セキュリティ

2021年7月3日作成,2022年10月23日更新

目次

応用情報技術者試験(レベル3)シラバス-情報処理技術者試験における知識・技能の細目- Ver.6.1 に基づき,「セキュリティ」の対策ノートを作成した。

本稿は,IT ストラテジスト試験システムアーキテクト試験プロジェクトマネージャ試験それぞれの午前Ⅱ 問題の対策としても活用できるようにしている。

情報セキュリティ

  • 情報セキュリティの目的,考え方,重要性を修得し,応用する。
  • 情報資産に対する脅威,脆弱性と主な攻撃手法の種類を修得し,応用する。
  • 情報セキュリティに関する技術の種類,仕組み,特徴,その技術を使用することで,どのような脅威を防止できるかを修得し,応用する。

情報セキュリティ(information security)とは,情報を詐取や改竄などから保護しつつ,必要に応じて利用可能な状態を維持すること。そのために講じる措置や対策などを指すこともある。

(1) 情報セキュリティの目的と考え方

機密性(Confidentiality),完全性(Integrity),可用性(Availability),真正性(Authenticity),責任追跡性(Accountability),否認防止(Non-Repudiation),信頼性(Reliability),OECD セキュリティガイドライン(情報システム及びネットワークのセキュリティのためのガイドライン)

情報セキュリティの 3 要素(C.I.A.)

C.I.A. とは,情報セキュリティの根幹を成す重要な要素である "Confidentiality"(機密性),"Integrity"(完全性),"Availability"(可用性)の頭文字を繋げた標語である。

1992年に OECD(経済開発協力機構)が「情報システムのセキュリティに関するガイドライン」(Guidelines for the Security of Information Systems)で初めて示したもので,その後様々な規格やガイドラインにに引用された。

現在ではこれに加えて,真正性(Authenticity)や責任追跡性(Accountability),信頼性(Reliability),否認防止(Non-repudiation)などを加え,情報セキュリティの構成要素とすることもある。

機密性(Confidentiality)

機密性とは,情報セキュリティの基本的な概念の一つで,正当な権限を持った者だけが情報に触れることができる状態。また,そのような状態を確保・維持すること。

機密性を確保するには,利用者の識別や認証,所属や権限に応じた情報や機能へのアクセス制御,情報の閲覧や複製,移動に関する履歴の記録や監査などが適切に行われる必要がある。

完全性(Inetgrity)

完全性とは,誠実,正直,完全(性),全体性,整合性,統合性,などの意味を持つ英単語。ITの分野では,システムやデータの整合性,無矛盾性,一貫性などの意味で用いられることが多い。

可用性(Availability)

可用性とは,システムなどが使用できる状態を維持し続ける能力。利用者などから見て,必要なときに使用可能な状態が継続されている度合いを表したもの。

真正性(Authenticity)

主体または資源が,主張どおりであることを確実にする特性

責任追跡性(Accountability)

あるエンティティの動作が,一意に追跡できる特性

否認防止(Non-Repudiation)

情報セキュリティマネジメントの付加的な要素で,行った操作や発生した事象を後になって否認されないように証明することができる能力のことである。ログの取得で必要な項目を確実に記録するとともに,完全性が損なわれてないように保存することで確保できる。ディジタル署名やタイムスタンプは否認防止に活用される技術である。

JIS Q 27000 : 2019(情報セキュリティマネジメントシステム-用語) では「主張された事象又は処理の発生,及びそれを引き起こしたエンティティを証明する能力」と定義されている。

信頼性(Reliability)

意図した動作及び結果に一致する特性

OECD 8 原則
  1. 収集制限の原則 個人データは,適法・公正な手段により,かつ情報主体に通知または同意を得て収集されるべきである。
  2. データ内容の原則 収集するデータは,利用目的に沿ったもので,かつ,正確・完全・最新であるべきである。
  3. 目的明確化の原則 収集目的を明確にし,データ利用は収集目的に合致するべきである。
  4. 利用制限の原則 データ主体の同意がある場合や法律の規定による場合を除いて,収集したデータを目的以外に利用してはならない。
  5. 安全保護の原則 合理的安全保護措置により,紛失・破壊・使用・修正・開示等から保護すべきである。
  6. 公開の原則 データ収集の実施方針等を公開し,データの存在,利用目的,管理者等を明示するべきである。
  7. 個人参加の原則 データ主体に対して,自己に関するデータの所在及び内容を確認させ,または異議申立を保証するべきである。
  8. 責任の原則 データの管理者は諸原則実施の責任を有する。

(2) 情報セキュリティの重要性

情報資産,脅威,脆弱性,サイバー空間,サイバー攻撃
情報資産

組織で管理する情報資産は,法的要求事項,価値,重要性,開示の有無,取扱いへの慎重さなどの観点から,情報セキュリティ管理規程で定めた分類体系に基づいて適切に分類しなければならない。重要情報とそれ以外の情報を区別しておかないと,客観的に保護する必要のある情報かどうかがわからず,役職員が秘密情報を漏らしてしまう恐れや,それほど重要ではない情報の保護に過剰な対策コストを掛けてしまうことがあるからである。

脅威

脅威とは,システムや組織に損害を与える可能性があるインシデントの潜在的な原因である。インシデントとは,望まれていないセキュリティの現象(事象)で,組織の事業を危うくするおそれがある。

脆弱性

脆弱性とは,脅威がつけ込むことができる,資産がもつ弱点である。脆弱性の具体例として,ソフトウェアの不具合であるバグや,セキュリティ上の欠陥であるセキュリティホールがある。

サイバー空間

サイバー空間とは,インターネットのような広域の開かれたコンピュータネットワークを人々が社会的営みを行なう場と捉え,現実世界の空間に例えた表現。

1980年代前半にカナダの作家ウィリアム・ギブスン(William Gibson)氏の小説に登場し広まった語で,“cybernetics”(サイバネティックス)と “space”(スペース)の造語であるとされる。

サイバー攻撃

サイバー攻撃とは,あるコンピュータシステムやネットワーク,電子機器などに対し,正規の利用権限を持たない悪意のある第三者が不正な手段で働きかけ,機能不全や停止に追い込んだり,データの改竄や詐取,遠隔操作などを行うこと。

特定の組織や集団,個人を狙ったものと,不特定多数を無差別に攻撃するものがある。政治的な示威行為として行われるものは「サイバーテロ」(cyberterrorism),国家間などで行われるものは「サイバー戦争」(cyberwarfare)と呼ばれることもある。

(3) 脅威

① 脅威の種類

事故,災害,故障,破壊,盗難,侵入,不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング,ビジネスメール詐欺(BEC),誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング,情報漏えい,故意,過失,誤謬,内部不正,妨害行為,SNS の悪用

脅威の種類には,次のようなものがある。

表 脅威の種類
脅威の種類 説明
物理的脅威 直接的に情報資産が被害を受ける脅威
事故,災害,故障,破壊,盗難,不正侵入ほか
技術的脅威 IT などの技術による脅威
不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキングほか
人的脅威 人によって起こされる脅威
誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリングほか
不正アクセス(illegal access)

不正アクセスとは,通信回線・ネットワークを通じてコンピュータに接触し,本来の権限では認められていない操作を行ったり,本来触れることの許されていない情報の取得や改竄,消去などを行うこと。

クラッキング(cracking)

クラッキングとは,コンピュータやソフトウェア,データなどを防護するための措置や仕組みを破壊あるいは回避,無効化し,本来許されていない操作などを行うこと。

ソーシャルエンジニアリング(social engineering)

ソーシャルエンジニアリングとは,コンピュータシステムにアクセスするために必要な情報(パスワードなど)やその手がかりを,それを知る本人や周辺者への接触や接近を通じて盗み取る手法の総称である。

ソーシャルエンジニアリング手法を利用した標的型攻撃メールには,件名や本文に,受信者の業務に関係がありそうな内容が記述されている,という特徴がある。

内部不正

情報セキュリティ 組織における内部不正防止ガイドライン」では,内部不正防止のための基本原則として,状況的犯罪予防のの考え方を応用した以下の 5 つを掲げている。

犯行を難しくする(やりにくくする)
対策を強化することで犯罪行為を難しくする
捕まるリスクを高める(やると見つかる)
管理や監視を強化することで捕まるリスクを高める
犯行の見返りを減らす(割に合わない)
標的を隠したり,排除したり,利益を得にくくすることで犯行を防ぐ
犯行の誘因を減らす(その気にさせない)
犯罪を行う気持ちにさせないことで犯行を抑止する
犯罪の弁明をさせない(言い訳させない)
犯行者による自らの行為の正当化理由を排除する

② マルウェア・不正プログラム

コンピュータウイルス,マクロウイルス,ワーム,ボット(ボットネット,遠隔操作型ウイルス,C&C サーバ),トロイの木馬,スパイウェア,ランサムウェア,キーロガー,ルートキット,バックドア,偽セキュリティ対策ソフト

マルウェアとは,コンピュータの正常な利用を妨げたり,利用者やコンピュータに害を成す不正な動作を行うソフトウェアの総称。“malicious software” (悪意のあるソフトウェア)を縮めた略語である。

