ファイナンス、情報通信技術のスキル・アグリゲーション・サイト
従来の 境界防御 (Perimeter Defense)は、ファイアウォールによってネットワークの境界を作り、内部と外部を明確に区別することで、外部から内部に攻撃者が侵入することを防ぎます。さらに、 多重境界防御 は、 ファイアウォールのほか、IPS、IDS、ウイルス対策ゲートウェイなど、ネットワークの境界で複数の様々な対策を行います。
ところが、最近の標的型攻撃、特に APT 攻撃(Advanced Persistent Threat)への対応は難しく、そこで 多層防御 (Defense in depth、縦深防御)が注目されています。入口対策、内部対策、出口対策、といった多段階のセキュリティ対策を組み合わせます。
多層防御 において、 入口対策 は、攻撃の侵入を防ぐ対策です。 内部対策 は、組織内で活動をしている痕跡を見つけて対策を行います。 出口対策 は、侵入後に情報を持ち出されるなどの被害の発生を防ぐ対策です。
ファイアウォール (Firewall)は、送られてくるパケットの情報から接続を許可するか判断し、不正なアクセスであると判断した際には、管理者に通報できるよう設計されています。
パケットフィルタリング は、パケットのヘッダを解析して、通過させるかどうか判断します。
スタティックなパケットフィルタ は、IP 通信において、あらかじめ設定した条件によって、宛先や送信元の IP アドレス、ポート番号などを監視し、その通信を受け入れ(ACCEPT)、廃棄(DROP)、拒否(REJECT)などの動作で通信を制御します。
ダイナミックなパケットフィルタ は、宛先および送信元の IP アドレスやポート番号などの接続・遮断条件を、IP パケットの内容に応じて動的に変化させて通信制御を行う方式です。
ステートフルインスペクション (Stateful Packet Inspection、SPI)は、レイヤ3の IP パケットが、どのレイヤ4(TCP/UDP)セッションによるものであるか判断して、正当な手順の TCP/UDP セッションによるものとは判断できないような不正なパケットを拒否します。
サーキットレベルゲートウェイ は、レイヤ3の IP パケットではなく、TCP/IP などのレイヤ4のレベルで通信を代替し、制御します。SOCKS や レイヤ 4 スイッチにこの機能を持たせることができます。
アプリケーションレベルゲートウェイ は、パケットではなく、レイヤ7の HTTP や ファイル転送プロトコルの FTP といった、アプリケーションプロトコルのレベルで外部との通信を代替し、制御します。
DMZ (DeMilitarized Zone:非武装地帯)は、インターネットに接続されたネットワークにおいて、ファイアウォールによって外部ネットワーク(インターネット)からも内部ネットワーク(組織内のネットワーク)からも隔離された区域です。
アンチウイルスソフトウェア (Anti-Virus Software)は、コンピュータウイルスを検出・除去するためのソフトウェアです。ウイルス対策ソフトウェア、アンチウイルス(ソフト)、ワクチン(ソフト)、などのようにも呼ばれます。コンピュータ内部でやり取りされるデータとパターンファイル(あるいは、定義ファイルやシグネチャなど)を比較し、ウイルスを検出します。
DLP (Data Loss Prevention:情報漏洩対策)は、企業の情報システムなどで、機密情報・データの紛失や外部への漏洩を防止・阻止するための装置やソフトウェア、システム、仕組みなどのことです。
SIEM (Security Information and Event Management:セキュリティ情報イベント管理)は、様々な機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象をいち早く検知・分析するものです。
UTM (Unified Threat Management:統合脅威管理)は、次世代ファイアーウォールとも呼ばれ、従来のファイアーウォールが外部からの攻撃に対して防御するのに対して、UTM はインターネットとの接続に関連する複数のセキュリティ機能を統合的に提供します。 UTM は内部から外部に対しての通信も監視しています。
IDS (Intrusion Detection System:侵入検知システム)は、ネットワークを流れるパケットを監視して、不正アクセスと思われるパケットを発見したときにアラームを表示するとともに、当該通信記録を収集し保存します。IDS による不正アクセス検知の方式には、シグネチャベースの侵入検知と統計ベースの侵入検知があります。
IPS (Intrusion Prevention System:侵入防止システム)は、サーバやネットワークの外部との通信を監視し、侵入の試みなど不正なアクセスを検知すると、記録をとって管理者に知らせ、アクセスを遮断するなどの防御措置によって攻撃を未然に防ぎます。主に、ネットワーク型 IPS(Network-based IPS:NIPS)とホスト型 IPS(Host-based IPS:HIPS)があります。
