iseeit.jp 情報通信技術

『情報通信技術』に関するスキルのほかに、『情報セキュリティ』に関するスキルも重点テーマです。また、特に今後の『高速モバイル通信』と『インターネット』に注目していきます。

セキュリティの最近のブログ記事

SSL サーバ証明書の役割

 

https 通信に必要な SSL サーバ証明書には、HTTP プロトコル上で SSL による送信データの暗号化に必要な鍵が含まれています。また、SSL サーバ証明書によって、その発行者(ドメイン)の実在性が認証機関により証明されることになります。

Internet Explorer では、あらかじめ信頼できる認証機関が登録されており、その信頼できる認証機関から発行されている SSL サーバ証明書(セキュリティ証明書)であることをチェックしています。

信頼できる認証機関が発行する SSL サーバ証明書は、暗号化したデータの送信先(ドメイン)が、目的の送信先相手(ドメイン)であり、その相手(ドメイン)の実在性を証明していることにもなります。

信頼できる認証機関が認証する情報としては、

Common Name: サイトの URL。ブラウザは、このコモンネームと入力された接続先アドレスの一致をチェックします。

Organization:組織

・Organization Unit : 部署。

・City or Locality : 市町村。

・State or Province : 都道府県。

・Country : 国。

 

認証レベルにより、SSL サーバ証明書の種類がいくつかあります。

一般的な SSL サーバ証明書は、Common Name と Organization との認証、あるいは、Common Name だけの認証によるものです。EV SSL 証明書(Extended Validation SSL 証明書)は、Organizationより厳格な認証プロセスによって、その実在性を証明します。

 

信頼できる認証機関が発行する SSL サーバ証明書は、SSL 暗号化通信の実現のみならず、実在性の証明という役割においても大きな意味をもちつつあります。

アノマリ(anomaly)

 

アノマリ(anomaly)というと、情報セキュリティでは、NIDS のアノマリ通信検知機能に関係します。

RFC に準拠していない通信の検知、通常よりあきらかに多いトラフィックの検知、通常は使用しないポートへの接続の検知などが代表的な例としてあげられます。

 

なお、アノマリは、誤検知をもたらすこともあります。

・フォルスネガティブ(False Negative)は、不正な通信にもかかわらす、不正であると判断されなかった場合。

・フォルスポジティブ(False Positive)は、正常な通信にもかかわらす、不正であると判断された場合。

これらは、ログの分析から、アノマリ検知をフォローしていくことが必要となりますが、常に誤検知の可能性は残ることとなります。

 

ちなみに、ほかの世界でも、アノマリはあります。資本市場理論では説明できない証券価格の規則的な動きのことをいいます。市場は、常に理論通りの合理的な規則によって動くものでもありませんが、その理論外であっても、なお規則性がみられるものを指しています。つまり、不合理ながらも規則性のある動きのことです。

また、プロジェクトマネジメントにおいても、理論ではないが、規則性があるアノマリの例がよくいわれます。

 

アノマリは、リスクのあるところに存在しているといえそうですが、アノマリだけで判断することは、それでも不十分、つまり誤検知する場合もあることの認識は必要といえます。

 

クロスサイトスクリプティング(Cross Site Scripting:CSS、XSS)は、Web サーバの入力欄にスクリプトを含んだタグを打ち込むことによって cookie(クッキー)を読み出す攻撃です。例としては、掲示板の入力欄から悪意あるスクリプトコードが入力され、他の訪問者がその掲示板の内容を表示したとき、訪問者のブラウザにおいて、その悪意あるスクリプトコードが実行される、というようなことがあげられます。

 

クロスサイトスクリプティングに関して、情報処理技術者試験の午前試験問題をちょっとみてみます。試験問題の全文については、情報処理技術者試験センターの Web サイト http://www.jitec.jp/ にて公開されています。