「マルウェア」という用語は専門家や技術者以外の一般的な認知度が低く,また,マルウェアに含まれるソフトウェアの分類や違いなどもあまり浸透していないため,マスメディアなどでは「コンピュータウイルス」をマルウェアのような意味で総称的に用いることがあるが,このような用法は本来は(あるいは厳密に言えば)誤用である。

コンピュータウイルス

コンピュータウイルスとは,コンピュータの正常な利用を妨げる有害なコンピュータプログラム(ソフトウェア)の一種で,他のプログラムの一部として自らを複製し,そのプログラムが起動されると便乗して悪質な処理を実行に移すものである。

ボット

マルウェア(悪意のあるソフトウェア)の一種にもボットと呼ばれるプログラムがあり,感染したコンピュータで攻撃者からの指示を待ち,遠隔からの指令された動作を行う。

コンピュータウイルスやトロイの木馬などの一部として送り込まれ,感染したコンピュータ上に常駐して特定のネットワークに接続して指示を待つ。コンピュータを使用不能にするような妨害・破壊活動は行わず,なるべく遠隔操作を利用者に気づかれないように振る舞う。パスワードやクレジットカード番号など秘密の情報を盗み出して攻撃者に報告したり,別のコンピュータやネットワークへの攻撃の踏み台として悪用される。

ボットネット

インターネット上で同じボットが組み込まれたコンピュータにより築かれたネットワークを「ボットネット」(botnet)と呼び,攻撃者の指示で一斉に特定のネットワークへ DDoS 攻撃(分散 DoS 攻撃)を行ったり,スパムメールの発信元などとして悪用される。

C&C サーバ

C&C サーバは,攻撃者がマルウェアに対して指令コマンドを送信し,マルウェアに感染した支配下のコンピュータ群(ボットネット)の動作を制御するために用いられる外部の指令サーバである(C&C = コマンド & コントロール)。侵入して乗っ取ったコンピュータに対して,他のコンピュータへの攻撃などの不正な操作をするよう,外部から命令を出したり応答を受け取ったりする。

トロイの木馬(Trojan Horse)

トロイの木馬とは,何らかの有用なソフトウェアなどを装って導入や実行を促し,起動すると利用者に気付かれないよう秘密裏にデータ漏洩や遠隔操作などの有害な動作を行うソフトウェア。名称は,古代ギリシャ神話のトロイア戦争において,兵士が大きな木馬の中に隠れて敵方の中枢部に忍び込んだ逸話に由来する。

ランサムウェア

利用者の PC を利用できなくし,再び利用できるようにするのと引換えに金銭を要求する。

ファイル暗号化型ランサムウェアは,ファイルを暗号化することで,コンピュータを利用できない状態にし,元に戻すために金銭の支払いを要求する。

ルートキット(rootkit)

攻撃者がシステムへ不正侵入した後に侵入した痕跡を隠蔽したり,再び侵入するためのバックドアを設置するための機能をまとめたソフトウェア群である。ルートキットにはキーロガー,パスワード窃盗ツール,クレジットカードやオンラインバンキングの情報を盗むモジュール,DDoS 攻撃用のボット,セキュリティソフトウェアを無効にする機能など,多数の悪意あるツールが含まれている可能性がある。

エクスポロイキット

エクスプロイトキットは,複数のエクスプロイトコード[1]をまとめ,ソフトウェアや OS に内在する脆弱性を確認したり,攻撃者がその脆弱性を悪用したりするツール群である。エクスプロイト(exploit)には,悪用という意味がある。

エクスプロイトキットが仕掛けられた Web サイトにアクセスすると,PC 上の脆弱性が調べられ,その脆弱性を突く攻撃が行われる。最終的にはマルウェアがダウンロードされ,ランサムウェアやクリプトジャッキングの被害を受ける可能性がある。被害を受けないためには PC で使用している OS やソフトウェアを常に最新バージョンに更新しておくことが重要である。

モリモーフィック型マルウェア

感染ごとにマルウェアのコードを異なる鍵で暗号化することによって,同一のパターンでは検知されないようにする。

マルチプラットフォーム型マルウェア

複数の OS 上で利用できるプログラム言語でマルウェアを作成することによって,複数の OS 上でマルウェアが動作する。

ステルス型マルウェア

ルートキットを利用して,マルウェアに感染していないように見せかけることによって,マルウェアを隠蔽する。


  1. ソフトウェアの脆弱性を悪用した不正な動作を再現するために作成されたスクリプトやプログラムを指す言葉である。

(4) 脆弱性

バグ,セキュリティホール,人的脆弱性,シャドー IT

脆弱性とは,コンピュータやソフトウェア,ネットワークなどが抱える保安上の弱点。システムへの損害や不正な操作,情報の盗み取りや改竄など,管理者や利用者にとって脅威となる行為に悪用できる可能性のある欠陥や,仕様・設計上の不備のことである。

バグ

バグとは,「虫」という意味の英単語で,コンピュータの分野ではプログラムに含まれる誤りのことを指す。

セキュリティホール

セキュリティホールとは,コンピュータシステムに生じた保安上の弱点や欠陥。悪意ある人物やプログラムがシステムを不正に操作したり,データを不正に取得・変更することができるようになってしまう不具合のこと。現在ではほぼ同義の「脆弱性」(vulnerability)という語が用いられる。

人的脆弱性

セキュリティ環境の未整備や情報の管理体制が実装されていない状況のことを人為的脆弱性という。社外での会話からの情報漏えい,施錠されていないことによる侵入,それに伴う盗難・情報漏えいなどは人為的脆弱性に当たる。

シャドー IT

シャドー IT とは,企業などの組織内で用いられる情報システムやその構成要素(機器やソフトウェアなど)のうち,従業員や各業務部門の判断で導入・使用され,経営部門やシステム管理部門による把握や管理が及んでいないもの。

(5) 不正のメカニズム

不正のトライアングル(機会,動機,正当化),状況的犯罪予防

米国の犯罪学者ドナルド・R・クレッシーは,不正行為は「機会,動機,正当性の 3 つの条件がそろったときに発生する」という不正のトライアングル理論を提唱している。

表 不正のトライアングル
構成要素 説明
機会 不正行為をやろうと思えばできる環境。具体的には,情報システムなどの技術や物理的な環境,組織のルールなど,内部者による不正行為の実行を可能又は容易にする環境の存在である。
動機 抱えている悩みや望みから実行に至った心情
正当化 不正を正当な行為とみなす考え

(6) 攻撃者の種類,攻撃の動機

スクリプトキディ,ボットハーダ,内部犯,愉快犯,詐欺犯,故意犯,金銭奪取,ハクティビズム,サイバーテロリズム,ダークウェブ,サイバーキルチェーン
スクリプトキディ(script kiddy)

スクリプトキディとは,インターネットを通じて外部のコンピュータシステムへの侵入や妨害などを行う攻撃者(クラッカー)のうち,自らは技術力や専門知識がなく,他人の開発した攻撃ツールを入手して使用するだけの者のこと。

ボットハーダー(bot herder)

ボットネットを組織しゾンビ端末に司令を与える攻撃者のことを「ボットハーダー」(bot herder)と呼ぶことがある。“herder” とは牛飼いや羊飼いなど家畜の世話をする人のことで,多数のゾンビ端末を自在に操る様子から名付けられた。

内部犯

従業員や業務委託先の社員など,組織の内部情報にアクセスできる権限を不正に利用して情報を持ち出したり改ざんしたりする攻撃者のこと。

愉快犯

人や社会を恐怖に陥れて,その様子を観察して喜ぶことを目的にサイバー犯罪を行う攻撃者のこと。

詐欺犯

フィッシング詐欺や本物そっくりの Web サイトなどで個人情報などを搾取するような詐欺を行う攻撃者のこと。

故意犯

罪を犯す意志をもって犯罪を行う攻撃者が故意犯である。一方,犯罪を行う意志がないのに,注意義務を怠るなどの過失によって罪を犯してしまう攻撃者のことを過失犯という。

金銭奪取

金銭的に不当な利益を得ることを目的に行われる攻撃である。個人情報など金銭につながる情報を得ることも含まれる。

ハクティビズム

ハクティビズムはハッカー[1]の思想のことで,政治的・社会的な思想に基づき積極的に犯罪を行う。

サイバーテロリズム

政治的な示威行為として行われるものは「サイバーテロ」(cyberterrorism)と呼ばれる。

ダークネット

ダークネットは,インターネット上で到達可能であるが,使われていないIPアドレス空間を示す。このダークネットにおいて,マルウェアが IoT 機器やサーバなどの攻撃対象を探すために送信するパケットが観測される。


  1. ハッカーとは,コンピュータや電子回路などについて技術的に深い知識を持ち,その技術を用いて技術的な課題を解決する人のことを指す。不正アクセスを行う場合には,ハッカーではなく,クラッカーと言い換えることも多い。

