セキュリティ応用知識:情報セキュリティスペシャリスト受験対策 Part.6

By drmg. Filed in 情報セキュリティスペシャリスト  |  
TOP del.icio.us digg

現在、『情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2009〉 』 の要点を、ここに書きながら暗記している次第です・・・第3部

やっと午後の対策に入れます、時間もないのではしょりながらサクサク・・・進めるといいなぁ。。

ツꀀ

セキュアプログラミング

興味深い情報が・・・

「過去のセキュアプログラミングに関する出題は、すべてこれらの資料から出題されています」

「IPA セキュア・プログラミング講座」(新版)
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

「IPA ISEC セキュア・プログラミング講座」(旧版)
http://www.ipa.go.jp/security/awareness/vendor/programming/

ぬわんと・・・知りませんでした・・orz

後で目を通すことにします。。

ツꀀ

Perlのopen関数の脆弱性への対策

  • バリデーションチェック
  • sysopen関数の使用

クロスサイトスクリプティングへの対策

サニタイジング処理対象文字

入力値

置換文字

&

&

<

&lt;

>

&gt;

"

&quot;

&#39;

HTMLの特殊文字に対するエスケープ処理ですね。
そういえば、シングルクオートだけ定義された置き換え文字がないのですよね。

SQLインジェクション対策

  • サニタイジング
    • SQL文の特殊文字に対してエスケープ処理を行う。
      (とはいえ、大半がシングルクォートなのですが。。Like演算子等が絡むと説明が面倒ですね。)
  • プリペアドステートメント
    • バインドメカニズムを利用。

バッファオーバーフロー対策

  • strcpy関数など、確保しているメモリエリア(バッファ)の大きさを無視した書き込みが可能な関数を使用せず、代替関数(strcpyの場合strncpyなどがある)を使用する。
  • プログラムの中で、データをメモリエリアに転記する際に、大きさをチェックするようコーディングする。

脆弱性のある関数

関数

セキュアな関数

strcpy

strncpy

strcat

strncat

gets

fgets

sprintf

snprintf

vsprintf

vsnprintf

ツꀀ

CSRF(Cross-Site Request Forgery)対策

  • Cookieとは別の"トークン"を使用
    • hiddenフィールドにトークンを埋め込む等
  • 確定時に入力を要求
    • 再認証(パスワードの再入力)
    • CAPTHA(Completely Automated Public Turing test to tell Computers and Humans Apart)を利用

ツꀀ

ディジタル署名(PKI・SSL)

SSL通信シーケンス

  • "Hello Request"の交換。
    • クライアント側で使用可能な暗号アルゴリズムや圧縮方式を通知する。
    • サーバー側で暗号アルゴリズムや圧縮方式を決定する。
  • サーバーからクライアントへのメッセージ送信。
    • サーバーからディジタル証明書をクライアントへ送る。(Server Certificate)
      • ディジタル証明書がない場合、Diffie-Hellmanの鍵交換方式を使用する事も可能。(Server Key Exchange)]
    • クライアント証明書を送るように要求する設定可能。(Certificate Request)
  • クライアントからサーバーへのメッセージ送信。
    • サーバーから送られてきたデジタル証明書の正当性を確認。
    • サーバーの公開鍵を利用して、クライアント側で作成したプレマスターシークレットをサーバーへ送信。(Client Key Exchange)
    • サーバー側から要求がある場合は、Client Certificateでクライアント証明書をサーバーに送信する。
  • 暗号化通信開始

ツꀀ

時刻認証

ディジタル証明書により作成者の正当性を証明するだけでなく、当該電子データが、確かにその日、その時刻に存在していたことも証明できるようになる。

時刻認証に関する基礎知識

証明内容

項目

証明内容

存在性証明

タイムスタンプ時に、確かに、その電子データが存在していたこと

完全性証明

タイムスタンプ以降に、その電子データが改ざんされていないこと

機関

項目

証明内容

時刻認証局

TSA(TimeStamp Authority)

タイムスタンプを発行したり、その有効性を証明する機関。

時刻配信局

TA(Time Authority)

TSAに正確な時刻を配信する機関。

ツꀀ

時刻認証方式

項目

証明内容

有効期間

電子署名方式

認証対象のドキュメントのハッシュ値と正確な受付時刻にTSAの秘密鍵を使ってディジタル署名を施したTSTタイムスタンプトークンを作成する。
検証には、TSAの公開鍵証明書を利用するだけで良いというメリットがある。

TSAのディジタル署名の有効期間がタイムスタンプの有効期間になる
長期保存には不向き。
ディジタル署名とタイムスタンプの有効期限が切れる前に、新たにタイムスタンプを付与する事で長期保存可能。

アーカイビング方式

ハッシュ値と正確な時刻から作成したトークンをTSAで保存しておき、検証の時にはTSAに都度問い合わせる形で確認する。

TSAが存続する限り有効。
長期保存に向いている。

ツꀀ

ICカード

ICカード内にOSがあり、APを組み込める。

ICカード内で、鍵ペアの生成、秘密鍵の利用を行える。

PIN(Personal Identificateion Number)

ツꀀ

その他の認証技術

  • パスワード認証
  • バイオメトリクス認証
    • 正常認識
      • 本人受入率・・・本人を本人と正しく認識する割合
      • 他人拒否率・・・他人を他人と正しく認識する割合
    • 異常認識
      • 他人受入率・・・他人を本人と認識してしまうエラー割合
      • 本人拒否率・・・本人を他人と認識してしまうエラー割合
  • IEEE802.1x認証