平成18年度テクニカルエンジニア(情報セキュリティ)試験の午前試験問題の問43。

問43 クロスサイトスクリプティングに該当するものはどれか。

ア 悪意をもったスクリプトを、標的となるサイト経由でユーザのブラウザに送り込み、その標的にアクセスしたユーザのクッキーにある個人情報を盗み取る。

イ クラッカの Web サイトにアクセスしたユーザに悪意をもったスクリプトを送り込み、そのスクリプトを実行させて Web ページ中のHTMLタグを変換する。

ウ 攻撃者が、JavaScript を使ったセッション管理に使うクッキーにアクセスし、ブラウザに広告などのダミー画面を表示する。

エ 入力情報を確認するためにフォームの入力値を画面表示するプログラムの脆弱性を利用して、クッキーにある個人情報を改ざんする。

答えは、ア。

 

平成18年度情報セキュリティアドミニストレータ試験の午前試験問題の問28。

問28 クロスサイトスクリプティングによる攻撃へのセキュリティ対策はどれか。

ア OS のセキュリティパッチを適用することによって、Web サーバへの侵入を防止する。

イ Web アプリケーションで、クライアントに入力データを再表示する場合、情報内のスクリプトを無効にする処理を行う。

ウ Web サーバに SNMP プログラムを常駐稼動させることによって、攻撃を検知する。

エ 許容範囲を超えた大きさのデータの書き込みを禁止し、Web サーバへの侵入を防止する。

答えは、イ。

対策としては、スクリプトのタグの入力チェックや、スクリプトの無効化があげられています。

リスク分析手法

リスク分析は、どこにどのようなリスクがどの程度存在しているかを把握することです。

リスク分析手法としては、GMITS(Guidelines for the Management of IT Security:ISO/IEC TR 13335のこと)で紹介されている4つの手法が取り上げられることが多いようなので、ちょっとみてみました。

 

(1)ベースラインアプローチ

社内外の基準や規程、標準、ガイドラインなどを標準にして、リスク分析を行う方法です。短期間で効率的な実施ができますが、場合によっては過剰あるいは不十分な分析結果となるとされています。

(2)詳細リスク分析

情報資産、脅威、脆弱性の洗い出しを行い、その組み合わせからリスクの大きさを評価する手法です。情報資産ごとのリスクに応じた対策が実施できますが、分析には多くの時間がかかるとされています。

(3)非形式的アプローチ(非公式アプローチ)

分析者の知識と経験によってリスク分析を行う方法です。分析者の能力によって分析の時間や品質に差が出るとされています。

(4)組み合わせアプローチ

上記のアプローチを組み合わせて、それぞれの手法のメリットを活かし、デメリットを補うものです。ベースラインアプローチを基本にし、重要な事項については、詳細リスク分析を実施する、などのような方法がとられます。

 

さて、平成18年度情報処理技術者試験の情報セキュリティアドミニストレータ午前試験の問36をみてみます。なお、試験問題の全文については、情報処理技術者試験センターの Web サイト http://www.jitec.jp/ にて公開されています。

問36 ISMS におけるリスク分析の方法の一つであるベースラインアプローチはどれか。

ア 公表されている基準などに基づいて一定のセキュリティレベルを設定し、実施している管理策とのギャップ分析を行った上で、リスクを評価する。

イ 情報資産を洗い出し、それぞれの情報資産に対して資産価値、脅威、脆弱性及びセキュリティ要件を識別し、リスクを評価する。

ウ 複数のリスク分析方法の長所を生かして組み合わせ、作業効率や分析精度の向上を図る。

エ リスク分析を行う組織や担当者の判断によって、リスクを評価する。

答えは、ア。

ちなみに、イは詳細リスク分析、ウは組み合わせアプローチ、エは非形式的アプローチ(非公式アプローチ)の説明に該当しそうです。

耐タンパ性

耐タンパ性について、情報セキュリティ用語としての意味には、「物理的あるいは論理的に内部の情報を読み取られることに対する耐性のこと」がよくあげられます。さらに加えて、情報の改ざんに対する防衛機能の強度性能、のような意味でも使われます。