(7) 攻撃手法

  • 辞書攻撃,総当たり(ブルートフォース)攻撃,リバースブルートフォース攻撃,レインボー攻撃,パスワードリスト攻撃
  • クロスサイトスクリプティング,クロスサイトリクエストフォージェリ,クリックジャッキング,ドライブバイダウンロード,SQL インジェクション,ディレクトリトラバーサル
  • 中間者(Man-in-the-middle)攻撃,MITB(Man-in-the-browser)攻撃,第三者中継,IP スプーフィング,キャッシュポイズニング,セッションハイジャック,リプレイ攻撃
  • DoS(Denial of Service:サービス妨害)攻撃,DDoS 攻撃,電子メール爆弾,リフレクション攻撃,クリプトジャッキング
  • 標的型攻撃(APT(Advanced Persistent Threat),水飲み場型攻撃,やり取り型攻撃ほか),フィッシング(ワンクリック詐欺,スミッシングほか)
  • ゼロデイ攻撃,サイドチャネル攻撃,サービス及びソフトウェアの機能の悪用
  • 攻撃の準備(フットプリンティング,ポートスキャンほか)
辞書攻撃(dictionary attack)

辞書攻撃とは,パスワードの割り出しなどの不明な文字列の推測を効率よく行う手法の一つで,辞書や人名録など人間にとって意味のある単語のリストを候補として用いる方式。

総当たり(ブルートフォース)攻撃(brute force attack)

総当たり攻撃とは,暗号の解読やパスワードの割り出しなどに用いられる手法の一つで,割り出したい秘密の情報について,考えられるすべてのパターンをリストアップし,片っ端から検証する方式。英名の “brute force” の原義は「力づく」である。

ブルートフォース攻撃は,何万回~の試行を繰り返すことが前提になっているため,ログインの試行回数に制限を設ける対策が一般的である。具体的には,一定回数連続して認証に失敗した場合,一定時間アカウントを停止する措置をロックアウトという。

リバースブルートフォース攻撃(reverse brute force attack)

コンピュータやネットワークの利用権限(アカウント)の奪取に用いられる攻撃手法の一つで,あるサービスのアカウント名のリストを元に,多くの人が使う単純なパスワードで順番にログインを試み,たまたまそのパスワードを使っているアカウントを乗っ取る手法を逆総当たり攻撃(リバースブルートフォース攻撃,逆ブルートフォース攻撃)という。

リバースブルートフォース攻撃は,様々な利用者 ID の候補を次々と試すので,一般的な ID 単位のアカウントロックの仕組みでは防御しにくい。

レインボー攻撃

レインボー攻撃は,レインボーテーブルと呼ばれる,ハッシュ値からパスワードを特定するための逆引き表を用いて,パスワードを高速に解読する手法である。レインボーテーブルは,使用される文字種と文字数の組合せごとに作成される。

解析対象となるパスワードの長さが長くなったり,使用可能な文字種が増えると,全ての組み合わせを網羅するためのレインボーテーブルのサイズも大きくなる。したがって,十分な長さのソルト値を加えてからハッシュ化することで,レインボーテーブルの作成は著しく困難となる。

パスワードリスト攻撃

何らかの方法で事前に利用者 ID と平文のパスワードのリストを入手しておき,複数のシステム間で使い回されている利用者 ID とパスワードの組みを狙って,ログインを試行する。

この攻撃に対しては,利用者側で「パスワードの使いまわしをやめる」ことや,管理者側で「2 段階認証を行う」「ログイン履歴を表示し利用者に確認してもらう」などの対策が考えられる。

類推攻撃

類推攻撃は,ターゲットの個人情報に関する知識から,攻撃者自身がパスワードを推測し,不正ログインを試みる方法である。

クロスサイトスクリプティング

クロスサイトスクリプティング(XSS)は,動的に Web ページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して,悪意のあるスクリプトを混入させることで,攻撃者が仕込んだ操作を実行させたり,別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法である。

XSS 脆弱性のある Web アプリケーションでは,以下の影響を受ける可能性がある。

  • サイト攻撃者のブラウザ上で,攻撃者の用意したスクリプトの実行によりクッキー値を盗まれ,利用者が被害にあう。
  • 同様にブラウザ上でスクリプトを実行され,サイト利用者の権限で Web アプリケーションの機能を利用される。
  • Web サイト上に偽の入力フォームが表示され,フィッシングにより利用者が個人情報を盗まれる。

XSS の手口として,Web アプリケーションのフォームの入力フィールドに,悪意のある JavaScript コードを含んだデータを入力する。

格納型クロスサイトスクリプティング(Stored XSS 又は Persistent XSS)攻撃では,Web サイト上の掲示板に攻撃用スクリプトを忍ばせた書込みを攻撃者が行うことによって,その後に当該掲示板を閲覧した利用者の Web ブラウザで,攻撃用のスクリプトを実行する。

ドライブバイダウンロード

ドライブバイダウンロードは,Web サイトにマルウェアやウイルスを仕込んでおき,アクセスしてきた利用者の知らぬうちに,それらを自動ダウンロード又は実行させる攻撃である。

ディレクトリラバーサル

ディレクトリトラバーサル攻撃は,ファイル名を要求するプログラムに対してサーバ内の想定外のファイル名(親ディレクトリの移動「../」など)を直接指定することによって,本来許されないファイルの不正な閲覧・取得を狙う攻撃方法である。具体的には,入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して,攻撃者が,上位のディレクトリを意味する文字列を入力して,非公開のファイルにアクセスする。

中間者(Man-in-the-middle)攻撃

インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ,Web ブラウザから入力された利用者 ID とパスワードを正規サイトに転送し,利用者になりすましてログインする。

MITB(Man-in-the-browser)攻撃

Man-in-the-Browser 攻撃(MITB)は,ユーザ PC 内でプロキシとして動作するトロイの木馬(マルウェア)によって Web ブラウザ ~ Web サーバ間の送受信をブラウザベースで盗聴・改ざんする攻撃である。インターネットバンキングへのログインを検知して,セッションを乗っ取り,振込先口座番号を差し替えることで預金を不正送金するなどの攻撃例がある。

同じく送受信を改ざんする Man-in-the-Middle 攻撃と異なり,クライアント内で書換えが行われるため Web サーバ側で不正処理を拒否することが難しいという特徴がある。

キャッシュポイズニング

DNS キャッシュポイズニング攻撃は,DNS キャッシュサーバに偽の DNS 情報をキャッシュとして登録させることで,利用者を偽の Web サイトに誘導する攻撃である。

企業の DMZ 上で 1 台の DNS サーバを,インターネット公開用と,社内の PC 及びサーバからの名前解決の問合せに対応する社内用とで共用している。この DNS サーバが,DNS キャッシュポイズニングの被害を受けた結果,直接引き起こされ得る現象として,社内の利用者が,インターネット上の特定の Web サーバにアクセスしようとすると,本来とは異なる Web サーバに誘導されることが考えられる。

セッションハイジャック

Web ブラウザと Web サーバの間の通信で,認証が成功してセッションが開始されているときに,Cookie などのセッション情報を盗む。

リプレイ攻撃

正当な利用者のログインシーケンスを盗聴者が記録してサーバに送信する。

DoS 攻撃

攻撃者が,スクリプトを用いて特定のPCへ大量に接続要求を送り出し,通信機能を停止させる。

マルチベクトル型 DDoS 攻撃

攻撃対象の Web サーバ 1 台に対して,多数の PC から一斉にリクエストを送ってサーバのリソースを枯渇させる攻撃と,大量の DNS 通信によってネットワークの帯域を消費する攻撃を同時に行うことは,マルチベクトル型 DDoS 攻撃に該当する。

クリプトジャッキング

クリプトジャッキングは,暗号資産(仮想通貨)を入手するために必要な膨大な計算作業(ハッシュ値の計算)を,他人のコンピュータ資源に秘密裏に行わせる行為である。PC にマルウェアを感染させ,その PC の CPU などが有する処理能力を不正に利用して,暗号資産の取引承認に必要となる計算を行い,報酬を得る。

APT (Advanced Persistent Threats),持続的標的型攻撃

APT 攻撃 (Advanced Persistent Threats) は,ソフトウェアの脆弱性を悪用し,複数の既存攻撃を組合せ,ソーシャルエンジニアリングにより特定企業や個人をねらって行われる執拗なサイバー攻撃の総称である。

単なる標的型攻撃と異なる点は準備や攻撃が長い期間に渡って行われる点である。最初にメールや外部メディア等で組織内部の従業員(組織の幹部を含む)の端末への不正侵入を試み,そこから組織の内部へ更に入り込んでいくなど目的達成のために数か月から数年にわたって攻撃が継続する。最終的には組織にとって非常に重要な情報(知財情報や個人情報)を盗み出すことなどを目的としている。

水飲み場型攻撃

水飲み場型攻撃は,特定の組織や人に狙いを定める標的型攻撃の一つで,標的ユーザが良く利用する Web サイトにドライブバイダウンロードのコードなどを仕込み,アクセスした標的ユーザにマルウェアやウイルスを感染させる攻撃である。

一般的には標的対象のみに感染するマルウェアが用いられ,標的以外の第三者がアクセスしても何も起こらないため,脅威の存在や Web サイトの改ざんなどが発覚しにくくなっている。

「水飲み場型攻撃」の名称は攻撃者をライオンなどの肉食獣に,標的ユーザが良く利用する Web サイトを草食獣が集まる水飲み場に見立て,肉食獣が水飲み場に来る獲物を待ち伏せする様子になぞらえている。

