎知識:情報セキュリティスペシャリスト受験対策 Part.3

金曜日, 4 月 17th, 2009

現在、情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2009〉 の要点を、ここに書きながら暗記している次第です・・・間に合うのか?

ツꀀ

やっと技術的な内容の学習に入れます。

時間もないので、私が記憶を呼び戻す部分のみ書き出してみます。。

OSI基本参照モデル

OSI基本参照モデルは、毎回記憶を掘り起こす作業を行っていますね・・・何時になったら覚えるのだろう。

ツꀀ

プロトコル

対応機器

キーワード

アプリケーション層

TELNET/SMTP/
FTP/DNS/
SNMP

ゲートウェイ

アプリケーション間

プレゼンテーション層

表現形式、データ圧縮

セッション層

会話の制御、送受信のタイミング

トランスポート層

TPC/UDP

ゲートウェイ、L4-SW

エンドツーエンド間で、品質確保

ネットワーク層

IP

ルータ、L3-SW

エンドツーエンド、経路確保

データリンク層

LLC

IEEE802.2

ブリッジ、L2-SW

隣接する機器の間で、品質を確保

MAC

IEEE802.3/IEEE802.4/
IEEE802.5/IEEE802.11

物理層

リピータ、ダムHUB

物理的、電気的、機械的

ツꀀ

記憶するのに、うまいゴロ合わせが思いつかず、私は下から頭文字をとり「ぶでねとせぷあ」と覚えてしまいました。。

知り合いは、「ぶっつでねとらんせぷれすてお」と覚えているらしいです・・・(最後が応用層を覚えているらしい)

書籍内のキーワードとの紐づけが面白いですね。

ツꀀ

IP(Internet Protocol)

ネットワークとホスト部の切り方3種類

  • クラス

  • サブネットマスク
  • CIDR(Classless Inter-Domain Routing)

ツꀀ

プライベートアドレス

クラス

IPアドレス範囲

クラスA

10.0.0.0~10.255.255.255

クラスB

172.16.0.0~172.31.255.255

クラスC

192.168.0.0~192.168.255.255

会社ではクラスBが使われていて、自宅ではクラスCを使っているので、なんとなくその近辺かとあたりは付くのですが、厳密な範囲は何時までたっても記憶できないですねぇ。。

NAPT

今の試験の中では、IPマスカレードという名称は使われないとの事。(NAPTに統一)

ツꀀ

TCP(Transmission Control Protocol)

TCPポート番号

種類

ポート範囲

Well-Known Portツꀀ

0~1024

Registerd Portツꀀ

1024~49151

Dynamic Portツꀀ

49152~65535

う~ん 49151が覚えにくい・・・

代表的なTCP/UDPポート

ポート番号

サービス

TCP/UDPツꀀ

20ツꀀ

ftp-dataツꀀ

TCPツꀀ

21ツꀀ

ftpツꀀ

TCPツꀀ

25ツꀀ

smtpツꀀ

TCPツꀀ

53ツꀀ

domainツꀀ

UDPツꀀ

80ツꀀ

httpツꀀ

TCPツꀀ

110ツꀀ

pop3ツꀀ

TCPツꀀ

ftpとhttp位しか記憶していませんねぇ・・・

ツꀀ

その他

UPD・・・SNMP,DNS,ストリーム系

CSMA/CD方式

MACアドレス・・・前半3バイトがIEEEで管理される製品メーカー固有のID。

ツꀀ

書籍を信じるならば、ネットワークの基礎知識は問題ないかな。

関連する投稿