ネットワーク型 IPS は、ネットワーク境界などに設置され、内外の通信をリアルタイムに監視します。不正の兆しのある通信を発見すると記録をとって管理者に知らせ、当該アドレスからのアクセスを遮断するなどの防御措置を発動します。
ホスト型 IPS は、サーバに常駐して動作するソフトウェアで、そのサーバと他のコンピュータの通信を監視します。攻撃を検知して通信を遮断するほか、ソフトウェアの脆弱性や異常動作を悪用した攻撃を OS レベルで防いだり、管理者権限の取得を禁止したり、アクセスログの改ざんを防いだりします。
シグネチャ検知(不正検出) 方式は、既知の攻撃手法について特徴的なパターンを登録したデータベースを用いて、パターンに一致するデータを含むパケットが見つかると攻撃の徴候として検出する手法です。
アノマリ検知(異常検出) 方式は、通常とは大きく異なる事態やありえない行動などから検知する手法です。
インシデントレスポンス は、情報セキュリティを脅かす事象(インシデント)への対応を行うことです。
情報セキュリティにおけるインシデントは、コンピューターやネットワークのセキュリティを脅かす事象、すなわち、ウィルス感染や不正アクセス、不正侵入、データの改ざん、情報漏えいなどをいいます。
CSIRT (Computer Security Incident Response Team、シーサート)は、インシデントレスポンスを行う専門組織の総称です。
コンピューターやネットワークのセキュリティを脅かす事象(インシデント)に関する報告を受け取り、調査し、対応活動を行う組織のことで、インシデント対応を定常的に専業で行う場合と、インシデントが起きた際に組織が結成される場合があります。
フォレンジック(forensic)は、犯罪捜査等に用いられる言葉で、「法廷の~」もしくは「法医学の~」を意味します。
ディジタルフォレンジックス (Digital Forensics)は、不正アクセスや機密情報漏洩などコンピュータやネットワークに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称のことです。
ディジタルフォレンジックスは、コンピュータのハードディスク内などに存在するデータを調査する コンピュータフォレンジックス (Computer Forensics)と、ネットワークを流れるすべての通信データを取得して調査を行う ネットワークフォレンジックス (Network Forensics)に分けることができます。
コンピュータフォレンジクス (Computer Forensics)では、ハードディスクを信頼できる技術でコピーし、解析用のハードディスクを作り、そのコンピュータで行われた操作を洗い出して、このコンピュータが犯罪に関わったということを証明します。
ディスクに関するフォレンジクスには、削除されたファイルの回復(Recovery of deleted files)などがあります。
メモリフォレンジクスは、揮発性のデータを解析します。また、動作システムの中からのコンピュータの調査を行う「ライブ解析技法」などがあります。
ネットワークフォレンジックス (Network Forensics)では、ネットワークを流れるすべての通信データを取得して調査を行います。パケットの収集と保管、ネットワーク監視状況、サービス稼働状態、トラフィック量や遅延、そして経路、などの調査を行います。
事業継続計画 (Business Continuity Plan:BCP)は、大規模災害などの非常事態に、企業が業務中断に伴うリスクを最低限に抑えつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。
事業継続マネジメント (Business Continuity Management:BCM)は、事業継続計画を作成し、教育・訓練、そして計画の改善などを継続して行うことてす。
業務影響分析 (Business Impact Analysis:BIA)は、企業にとって重要な事業について、業務の中断による事業への影響、業務の継続(復旧)優先順位、業務の目標復旧時間(または復旧レベル)、業務に必要なリソース、などについて分析します。
コンティンジェンシープラン (Contingency Plan:CP)は、事故や災害など非常事態が発生した場合に備えて、発生直後からの緊急時対応策や初動手順をまとめた計画です。緊急時対応計画ともいわれます。
災害復旧計画 (Disaster Recovery Plan:DRP)は、災害の発生を前提とした災害発生後の復旧計画です。
緊急事態行動計画 (Emergency Measures Plan:EMP)は、災害発生時における組織や行動と、災害に備える体制を定める計画です。