DNS 水責め攻撃(ランダムサブドメイン攻撃)

標的の権威 DNS サーバに,ランダムかつ大量に生成した存在しないサブドメイン名を問い合わせる。

フィッシング

インターネットバンキングから送信されたように見せかけた電子メールに偽サイトの URL を記載しておき,その偽サイトに接続させて,Web ブラウザから口座番号やクレジットカード番号を入力させることで情報を盗み出す。

ゼロデイ攻撃(zero-day attack)

ある OS やソフトウェアに脆弱性が存在することが判明し,ソフトウェアの修正プログラムがベンダーから提供されるより前に,その脆弱性を悪用して行われる攻撃のことを指す。

問題解決のための修正パッチが提供された日を 1 日目としたとき,それよりも前に行われた攻撃という意味で「ゼロデイ攻撃」と呼ばれる。

サイドチャネル攻撃

暗号化装置の動作を電磁波から解析することによって解読する。

フットプリンティング

攻撃前に,攻撃対象となるPC,サーバ及びネットワークについての情報を得る。

ポートスキャン

攻撃者が用意したスクリプトで Web サイトのサービスポートに順次アクセスし,各ポートに対応するサービスに存在するセキュリティ上の弱点を探し出す。スキャン対象の応答から OS の種類,稼働しているサービスとそのバージョンなどの情報を得ることが可能である。

UDP スキャンは,UDP で提供されるサービスの状態を判断するためのポートスキャンである。調査対象サービスのポートに適当な UDP パケットを送り,"ICMP Port Unreachable" が返ってくればポートは閉じている,応答がなければポートは開いていると判断できる。

キーロガー

コンピュータへのキー入力を全て記録して外部に送信する。

ウォードライビング(War Driving)

不正にアクセスする目的で,建物の外部に漏れた無線LANの電波を傍受して,セキュリティの設定が脆弱な無線LANのアクセスポイントを見つけ出す。

SEO ポイズニング

Web 検索サイトの順位付けアルゴリズムを悪用して,検索結果の上位に,悪意のある Web サイトを意図的に表示させる。ちなみに SEO(Search Engine Optimization)とは,Web サイトを制作するときに,Google などの検索エンジンの検索結果において上位に表示されるようにページやサイト全体を最適化されることをいう。

オープンリダイレクトを悪用した攻撃

Web サイトにアクセスすると自動的に他の Web サイトに遷移する機能を悪用し,攻撃者が指定した偽の Web サイトに誘導する。

(8) 情報セキュリティに関する技術

① 暗号技術

CRYPTREC 暗号リスト,暗号方式(暗号化(暗号鍵),復号(復号鍵),解読,共通鍵暗号方式(共通鍵),公開鍵暗号方式(公開鍵,秘密鍵)),RSA 暗号,楕円曲線暗号,鍵共有,Diffie-Hellman(DH)鍵共有方式,ハイブリッド暗号,ハッシュ関数(SHA-256 ほか),ブロック暗号(AES(Advanced Encryption Standard)ほか),暗号利用モード(CBC,CTR ほか),ストリーム暗号,乱数生成,鍵管理,ストレージ暗号化,ファイル暗号化,危殆化
CRYPTREC (Cryptography Research and Evaluation Committees)

CRYPTREC とは,政府機関で利用すべき暗号技術の推奨リストを作成するプロジェクト。総務省,経済産業省,情報通信研究機構(NICT),情報処理推進機構(IPA)が共同で運営している。

共通鍵暗号方式(共通鍵)

共通鍵暗号方式では,暗号化及び復号に同一の鍵を使用する。

共通鍵暗号方式では通信の組合せの数だけ異なる鍵が必要になる。n 人と暗号化通信を行う場合には,それぞれの相手と鍵を安全に共有し,n 個の鍵を厳重に管理しなくてはならない。

公開鍵暗号方式

公開鍵暗号方式で暗号化通信を行う場合は,送信者が受信者の公開鍵でデータを暗号化し,受信者は自身の秘密鍵でデータを復号する。受信者は復号鍵を秘匿にし,暗号化鍵を公開する。

n 人が相互に暗号を使って通信する場合,秘密鍵を保持する受信者は n 人なので,必要となる秘密鍵は n 個である。さらに,これらの秘密鍵に対応する公開鍵が n 個必要になるため,鍵の総数は 2n 個となる。

楕円曲線暗号

楕円曲線暗号は,楕円曲線上の離散対数問題を解くことが困難であることを利用した公開鍵暗号方式である。公開鍵暗号方式であり,TLS にも利用されている。

RSA(Rivest Shamir Adleman)暗号

けた数の大きな数の素因数分解に膨大な時間がかかることを利用した公開鍵暗号方式である。

数字の桁数がそのまま安全強度につながるため,実際の RSA では合成数の元となる 2 つの素数に 150~300 もの桁数の数を使用する。

ハイブリッド暗号

ハイブリッド暗号方式は,公開鍵暗号方式を用いて共通鍵を通信相手へ安全に配送し,以後はその共通鍵を使用して暗号化通信を行う方式です。TLS や S/MIME で採用されている。

ElGamal 暗号

非常に大きな数の離散対数問題を解くことが困難であることを利用した公開鍵暗号方式である。共通鍵を安全に共有する方法である Diffie-Hellman 法を暗号方式として応用したものである。

ハッシュ関数

ハッシュ関数は,任意の長さのデータを入力すると固定長のビット列(ハッシュ値,メッセージダイジェスト)を返す関数で,次のような性質を持っている。

  • 入力データが同じであれば,常に同じメッセージダイジェストが生成される。
  • 入力データが少しでも異なっていれば生成されるメッセージダイジェストは大きく異なったものになる。
  • メッセージダイジェストから元の入力データを再現することが困難である(原像計算困難性)。
  • 異なる入力データから同じメッセージダイジェストが生成される可能性が非常に低い。

ハッシュ値から元の入力データを導くのは容易ではないが,ハッシュアルゴリズムが分かると,次のようなリスクが考えられる。入力データが限定されていれば,ハッシュアルゴリズムよりメッセージダイジェストのリストを作成し,リストから入力データを推定することは容易になる。

AES

AES(Advanced Encryption Standard)は,アメリカ合衆国の標準暗号規格として制定された共通鍵暗号方式である。暗号化と復号に同じ鍵を使用する。

アメリカの旧国家暗号規格であった DES(Data Encryption Standard)の鍵長が 56 ビットであったのに対して最大 256 ビットの鍵長を利用することが可能で強度が高くなっている(128 ビット,192 ビット,256 ビットから選択する)。日本でも「電子政府推奨暗号リスト」に掲載されているほか,無線 LAN の暗号化規格 WPA2 の暗号化方式としても採用されている。

IDEA (International Data Encryption Algorithm)

PGP や SSH などで使用される共通鍵暗号方式。

危殆化

素因数分解問題を応用した RSA や離散対数問題を応用したエルガマル暗号など,解読に膨大な量の計算が必要になることを安全性の根拠にしている暗号アルゴリズムが多くなっている。

暗号アルゴリズムの危殆化とは,技術の進歩によってコンピュータの計算性能が高まり,解読に要する計算を現実的な時間で行うことができる可能性が生じることで暗号アルゴリズムの安全性が低下してしまう状況をいう。実際に 2010 年には,

  • 2-key Triple DES
  • 鍵長 1,024 ビットの RSA
  • 鍵長 1,024 ビットの DSA
  • 鍵長 160 ビットの ECDSA
  • ハッシュ関数 SHA-1

の 5 つが安全性低下の理由で米国政府標準暗号から廃止されている。

② 認証技術

ディジタル署名(署名鍵,検証鍵),XML ディジタル署名,タイムスタンプ(時刻認証),メッセージ認証,MAC(Message Authentication Code:メッセージ認証符号),チャレンジレスポンス認証,リスクベース認証,コードサイニング
ディジタル署名(digital signature)

電子署名とは,文書やメッセージなどのデータの真正性を証明するために付加される,短い暗号データ。作成者を証明し,改竄やすり替えが行われていないことを保証する。欧米で紙の文書に記されるサイン(signature)に似た働きをするためこのように呼ばれる。

  1. 送信者は,平文をハッシュ関数で圧縮したメッセージダイジェストを送信者の秘密鍵で暗号化し,平文と一緒に送信する。
  2. 受信者は,受信したメッセージダイジェストを送信者の公開鍵で復号し,受信した平文をハッシュ関数で圧縮したものと比較する。
  3. 送信者から送られてきたメッセージダイジェストと,受信側でハッシュ化したメッセージダイジェストが同じなら,通信内容が改ざんされていないことが証明される。
XML ディジタル署名

XML 署名は,XML 文書にデジタル署名を埋め込むため仕様で RFC3075 として標準化されている。ディジタル署名と同様に完全性,認証,否認防止などのセキュリティ機能を提供する。

タイムスタンプ

タイムスタンプは,対象とする電子文書に対して,信頼できる第三者機関である時刻認証局(TSA:Time Stamp Authority)が発行する時刻情報を含んだ電子データである。タイムスタンプは,付与時点での存在性,およびその時刻以後の完全性を証明することを目的としている。