もともと、タンパー(tamper)は、「不法に加えて変更する、勝手に書き換える」などのような意味をもつ単語ですが、情報セキュリティ用語として、正当な鍵をもたずに暗号を解読しようとする悪意ある第三者のことを指している場合もあります。

 

平成19年度システム監査技術者試験の午前試験問題の問18をみてみます。なお、試験問題の全文については、情報処理技術者試験センターの Web サイト http://www.jitec.jp/ にて公開されています。

問18 IC カードの情報の解読や偽造に対して、物理的に情報を保護するための機能を示すものはどれか。

ア SECE

イ インターロック

ウ インボリューション

エ 耐タンパ性

答えは、エ。

暗号鍵の数

情報処理技術者試験のいくつかの試験区分の午前試験では、暗号鍵の数に関する出題がよくありますので、ちょっと復習してみたいと思います。なお、試験問題の全文については、情報処理技術者試験センターのWebサイト http://www.jitec.jp/ にて公開されています。

まずは、平成19年度情報処理技術者試験テクニカルエンジニア(情報セキュリティ)午前試験問題の問37です。

問37 公開鍵暗号方式によって、n人が相互に暗号を使って通信する場合、異なる鍵は全体で幾つ必要になるか。
ア  n + 1
イ  2n
ウ   n(n - 1)
エ  log

答えは、イ。

公開鍵暗号方式では、送信者と受信者とでは異なる鍵を使用します。暗号化鍵と復号鍵からなります。そして、送信者は受信者の公開鍵(暗号化鍵)で暗号化し、受信者は秘密鍵(復号鍵)で復号します。

公開鍵(暗号化鍵)は、送信者が異なる場合でも同一のものになりますので、鍵は常に、それぞれの受信者ごとにペア分しか存在しないことになります。

 

つぎに、平成18年度情報処理技術者試験AN・PM・AE午前共通試験問題の問31です。

問31 100人の送受信者が共通鍵暗号方式で、それぞれ秘密に通信を行うときに必要な共通鍵の総数は幾つか。

ア 200

イ 4,950

ウ 9,900

エ 10,000

答えは、イ。

共通鍵暗号方式では、送信者と受信者とで同じ鍵を使用します。そして、相手が複数になると、相手ごとに異なる鍵を使用することになります。これらのことから、n人が共通鍵暗号方式で通信する場合の鍵の総数を求める式は、次のようになります。

n(n - 1)

ちなみに、公開鍵暗号方式と共通鍵暗号方式を読み違えてしまうケアレスミスもありえますので、ご注意を。

情報セキュリティを学習すると、比較的早い段階で、ソーシャル・エンジニアリング(social engineering)という用語が出てきます。IT 技術を利用するのではなくて、人間の心理や行動の隙(スキ)を利用して、秘密情報を取得する行為となります。

対策としては、教育によってそれらの手法に対しての注意意識を高めることや、物理的な方法によってそのような隙(スキ)を埋めることが、よくあげられます。

 

情報セキュリティ関連の試験問題から、ソーシャル・エンジニアリングに関する用語をいくつかあげてみます。

 

ショルダーハッキング

ショルダーハックと呼ばれることもあります。たとえば、キーボード入力している人の後方(肩口)から、そのキーボード入力値やディスプレイに映し出されている内容を盗み見る行為です。

 

ピギーバック

たとえば、社員しか入室できない場所に、その社員の後ろにくっついて無許可で入室する行為です。

 

スキャビンジング

スカビンジング、トラッシング、ごみあさり、などのように呼ばれることもあります。廃棄物の中から情報を盗み出す行為です。

 

盗難

情報機器や書類などを物理的に盗み出す行為です。

 