試験問題の全文は、
平成27年度秋期SC試験午前Ⅱ問題
問 3 ステートフルインスベクション方式のファイアウォールの特徴はどれか。
正解 エ
平成25年度春期SC試験午前Ⅱ問題 問 8
平成26年度秋期SC試験午前Ⅱ問題
問 6 CSIRT の説明として, 適切なものはどれか。
正解 ウ
平成26年度秋期SC試験午前Ⅱ問題
問14 ディジ夕ルフォレンジックスを説明したものはどれか。
正解 エ
平成24年度秋期SC試験午前Ⅱ問題 問 6
平成26年度春期SC試験午前Ⅱ問題
問 6 ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
正解 エ
平成22年度秋期SC試験午前Ⅱ問題 問 7
平成24年度春期SC試験午前Ⅱ問題 問 7
平成26年度春期SC試験午前Ⅱ問題
問 9 自ネットワークのホス卜ヘの侵入を, ファイアウォールにおいて防止する対策のうち, IPスプーフィング (spoofing) 攻撃の対策について述ベたものはどれか。
正解 エ
平成21年度秋期SC試験午前Ⅱ問題 問 9
平成26年度春期共通試験午前Ⅰ問題
問14 ディジタルフォレンジックスの説明として, 適切なものはどれか。
正解 エ
平成22年度春期SC試験午前Ⅱ問題 問11
平成24年度春期SC試験午前Ⅱ問題 問10
平成25年度秋期SC試験午前Ⅱ問題
問 8 DMZ 上のコンピュータがイン夕ーネットからの ping に応答しないようにファイアウォールのルールを定めるとき, “通過禁止" に設定するものはどれか。
正解 ア
平成25年度秋期SC試験午前Ⅱ問題
問10 利用者 PC がボットに感染しているかどうかを hosts ファイルで確認するとき, 設定内容が改ざんされていないと判断できるものはどれか。ここで, hosts ファイルには設定内容が 1 行だけ書かれているものとする。
\ | 設定内容 | 説明 |
ア | 127.0.0.1 a.b.com | a.b.com は OS 提供元の FQDN を示す。 |
イ | 127.0.0.1 c.d.com | c.d.com は PC 製造元の FQDN を示す。 |
ウ | 127.0.0.1 e.f.com | e.f.com はウイルス定義ファイルの提供元の FQDN を示す。 |
エ | 127.0.0.1 localhost | localhost は利用者 PC 自身を示す。 |
正解 エ
平成21年度秋期SC試験午前Ⅱ問題 問11
平成23年度秋期共通試験午前Ⅰ問題 問15
平成25年度春期共通試験午前Ⅰ問題
問15 パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて, 本来必要なサービスに影響を及ぼすことなく防げるものはどれか。
正解 ア
平成24年度秋期SC試験午前Ⅱ問題
問12 ディジタルフォレンジックスを説明したものはどれか。
正解 エ
平成21年度秋期SC試験午前Ⅱ問題 問 4
平成24年度春期SC試験午前Ⅱ問題
問 5 コンティンジェンシープランにおける留意点はどれか。
正解 ア
平成23年度特別SC試験午前Ⅱ問題
問10 ウイルスの調査手法に関する記述のうち, 適切なものはどれか。
正解 ア
平成23年度特別SC試験午前Ⅱ問題
問12 自社の中継用メールサーバのログのうち, 外部ネットワークからの第三者中継と判断できるものはどれか。ここで, AAA.168.1.5 と AAA.168.1.10 は自社のグローバル IP アドレスとし, BBB.45.67.89 と BBB.45.67.90 は社外のグローパル IP アドレスとする。
a.b.c は自社のドメイン名とし, a.b.d と a.b.e は他社のドメイン名とする。また, IP アドレスとドメイン名は詐称されていないものとする。
\ | 接続元 IP アドレス | 送信者のドメイン名 | 受信者のドメイン名 |
ア | AAA.168.1.5 | a.b.c | a.b.d |
イ | AAA.168.1.10 | a.b.c | a.b.c |
ウ | BBB.45.67.89 | a.b.d | a.b.e |
エ | BBB.45.67.90 | a.b.d | a.b.c |
正解 ウ
平成21年度春期SC試験午前Ⅱ問題 問 9
平成22年度秋期SC試験午前Ⅱ問題
問 6 DMZ 上に公開している Web サーバで入力データを受け付け, 内部ネットワークの DB サーバにそのデータを蓄積するシステムがある。インターネッ卜から DMZ を経由してなされる DB サーパヘの不正侵入対策のーつとして, DMZ と内部ネッ卜ワークとの間にファイアウォールを設置するとき, 最も有効な設定はどれか。
正解 ア
平成21年度秋期SC試験午前Ⅱ問題
問 6 NIDS (ネットワーク型 IDS) を導入する目的はどれか。
正解 ア