デジタル署名と同じように時刻認証局(TSA:Time-Stamping Authority)と呼ばれる信頼できる第三者を利用する。文書の作成者は文書データのハッシュ値(特徴を示す短いデータ)を認証局に送り,認証局は受理した日付・時刻と文書のハッシュ値から,別のハッシュ値を生成する。

時間が経過した後で文書を検証したい人は,手元の文書と作成者の主張する日時からハッシュ値を算出し,発行時のハッシュ値に一致すれば,確かに文書がタイムスタンプ発行時に存在し,現在まで改ざんされていないことを確認できる。

[手順]
  1. 送信者 A はファイルのハッシュ値を計算して,信頼できる第三者機関に送信する。
  2. 第三者機関は,信頼できる日時を保持しており,受信したハッシュ値とその受信日時を結合し(結合データ),そのディジタル署名を生成し,ディジタル署名と結合データの組(ディジタル署名済みの結合データ)を送信者 A に返信する。
  3. 送信者 A はファイルと第三者機関から送られてきたディジタル署名済みの結合データを受信者 B に送信する。
  4. 受信者 B は第三者機関のディジタル署名を確認し,ファイルから計算したハッシュ値と,ディジタル署名済みの結合データから取り出されたハッシュ値を照合する。そして,結合データから取り出された日時を確認する。
MAC(Message Authentication Code:メッセージ認証符号)

MAC(Message Authentication Code)は,通信内容の改ざんの有無を検証し,完全性を保証するために通信データから生成される固定のビット列である。

チャレンジレスポンス認証

チャレンジレスポンス方式は,通信経路上に固定パスワードを流さないようにすることで,盗聴によるパスワードの漏えいやリプレイアタックを防止する認証方式である。

チャレンジレスポンス方式では,以下の手順で認証を行う。

  1. サーバは,クライアントから要求があるたびに異なる乱数値(チャレンジ)を生成して保持するとともに,クライアントへ送る。
  2. クライアントは,利用者が入力したパスワードと 1. でサーバから送られた "チャレンジ" から所定の方法でレスポンスを計算する。
  3. クライアントは,2. で生成した "レスポンス" と利用者が入力した利用者 ID をサーバに送る。
  4. サーバは,クライアントから受け取った利用者 ID で利用者情報を検索して,取り出したパスワードと 1. で保持していた "チャレンジ" を用いてクライアントと同じ手順でレスポンスを生成する(レスポンス照合データ)。
  5. サーバは,"レスポンス照合データ" とクライアントから受け取った "レスポンス" を比較し,両者が一致すれば認証成功とする。

チャレンジレスポンス認証方式は,利用者が入力したパスワードと,サーバから受け取ったランダムなデータとをクライアントで演算し,その結果をサーバに送信する,という特徴を有する。

リスクベース認証

普段と異なる利用条件でのアクセスと判断した場合には,追加の本人認証をすることによって,不正アクセスに対する安全性を高める。不正ログインの可能性のあるアクセスに対してだけ追加の本人認証を行うため,一定の利便性を保ちつつ,異なる環境からの不正アクセスに対してセキュリティを高めることができる。

③ 利用者認証

ログイン(利用者ID とパスワード),アクセス管理,IC カード,PIN コード,Kerberos 方式,ワンタイムパスワード,多要素認証(記憶,所有,生体),多段階認証,アイデンティティ連携(OpenID,SAML),セキュリティトークン,シングルサインオン,CAPTCHA
IC カード

IC カードは,通常の磁気カードと異なり,情報の記憶や演算をするために IC(Integrated Circuit : 集積回路)を組み込んだカードである。接触型と非接触型の 2 種類がある。

IC カード内部の情報を読み出そうとすると壊れるなどして情報を守る。このような物理的あるいは論理的に IC カード内部の情報を読み取られることに対する耐性のことを耐ダンパ性という。

PIN コード

PIN(Personal Identification Number : 暗証番号)コードとは,情報システムが利用者の本人確認のために用いる秘密の番号のことである。パスワードと同じ役割をするものであるが,クレジットカードの暗証番号など,数字のみの場合によく使われる用語である。IC カードと合わせて用いることで,IC カードが悪用されることを防ぐ。

ワンタイムパスワード

ユーザ名とパスワードは,一度盗聴されると何度でも不正利用される可能性がある。それを避けるために,ネットワーク上を流れるパスワードを毎回変える手法が,ワンタイムパスワードである。

多要素認証(記憶,所有,生体)

本人認証は,記憶ベースの認証(ナレッジベース認証とも呼ばれる),所有物認証,生体認証に大別される。

所有物認証は,正当な利用者が認証情報を持っていることをもとに認証を行う方式である。所有物認証の代表的な方式に,IC カードや PC に利用者のディジタル証明書を組込み,PKI によってその正当性を確認することで利用者認証を行う仕組みがある。

セキュリティトークン

認証の助けとなるような物理的なデバイスのことをセキュリティトークン,または単にトークンという。トークンの表示部に,認証サーバと時刻同期したワンタイムパスワードを表示するものが一般的である。

シングルサインオン

シングルサインオン(Single Sign-On : SSO)とは,一度の認証で複数のサーバやアプリケーションを利用できる仕組みである。シングルサインオンの手法には,次のようなものがある。

エージェント型(チケット型)
SSO を実現するサーバそれぞれに,エージェントと呼ばれるソフトをインストールする。ユーザは,まず認証サーバで認証を受け,許可されるとその証明にチケットを受け取る。各サーバのエージェントは,チケットを確認することで認証済みであることを判断する。チケットには,HTTP でのクッキー(Cookie)が一般に用いられる。
リバースプロキシ型
ユーザからの要求をいったんリバースプロキシサーバがすべて受けて,中継を行う仕組みである。認証もリバースプロキシサーバで一元的に行い,アクセス制御を実施する。
認証連携(フェデレーション : Federation)型
ID やパスワードを発行する事業者(IdP : Identity Provider)と,ID を受け入れる事業者(RP : Relying Party)の二つに役割を分担する手法である。

リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。

CAPTCHA

CAPTCHA(キャプチャ)は,チャレンジレスポンス型テストの一種で,認証の際に異なる歪んだ文字や数字を表示し,書かれている文字を入力させる仕組みである。

人間は多少の歪んだ文字列であれば認識できますが,プログラム処理でこれを読み取ることは非常に困難である※。これを利用して,自動プログラムで無差別に投稿するスパム行為や,サーバに負荷が掛かる短時間での連続リクエストの送信を抑制する目的で設置される。


  1. ※ 現在では AI 技術の進展により単純な歪み程度は判別されてしまうため,より複雑化したものでなければスパム防止の効果は望めない。

④ 生体認証技術

身体的特徴(静脈パターン認証,虹彩認証,顔認証,網膜認証ほか),行動的特徴(声紋認証,署名認証ほか),本人拒否率,他人受入率

生体認証(バイオメトリクス認証)は,指や手のひらなどの体の一部や動作の癖などを利用して本人確認を行う認証手法である。忘れたり,紛失したりすることがないため利便性が非常に高いので,様々な場面で利用される。

虹彩認証

虹彩は,満 2 歳以降は経年変化しないので,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。虹彩認証の精度は,メガネやコンタクトレンジをしてもほとんど低下しない。

他人受入率を顔認証と比べて低くすることが可能である。

虹彩
眼球の黒目部分,瞳孔の外側にある円状の部分のことで,その部分のしわのパターンが個人ごとに異なることを認証に利用する。
指紋認証

指紋認証には,次の 2 種類の方式がある。

マニューシャ方式
皮膚が線状に隆起した隆線の分岐や終端部分の位置・種類・方向などの指紋特徴点(マニューシャ)を登録する。指紋特徴点だけでは元の指紋全体を再現できない。
パターンマッチング
指紋全体をスキャンしてデータ化し,パターンマッチングする。
本人拒否率(FRR : Faluse Rejection Rate)

誤って本人を拒否する確率。

他人受入率(FAR : Faluse Acceptance Rate)

誤って他人を本人と認識する確率。他人受入率の低い製品を選ぶと,本人拒否率は高くなる傾向にあるので,両者のバランスを考慮する必要がある。

⑤ 公開鍵基盤

PKI(Public Key Infrastructure:公開鍵基盤),ディジタル証明書(公開鍵証明書),ルート証明書,サーバ証明書,クライアント証明書,コードサイニング証明書,CRL(Certificate Revocation List:証明書失効リスト),OCSP,CA(Certification Authority : 認証局), GPKI(Government Public Key Infrastructure:政府認証基盤),BCA(Bridge Certification Authority:ブリッジ認証局)
PKI(Public Key Infrastructure:公開鍵基盤)

PKI は,公開鍵暗号方式で鍵の所有者を保証する一連の仕組みである。公開鍵暗号方式を用いた認証では,PKI の導入が必要となる。

ディジタル証明書(公開鍵証明書)

ディジタル証明書(サーバ証明書)は,個人や企業が使用する公開鍵に対する電子式の証明書で,認証局(CA)と呼ばれる第三者機関によって発行されたものである。ディジタル証明書には,認証を受けた公開鍵が含まれていて,信頼性を保証するための認証局のディジタル署名が付されている。