なりすまし

関係者になりすまして、情報を聞き出すなどの行為です。

最小特権の原則と職務分離の原則

情報セキュリティ関連の試験問題では、最小特権の原則、職務分離の原則について問われることがあります。

 

最小特権・最小権限の原則 (Least Priviledge)

ユーザやグループが、その業務を遂行するのに必要な最小限度の権限(特権)のみを許可することです。

職務分離・責務分離の原則 (Separation of Duty)

ユーザの役割や責任に基づいて、職務や責務を分離することです。

 

簡単な問題で確認してみましょう。

問題:ユーザやグループにアクセスを許可する場合に、その業務に関連するアクセスのみ許可することは、次のどのセキュリティ方針に合致しますか。

ア 最小特権

イ 職務の分離

ウ アクセス管理

 

正解は、アの最小特権です。

 

次に、平成18年度テクニカルエンジニア(情報セキュリティ)午後2試験の問1の問題文より一部を抜き出してみました。なお、試験問題の全文は、情報処理技術者試験センターの Web サイト http://www.jitec.jp/ にて公開されています。




例えば、データベース管理とオペレーションの業務を同一の者が実施するのは、セキュリティの観点からは適切な対応とは言えないね。[ a ] の原則を徹底するためには、人事管理システムの運用体制を含めて考えなければならないな。



例えば、本社管理部の人事グループの人材管理担当者が、SW事業部からの要請でセキュリティ技術をもった人材を探す場合には、スキルやグループの情報にアクセスする必要がありますが、給与担当者の場合には、本給や交通費など業務に関係する情報だけを参照できれば十分です。RDBでこのようなアクセス制御を行うには、どんな方法があるのでしょうか。



RDBの設計でも対応できると思います。この場合、表と利用者ビューは、利用者の業務要件を満たすように設計します。利用者が人事情報DBへアクセスする場合には、この利用者ビューだけが利用可能となるように制御すれば、[ a ] の原則が徹底できると思います。



[ a ] に入れる適切な字句を答える設問です。試験センターが公表している正解は、「責務の分離」です。

両方の [ a ] には同じ字句が入ることからすると、ちょっと混乱してしまいそうです。

2番目の [ a ] に関しては、最小特権とも考えられそうですが、例えば、人材管理担当者と給与担当者の責務分離を維持するために必要なアクセス制御方法を設計した、つまり、責務の分離の原則を徹底、ということにもなりましょうか。

情報セキュリティの三要素

まずは、問題からです。

問題:情報セキュリティの三要素でないものは、次のうちどれですか。

ア 機密性

イ 漏えい防止

ウ 完全性

エ 可用性

 

情報セキュリティの要素については、ISO/IEC 17799 の定義がよく利用されます。

 

機密性(Confidentiality):アクセスを認可された者だけが情報にアクセスできることを確実にすること。

完全性(Integrity):情報およびプロセス(処理方法)が正確、完全であることを保護すること。

可用性(Availability):情報および関連する資源が、認可されたユーザ(利用者)、プロセス(処理方法)、システムにより要求された時に、いつでも利用可能なことを確実にすること。

 

三要素でないものの答えは、イとなります。

 

また、OECD(Organization for Economic Co-operation and Development)セキュリティガイドラインでは、次のように定義されています。

 

可用性:データ、情報、情報システムが、適時に、必要な様式に従い、アクセスでき、利用できること。

機密性:データ及び情報が、権限ある者が、権限ある時に、権限ある方式に従った場合のみ開示されること。

完全性:データ及び情報が正確(accurate)で完全(complete)であり、かつ正確さ(accuracy)、完全さ(completeness)が維持されること。

 

 

問題:アクセス制御を行う目的は、次のうちどれですか。

ア 機密性、完全性、可用性のため

イ 機密性、可用性のため

ウ 機密性のため

 

アクセス制御は、権限に従ってデータのアクセスを制御することから、正解はウとなります。

 ⇒ affiliated with
 (2011.08.28 21:00)