情報セキュリティ試験直前対策メモ２００６＝アクセス監視編＝

２００６年４月に情報処理技術者試験テクニカルエンジニア（情報セキュリティ）試験が実施されました。この試験の受験に向けて作成した直前対策メモを公開します。第９回目は、『アクセス監視』編です。

このメモは、キーワードを見て、自分なりに内容が理解できていることを確認するのが目的のため、詳しい解説は記載しておりません。今後、解説を付け加えていく予定です。

試験の受験テキスト、あるいは、専門書の選択時に、これらのキーワードの解説の有無や、解説の詳細さなどが、基準になるのではないかと思います。

不正アクセス監視

１：ホスト型 IDS

・１台の IDS マネージャと複数の IDS エージェントで構成される。

　→ IDS エージェント：設定されたコンピュータへの不正ログオン、ユーザアカウントの登録データベースの変更、ポリシー違反への違反、ログファイルへの不正なアクセスなどを検出し、IDS マネージャへ通知する。IDS エージェントと IDS マネージャとの通信は暗号化されている。

　→ IDS エージェントは、侵入の恐れの高い機器（ルータ、Web サーバ、DNS サーバ、データベースサーバなど）にインストールする。

　→バッファオーバフロー攻撃の場合、ログの出力がないため、検知できない。

２：ホスト型 IDS の検出方法

・ユーザ操作検知

　→監視対象サーバにおける、ログイン・ログオフの有無や、特権ユーザへの権限昇格などを検知する。

・ファイル改ざん検知

　→ Web サーバのコンテンツファイルの改ざんなどを監視する。

・擬似レスポンス

　→いわゆるハニーポット。

・不正操作へのレスポンス

　→検知内容を通知する。また、特定ユーザのログイン拒否や権限昇格制限、ファイルのアクセス制限を行う。

３：ネットワーク型 IDS

・ネットワークに１台インストールするだけ。ネットワーク上に流れるパケットをモニタリングして収集し、IDS の持つシグネチャと一致するパターンを見つけたとき、これを通知しログに残す。

・ネットワークトラフィックが多いと IDS はパケットの解析が追いつかず、パケットを取りこぼすことがある。

・暗号化されたパケットの分析ができない。

・ログの証拠能力。

４：ネットワーク型 IDS の検出方法

・異常検出

　→不正アクセス以外でアクセス方法が多岐にわたると誤検知（フォルスポジティブ / false positive）が多くなる。

・不正検知

　→誤検知の可能性は少ないが、未知の不正アクセスは検出できない。（フォルスネガティブ / false negative）

・アノマリ通信検知

　→日常通信とは考えにくい通信の検知を行う。アノマリの比較対象は、RFC など。

　→プロトコルアノマリ検知、トラフィックアノマリ検知、アプリケーションアノマリ検知。

５：ネットワーク型 IDS の実装

・ファイアウォールの外側

・ DMZ セグメント

・内部ネットワーク

６：不正侵入防御システム（ IPS / Intrusion Prevention System）

・ IPS を通過するパケットをチェックし、異常を検知したら、あらかじめ設定されたポリシーに従って自動的にパケットを遮断したり、攻撃を行っている IP アドレスからパケットを破棄してセッションを切断したりする。

７：ハニーポット

・攻撃統計調査

・攻撃者行動調査

・悪意あるプログラムの収集

８：Tripwire

・監視対象の対象ディレクトリやファイル属性のハッシュ値をデータベースとして保存し、そのデータベースと監査時の属性を比較して、監査対象の変更や削除がなかったかを判定する。

・リアルタイムではない。

補足：アクセス制御

１：ファイアウォール

・パケットフィルタリング型

・サーキットレベルゲートウェイ型：トランスポート層で動作。セッション。

・アプリケーションゲートウェイ型：アプリケーション層で動作。プロキシ。

・ハイブリッド型

２：ファイアウォールの構成（DMZ）

３：ファイアウォールのその他の機能

・NAT 機能、IP マスカレード（NAPT）機能

・ロギング機能

・コンテンツフィルタリング機能

４：コンピュータのアクセス制御

・MAC (Mandatory Access Control)：強制アクセス制御

　→ Bell-LaPadula モデル

・DAC (Discretionary Access Contorol)：任意アクセス制御

・RBAC (Role-Based Access Control)：ロールに基づくアクセス制御