ディジタル証明書を提示された利用者は,暗号化通信の開始に際し「認証局の公開鍵」を使用してディジタル証明書に付された「認証局のディジタル署名」を検証する。ディジタル署名の検証に成功したならば,同封されている公開鍵が正当であり,かつ,改ざんされていないことが保証される。

CRL(Certificate Revocation List : 証明書失効リスト)

CRL には,有効期限内のディジタル証明書のうち失効したディジタル証明書のシリアル番号と失効した日時の対応が提示される。

OCSP(Online Certificate Status Protocol)

鍵の漏えい,失効申請の状況をリアルタイムに反映するプロトコルである。(ディジタル証明書が失効しているかどうかをオンラインで確認するためのプロトコルである。)

OCSP クライアントと OCSP レスポンダとの通信では,ディジタル証明書のシリアル番号,証明書発行者の識別名(DN)のハッシュ値などを OCSP レスポンダに送信し,その応答でディジタル証明書の有効性を確認する。

CA(Certification Authority : 認証局)

クライアント証明書が正しいことを保証する第三者機関。CA は PKI の構成要素の一つである。

GPKI

政府が主導する PKI は一般のものと区別し,政府認証基盤(GPKI : Government Public Key Infrastructure)と呼ばれている。GPKI では,行政機関に対する住民や企業からの申請・届出等をインターネットを利用して実現することを目的としている。国税の電子申告・納税システムである e-Tax などで利用されている。

情報セキュリティ管理

  • 情報セキュリティ管理の考え方を修得し,応用する。
  • リスク分析と評価などの方法,手順を修得し,応用する。
  • 情報セキュリティ継続の考え方を修得し,応用する。
  • 情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程)の目的,考え方を修得し,応用する。
  • 情報セキュリティマネジメントシステム(ISMS)や情報セキュリティに関係するその他の基準の考え方,情報セキュリティ組織・機関の役割を修得し,応用する。

(1) 情報セキュリティ管理

情報セキュリティポリシに基づく情報の管理,情報,情報資産,物理的資産,ソフトウェア資産,人的資産(人,保有する資格・技能・経験),無形資産,サービス,リスクマネジメント(JIS Q 31000),監視,情報セキュリティ事象,情報セキュリティインシデント
情報セキュリティポリシに基づく情報の管理

情報セキュリティ対策では,何をどのように守るのかを明確にしておく必要がある。そのため,起業や組織として統一された情報セキュリティポリシを策定して明文化し,それに基づく管理を行う。情報セキュリティポリシは,情報の機密性や完全性,可用性を維持していくための組織の方針や行動指針をまとめたものである。策定する上では,まず,どのような情報(情報資産 : Information asset)を守るべきなのかを明らかにする必要がある。

情報資産を洗い出す際の切り口には,次のようなものがある。

表 情報資産を洗い出す際の切り口
情報資産
物理的資産 通信装置,コンピュータ,ハードディスクなどの記憶媒体など
ソフトウェア資産 システムのソフトウェア,開発ツールなど
人的資産 人,保有する資格・技能・経験など
無形資産 組織のイメージ,評判など
サービス資産 一般ユーティリティ(電源,空調,照明),通信サービス,計算処理サービスなど
直接的情報資産 データベース,ファイル,文書記録など
リスクマネジメント(JIS Q 31000)

JIS Q 31000:2010 は,リスクマネジメントに関する原則及び一般的な指針を示す JIS 規格である。この中で残留リスクは次のように定義されている。

リスク対応後に残るリスク


  1. 注記1 残留リスクには,特定されていないリスクが含まれることがある。
  2. 注記2 残留リスクは,"保有リスク"としても知られている。
情報セキュリティインシデント

情報セキュリティインシデントとは,情報セキュリティを脅かす事件や事故のことである。単にインシデントと呼ぶこともある。情報セキュリティ管理では,情報セキュリティインシデントが発生した場合の報告・管理体制が明確で,インシデント対応が文書化されており,関係者全員に周知・徹底されていることが重要である。

(2) リスク分析と評価

① 情報資産の調査

リスクマネジメントの最初の段階では,まず,ISMS の適用範囲で用いられる情報資産について調査を行う。事業部門ごとに,インタビューや調査票による調査,現地での調査などを行い,漏れのないようにリスクを洗い出す。

また,過去のセキュリティ事件,事故,それによる損害額や対策費用なども考慮して,脅威と脆弱性を認識する。

② 情報資産の重要性による分類

機密性,完全性,可用性,情報資産台帳

JIS Q 27000 : 2019 では,情報セキュリティを「情報の機密性,完全性及び可用性を維持すること」と定義している。この定義に集約されているように,情報セキュリティマネジメントにおいては,主に「機密性」「完全性」および「可用性」の 3 つの特性を維持・管理することが肝要である。

機密性 (Confidentiality)
許可された正規のユーザだけが情報にアクセスできる特性を示す。
完全性 (Integrity)
情報が完全で,改ざん・破壊されていない特性を示す。
可用性 (Availability)
システムが正常に稼働し続けることの度合い。ユーザが必要な時にシステムが利用可能である特性を示す。
情報資産台帳

情報資産とその機密性や重要性,分類されたグループなどをまとめたものを情報資産台帳(情報資産目録)という。情報資産台帳は,情報資産を漏れなく記載するだけでなく,変化に応じて適切に更新していくことも大切である。

③ リスクの種類

財産損失,責任損失,純収益の喪失,人的損失,リスクの種類(オペレーショナルリスク,サプライチェーンリスク,外部サービス利用のリスク,SNS による情報発信のリスクほか),ペリル,ハザード,モラルハザード,年間予想損失額,得点法,コスト要因

組織を脅かすリスクには様々な種類がある。次表のようなものが,代表的なリスクの種類である。

表 リスクの種類
種類 説明
財産損失 火災リスク,地震リスク,盗難リスクなど会社の財産を失うリスク
責任損失 製造物責任や知的財産権侵害などで賠償責任を負うリスク
純収益の喪失 信用やブランドを失った結果,収入が減少するリスク
人的リスク 労働災害や新型インフルエンザなど,従業員に影響を与えるリスク
オペレーショナルリスク 通常の業務活動と関連するリスクの総称
サプライチェーンリスク 委託先も含めたサプライチェーン全体のどこかで生じた事故・問題で影響を受けるリスク
モラルハザード 保険に加入していることにより,リスクを伴う行動が生じること
リスク定量化

リスクは,その重要性を判断するため,金額などで定量化する必要がある。リスク定量化の手法としては,年間予想損失額の算出,得点法を用いた算出などがある。

④ 情報セキュリティリスクアセスメント

リスク基準(リスク受容基準,情報セキュリティリスクアセスメントを実施するための基準),リスクレベル,リスクマトリックス,リスク所有者,リスク源,リスクアセスメントのプロセス(リスク特定,リスク分析,リスク評価),リスク忌避,リスク選好,リスクの定性的分析,リスクの定量的分析
リスク基準

情報セキュリティリスクアセスメントを実施するための基準をリスク基準という。リスクの重大性を評価するための目安とする条件で,リスクアセスメントの実施者によって評価結果に大きなブレが出ないように,あらかじめ設定しておく判断指標である。

リスク受容基準

リスクに対して対策を実施するかどうかを判断する基準

リスクレベル

リスクレベルとは,リスクの優先度のことである。

リスクマトリックス

リスクには,リスクの重大度(重篤度)と発生の可能性という二つの度合いがあり,これらの組合せでリスクレベルを見積もる。リスクレベルは,次表のようなリスクマトリックスで決定する。

表 リスクマトリックスによるリスクレベルの例
重大度
重大 中程度 軽度
可能性 高い
可能性がある
ほとんどない
リスク所有者

リスクを洗い出し,リスクとして特定したら,リスク所有者を決定する必要がある。リスク所有者とは,リスクの運用管理に権限を持つ人のことである。実質的には,情報資産を保有する組織の役員やスタッフが該当すると考えられる。

リスク源

リスク源(リスクソース)とは,リスクを生じさせる力をもっている要素のことである。リスク源を除去することは,有効なリスク対策となる。

リスクアセスメントのプロセス

リスクアセスメントとは,リスク特定,リスク分析,リスク評価を行うプロセス全体のことである。

表 リスクアセスメントのプロセス
No. プロセス 説明
1 リスク特定 リスクを発見して認識し,それを記述する。
2 リスク分析 特定したそれぞれのリスクに対し,情報資産に対する脅威と脆弱性を考える。
リスクの発生確率を求め,実際にリスクが起こったときの影響の大きさを考える。影響の大きさには,単純に,大・中・小などの比較で表すことが多いが,被害額や復旧にかかる金額で算出することもある。
3 リスク評価 分析したリスクに対し,どのように対策を行うかを判断するのがリスク評価である。リスクが受容可能かどうかを決定するために,リスク分析の結果をリスク基準と比較するプロセスとなる。
リスク分析の結果を基に,あらかじめ定められた評価基準などを用いてリスクを評価し,対策の優先度をつけていく。
リスクの定性的分析