ツꀀ

Webサーバーのセキュリティ

セッション管理

  • クエリストリング
  • hidden
  • Cookieを使ったセッションメカニズム

ツꀀ

電子メールのセキュリティ

SPAMメール対策

  • SMTPの第三者リレーの禁止
  • 送信者認証
    • AUTHコマンド(SMTP-AUTH)を使う
    • POP before SMTP
  • OP25B
  • 送信ドメイン認証

ツꀀ

ファイアウォール・IDS・UTM

IDS(Intrusion Detection System)

  • ホスト型IDS(HIDS)・・・ホストにくる不正アクセスを検知。(ログ情報を解析)
  • ネットワーク型IDS(NIDS)・・・ネットワーク上を流れるパケットより不正アクセスを検知。

IDS検知の仕組み

  • Misuse検知(不正利用検知)
  • Anomaly検知(異常検知)

シグネチャ

  • false positive ・・・ 正常なアクセスを異常と判断しアラームを出す。
  • false negative ・・・ 不正なアクセスを正常と判断しアラームを出す。

ツꀀ

UTM(Unified Threat Management)

統合脅威管理の事。

特にUTMの明確な定義はないが多くのUTM製品が持っている機能をピックアップすると次のような機能がある。

  • ファイアウォール機能
  • VPN機能
  • コンテンツセキュリティ
    • IPS機能
    • アンチウィルス機能
    • メールフィルタリング機能
    • コンテンツフィルタリング機能

ツꀀ

検疫ネットワーク

クライアントパソコンの安全性を検査するために社内LANから隔離されたネットワーク。

認証VLANなどを使って実現する。

ツꀀ

VPN

VPNを実現する技術

技術

レイヤ

備考

PPTP

レイヤ2

主にインターネットVPNで利用。

IPsec

レイヤ3

IPレベルでVPNを実現するためのプロトコル

SSL

レイヤ4以上

SSL-VPNは、各種サーバー群のある本社側にSSL-VPNゲートウェイ装置を設置する方式。

アクセスする側は、Webブラウザさえあれば利用可能。

Javaアプレットなどを利用して実現可能になてきた。

SSH

レイヤ4以上

本社側にSSHサーバーを設置し、クライアント側にSSHクライアントをインストールする。

ポートフォワーディング機能。

VPN方式の比較

方式概要

VPN通信区間

PCユーザー認証方式

プロトコル

IPsec-VPN機能を利用

ルーター間

不要

IP

SSL-VPNソフトを利用

PCとSSLサーバー間

公開鍵証明書を利用

TCP

SSHソフトを利用

PCとSSHサーバー間

公開鍵暗号又はパスワードを利用

SMTP,POP等

ツꀀ

ログ

用途

  • インシデントが発生した後の調査
  • インシデントの検知に利用
  • 内部犯行の抑止効果。

コンピュータフォレンジクス(コンピュータ犯罪の法的な証拠)

ツꀀ

JIS Q 27002:2006で次のポイントを示している

  • 監査ログの取得
  • システム使用状況の監視
  • ログ情報の保護
  • 実務管理者及び運用担当者の作業ログ
  • 障害のログ取得
  • クロックの同期

ログ監査の実施手順

  • 監査目的・監査方針を決める
  • 目的・方針に合ったログ取得対象を決める
  • 監査ログの保存(DB監査を設定し、DB監査を開始する)
  • 監査ログの監視(監査結果をチェックする)

ツꀀ

インシデント対応

インシデント対応の基本的な手順

  1. ネットワークから切断(被害拡大を防止)
  2. スナップショットを保存(後の原因分析および要因特定)

※現場利用者が自分の判断で再インストールしたり、ウィルスを削除することは誤った対応。

現場利用者から連絡を受けた責任者または管理者は、現場利用者に事実確認を指示し、影響範囲を特定する。

そのあと必要に応じて、外部専門家と連携を取りながら原因を追及し普及する。

ツꀀ

物理的セキュリティ対策

一般的な入退室管理の手順

  1. 来訪者の受付:受付で会社名、指名、訪問先部署・担当者、要件等を記入する。
  2. その記入用紙の控えを名札とともに渡される。以降その名札を目につくところに着用する。
  3. 要件が済むと、訪問先の担当者から、受付の控えに印鑑をもらう。
  4. 受付で名札とともに印鑑のある控えを返却。
  5. 何も問題がなければ退出する。

ツꀀ

と、、はしょりながらですが、一通り読み込みは完了しました。

・・・既に0時を回って、試験当日になってしまっていますね・・・演習問題に全く手がついていません・・・orz

後は、考えてもしょうがないので、3年分の積み重ねと今回掘り起こした記憶で、あたって砕ける事にします。

ツꀀ

新試験というお祭りですし、最後まであきらめずにがんばりましょ~

関連する投稿

Google ads

2 Comments

  1. Comment by オーストラリア産プロポリス、ローヤルゼリー、ビーポーレン:

    Thanks for any other wonderful article.

    Where else may just anyone get that kind of information in such a perfect approach of writing?
    I’ve a presentation next week, and I’m at the search for such information.

  2. Comment by 実印作成:

    I do agree with all the concepts you have offered for your post.
    They’re really convincing and will certainly work.
    Still, the posts are very quick for novices. Could you please extend them a little from next time?
    Thanks for the post.

Trackbacks / Pingbacks

Leave a Reply