リスクの大きさを金額以外で分析する手法

リスクの定量的分析

リスクの大きさを金額で分析する手法

⑤ 情報セキュリティリスク対応

リスクコントロール,リスクヘッジ,リスクファイナンシング,サイバー保険,リスク回避,リスク共有(リスク移転,リスク分散),リスク保有,リスク集約,残留リスク,リスク対応計画,リスク登録簿,リスクコミュニケーション
リスクコントロール

技術的な対策など,何らかの行動によって対応すること

リスクヘッジ

リスクが起こったときにその被害を回避する,または軽減するように工夫すること

リスクファイナンシング

資金面で対応すること

リスク回避

リスクを生じさせる活動を,開始または継続しないと決定することによって,リスクを回避する。リスク回避の例として,取得済みの個人情報を消去し,新たな取得を禁止する。

リスク共有(リスク転移,リスク分散)

一つ以上の他者とリスクを共有する。保険をかけるなどで,リスク発生時の費用負担を外部に転嫁させるなどの方法がある。

リスク保有(リスク受容)

情報に基づいた意思決定によって,リスクを保有することを受け入れる。具体的な対策をしない対応である。

残留リスク

リスク対応後に残るリスクを残留リスクという。あるリスクに対してリスク対応した結果,残るリスクの大きさのことを指す。残留リスクを明確にし,そのリスクが許容範囲かどうかをリスク所有者が再度判断する必要がある。

リスク対応計画

リスク対応計画は,それぞれのリスクに対して,脅威を減少させるためのリスク対応の方法をいくつか策定するプロセスである。リスク対応計画を作成するときには,特定したリスクをまとめたリスク登録簿を用意する。そして,それぞれのリスクに対する戦略を考え,リスク登録簿を更新する。

リスクコミュニケーション

リスクコミュニケーションとは,リスクに関する正確な情報を企業の利害関係者(ステークホルダ)間で共有し,相互に意思疎通を図ることである。特に災害など,重大で意識の共有が必要なリスクについて行われる。

(3) 情報セキュリティ継続

緊急事態の区分,緊急時対応計画(コンティンジェンシ計画),復旧計画,災害復旧,バックアップによる対策,被害状況の調査手法
緊急事態の区分

緊急時に適切に対応するためには,緊急の度合いに応じて緊急事態の区分を明らかにしておく必要がある。

例えば,緊急時の脅威によって,次表のように区分しておくことで,実際に脅威が生じたときの対応を迅速化できる。

表 緊急事態の区分
レベル 説明
レベル 3 影響を及ぼすおそれの高い事象
レベル 2 影響を及ぼすおそれの低い事象
レベル 1 影響を及ぼすおそれのない事象
緊急時対応計画(コンティンジェンシ計画)

緊急時対応計画(Contingency Plan : コンティンジェンシ計画)とは,サービスの中断や災害発生時に,システムを迅速かつ効率的に復旧させる計画である。

初期の対応計画では,初動で何を行うかなどを中心に計画する。完全な復旧を目指さず,暫定的な対応をすることもある。また,被害状況の調査手法なども定めておき,迅速に情報を集めて対応することが求められる。

復旧計画

復旧時対応の後に事業を完全に復旧させるための計画である。暫定的ではなく,恒久的な復旧を目指す。特に,地震などの災害から復旧の場合には,すぐに完全復旧を行うのは難しいので,暫定的な対応を行った後に,順次,通常の状態へと復旧させていく。

(4) 情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程)

情報セキュリティ方針,情報セキュリティ目的,情報セキュリティ対策基準,情報管理規程,秘密情報管理規程,文書管理規程,情報セキュリティインシデント対応規程(マルウェア感染時の対応ほか),情報セキュリティ教育の規程,プライバシーポリシ(個人情報保護方針),職務規程,罰則の規程,対外説明の規程,例外の規程,規則更新の規程,規程の承認手続,ソーシャルメディアガイドライン(SNS 利用ポリシ)
情報セキュリティ方針(情報セキュリティポリシー)

情報セキュリティポリシー(information security policy)とは,企業などの組織が取り扱う情報やコンピュータシステムを安全に保つための基本方針や対策基準などを定めたもの。情報セキュリティのための経営陣の方向性及び支持を規定する。広義には,具体的な規約や実施手順,管理規定などを含む場合がある。

(5) 情報セキュリティマネジメントシステム(ISMS)

ISMS 適用範囲,リーダシップ,計画,運用,パフォーマンス評価(内部監査,マネジメントレビューほか),改善(不適合及び是正処置,継続的改善),管理目的,管理策(情報セキュリティインシデント管理,情報セキュリティの教育及び訓練,法的及び契約上の要求事項の順守ほか),有効性,ISMS 適合性評価制度,ISMS 認証,JIS Q 27001(ISO/IEC 27001),JIS Q 27002(ISO/IEC 27002),情報セキュリティガバナンス(JIS Q 27014(ISO/IEC 27014))
JIS Q 27001(ISO/IEC 27001)

JIS Q 27001:2014 では,「組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について,供給者と合意し,文書化しなければならない。」としている。

(6) 情報セキュリティ管理におけるインシデント管理

インシデントハンドリング(検知/連絡受付,トリアージ,インシデントレスポンス(対応),報告/情報公開)

インシデント発見者がインシデントの内容を報告する窓口を設置する。

(7) 情報セキュリティ組織・機関

情報セキュリティ委員会,情報セキュリティ関連組織(CSIRT,SOC(Security Operation Center)),サイバーセキュリティ戦略本部,内閣サイバーセキュリティセンター(NISC),IPA セキュリティセンター,CRYPTREC,JPCERT コーディネーションセンター,コンピュータ不正アクセス届出制度,コンピュータウイルス届出制度,ソフトウェア等の脆弱性関連情報に関する届出制度,情報セキュリティ早期警戒パートナーシップ,J-CSIP(サイバー情報共有イニシアティブ),サイバーレスキュー隊(J-CRAT),JVN(Japan Vulnerability Notes),ホワイトハッカー
CSIRT

最近では,セキュリティ事故対応のための体制として CSIRT を設置する企業や組織が徐々に増えている。CSIRT とは "Computer Security Incident Response Team" の略語で,「シーサート」と読む。単語の並びからも分かる通り,「コンピュータに関するセキュリティ事故の対応チーム」と訳すことができる。

内閣サイバーセキュリティセンター(NISC)

内閣官房に設置され,情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ政策の推進に係る企画などを行う機関である。

サイバーセキュリティ基本法では,内閣への「サイバーセキュリティ戦略本部」の設置と行うべき事務を規定しており,その事務については内閣官房で処理することと定めている。この事務を行うために内閣官房に置かれている組織が NISC である。

CRYPTREC

電子政府推奨暗号の安全性を評価・監視し,暗号技術の適切な実装法・運用法を調査・検討するプロジェクトであり,総務省及び経済産業省が共同で運営する暗号技術検討会などで構成される。

JPCERT コーディネーションセンター(JPCERT/CC)

特定の政府機関や企業から独立した組織であり,国内のコンピュータセキュリティインシデントに関する報告の受付,対応の支援,発生状況の把握,手口の分析,再発防止策の検討や助言を行っている。

演習問題

ソフトウェア製品の脆弱性を第三者が発見し,その脆弱性を JPCERT コーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち,"情報セキュリティ早期警戒パートナーシップガイドライン(2019年5月)" に照らして適切なものは。

  1. ISMS 認証を取得している場合,ISMS 認証の停止の手続を JPCERT コーディネーションセンターに依頼する。
  2. 脆弱性関連の情報を集計し,統計情報として IPA の Web サイトで公表する。
  3. 脆弱性情報の公表に関するスケジュールを JPCERT コーディネーションセンターと調整し,決定する。
  4. 脆弱性の対応状況を JVN に書き込み,公表する。
(出典)令和3年 秋期 応用情報技術者試験 午前 問38

正解は,3. である。

J-CSIP(サイバー情報共有イニシアティブ)

重要インフラに関わる業界などを中心とした参加組織と秘密保持契約を締結し,その契約の下に提供された標的型サイバー攻撃の情報を分析及び加工することによって,参加組織間で情報共有する。

サイバーレスキュー隊(J-CRAT)

サイバーレスキュー隊(J-CRAT)は,「標的型サイバー攻撃特別相談窓口」にて受け付けた相談や情報に対して調査分析を実施し,JPCERT/CC やセキュリティベンダ等と連携して助言や支援および情報共有を行うことで被害の低減と攻撃の拡大防止を図る IPA の取り組みである。標的型サイバー攻撃の被害低減と拡大防止を活動目的としています。

ISOG-J(日本セキュリティオペレーション事業者協議会)

セキュリティオペレーション技術向上,オペレータ人材育成,及びサイバーセキュリティに関係する組織・団体間の連携を推進することによって,セキュリティオペレーションサービスの普及とサービスレベルの向上を促す。

セキュリティ技術評価

  • セキュリティ技術評価の目的,考え方,適用方法を修得し,応用する。

(1) セキュリティ評価基準

評価方法,セキュリティ機能要件,セキュリティ保証要件,保証レベル,JCMVP(暗号モジュール試験及び認証制度),PCI DSS,CVSS(Common Vulnerability Scoring System : 共通脆弱性評価システム),CWE(Common Weakness Enumeration:共通脆弱性タイプ),脆弱性診断,ペネトレーションテスト,耐タンパ性,IT 製品の調達におけるセキュリティ要件リスト
CVSS(Common Vulnerability Scoring System : 共通脆弱性評価システム)

共通脆弱性評価システム(CVSS)の特徴は,脆弱性の深刻度に対するオープンで汎用的な評価方法であり,特定ベンダに依存しない評価方法を提供する。

基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を 0.0 から 10.0 の数値で表す。

基本評価基準(Base Metrics)
脆弱性自体の深刻度を評価する指標。機密性,可用性,完全性への影響の大きさや,攻撃に必要な条件などの項目から算出され,時間の経過や利用者の環境で変化しない。
現状評価基準(Temporal Metrics)
脆弱性の現在の深刻度を評価する基準。攻撃を受ける可能性,利用可能な対応策のレベルなどの項目から算出され,時間の経過により変化する。
環境評価基準(Environmental Metrics)
製品利用者の利用環境も含め,最終的な脆弱性の深刻度を評価する基準。二次被害の可能性や影響を受ける範囲などの項目から算出され,製品利用者ごとに変化する。
ペネトレーションテスト(Penetration Test)

ネットワークに接続されているシステムに対して,実際に様々な方法で侵入や攻撃を試みることで脆弱性の有無を検査するテストで,侵入テストとも呼ばれる。

システムの稼働開始時点では脆弱性がなくとも,システムの変更や更新の際の作業抜けや設定ミスによりセキュリティホールが内在している可能性があるため,定期的にテストを実施する必要がある。

耐タンパ性

耐タンパ性とは,ハードウェアやソフトウェアのセキュリティレベルを表す指標で,外部から行われる内部データへの改ざん・解読・取出しなどの行為に対する耐性度合いを示す。タンパ(tamper)は "改ざんする" という意味である。

IC カードの耐タンパ性を高める対策

信号の読み出し用プローブの取付けを検出するとICチップ内の保存情報を消去する回路を設けて,ICチップ内の情報を容易には解析できないようにする。

IoT デバイスの耐ダンパ性の実装技術

IoT デバイスに光を検知する回路を組み込むことによって,ケースが開けられたときに内蔵メモリに記録されている秘密情報を消去できる。

(2) ISO/IEC 15408

CC(Common Criteria:コモンクライテリア),ST(Security Target:セキュリティターゲット), CEM(Common Methodology for Information Technology Security Evaluation:共通評価方法),EAL(Evaluation Assurance Level:評価保証レベル),JISEC(IT セキュリティ評価及び認証制度)
CC(Common Criteria:コモンクライテリア)

CC(Common Criteria:コモンクライテリア)は,製品やシステムに対して,情報セキュリティを評価し認証するための評価基準である。

ST(Security Target:セキュリティターゲット)
CEM(Common Methodology for Information Technology Security Evaluation:共通評価方法)
EAL(Evaluation Assurance Level:評価保証レベル)
JISEC(IT セキュリティ評価及び認証制度)

情報セキュリティ対策

  • 人的,技術的,物理的セキュリティの側面から情報セキュリティ対策を修得し,応用する。

(1) 情報セキュリティ対策の種類

① 人的セキュリティ対策

組織における内部不正防止ガイドライン,情報セキュリティ啓発(教育,資料配付,メディア活用),情報セキュリティ訓練(標的型メールに関する訓練,レッドチーム演習ほか),パスワード管理,利用者アクセスの管理(アカウント管理,特権的アクセス権の管理,need-to-know(最小権限)ほか),ログ管理,監視
情報セキュリティ啓発(教育,資料配付,メディア活用)

社員向けの情報セキュリティ教育及び啓発活動を行う体制を構築する。

情報セキュリティ訓練(標的型メールに関する訓練,レッドチーム演習ほか)

レッドチーム演習(red team operations)とは,企業などがサイバー攻撃に対処するための演習形式の一つで,実際に専門家集団が攻撃者として様々な攻撃手法を模擬的に実践する手法。

② 技術的セキュリティ対策

技術的セキュリティ対策の種類
クラッキング対策,不正アクセス対策,情報漏えい対策,マルウェア・不正プログラム対策(マルウェア対策ソフトの導入,マルウェア定義ファイルの更新ほか),マルウェア検出手法(ビヘイビア法,未知マルウェア検出手法ほか),出口対策,入口対策,多層防御,暗号処理,秘匿化,アクセス制御,脆弱性管理(OS アップデート,脆弱性修正プログラム(セキュリティパッチ)の適用ほか),ネットワーク監視,ネットワークアクセス権の設定,侵入検知,侵入防止,DMZ (非武装地帯),検疫ネットワーク,電子メール・Web のセキュリティ(スパム対策,URL フィルタリング,コンテンツフィルタリング),携帯端末(携帯電話,スマートフォン,タブレット端末ほか)のセキュリティ,無線LAN セキュリティ,ハードウェアのセキュリティ(セキュアエレメント,TPM(Trusted Platform Module:セキュリティチップ)),セキュアブート,クラウドコンピューティングのセキュリティ,クラウドサービスのセキュリティ,IoT のセキュリティ,制御システムのセキュリティ,電子透かし,ディジタルフォレンジックス(証拠保全ほか),脅威情報(Threat Intelligence)の利用,機械学習を使ったセキュリティ技術
セキュリティ製品・サービス
マルウェア対策ソフト,EDR(Endpoint Detection and Response),DLP(Data Loss Prevention),SIEM(Security Information and Event Management),ファイアウォール,WAF(Web Application Firewall),RASP(Runtime Application Self-Protection),IDS(Intrusion Detection System:侵入検知システム),IPS(Intrusion Prevention System:侵入防止システム),UTM(Unified Threat Management:統合脅威管理),ホワイトリスト,ブラックリスト,フォールスネガティブ,フォールスポジティブ,SSL/TLS アクセラレータ,MDM(Mobile Device Management),CASB(Cloud Access Security Broker),IdP(Identity Provider)
テンペスト攻撃対策

テンペスト攻撃とは,ディスプレイなどから放射される電磁波を傍受し,表示内容を解析する攻撃であり,その対策として,電磁波を遮断する。

マルウェア対策ソフト

マルウェア対策ソフトにおける誤検知の性質を表す言葉を以下に示す。

フォールスネガティブ(False Negative)
本来は検知すべき悪意のある活動を,誤って害のないものとして分類すること。いわゆる検知漏れ。多くなるほどコンピュータに影響を与え得る攻撃を通過させてしまう可能性が高くなる。
フォールスポジティブ(False Positive)
本来は通過させるべき害のない活動を,誤って悪意のあるものとして分類すること。いわゆる過剰検知。多くなるほど正常な操作の阻害回数や管理者の負担が増える。
ビヘイビア法

検査対象をメモリ上の仮想環境下で実行して,その挙動を監視する。

URL フィルタリング

ブラックリストは,通信をすべて許可する初期状態に,拒否する通信ルールを記述したリストである。

一方,ホワイトリストは,通信をすべて拒否する初期状態に,許可する通信ルールを記述したリストである。

ファイアウォール(FW)

パケットフィルタリング型ファイアウォールでは,通信パケットの通過を許可するかどうかを判断するとき,送信元と宛先の IP アドレスとポート番号を用いる。パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて,外部に公開していないサーバへのアクセスを防げる。

FW のログには送信元の IP アドレス及びポート番号,宛先の IP アドレス及びポート番号等が記録されている。

WAF(Web Application Firewall)

通過するパケットの IP アドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで,Web アプリケーションに対する攻撃を検知し,遮断することが可能なファイアウォールである。チェックされる内容には「URL パラメタ」や「クッキーの内容」などの HTTP ヘッダ情報や,「POST データの内容」などのメッセージボディ部などがある。

例えば,「あらかじめ定められた一連の手続きの HTTP 通信」のパターンを WAF のホワイトリストに記述することで,「Web アプリケーションプログラムの脆弱性を悪用した攻撃を防ぐために,インターネットから,Web サーバにアクセスする通信は,あらかじめ定められた一連の手続の HTTP 通信を許可すること」の要件を満たすことができる。

本来,Web システムへの攻撃は Web アプリケーション側で対処すべき問題ですが,脆弱性のない Web アプリケーションを作成するためには専門的な知識や技術が必要であるため,全ての Web アプリケーションのセキュリティ対策を万全にすることは難しいのが現実である。WAF はこのようなセキュリティ対策の不十分さを補完し,Web アプリケーションの堅牢性を高める役割をもつ。

IDS(Intrusion Detection System, 侵入検知システム)

IDS は,ネットワークやホストをリアルタイムで監視し,異常を検知した場合に管理者に通知するなどの処置を行うシステムである。異常を検出し,通知することを主目的としたシステムのため,通信の遮断などの防御機能は持たないことがほとんどである。

IDS には,ネットワークに接続されているネットワーク全般を監視する NIDS(ネットワーク型 IDS)と,ホストにインストールされ,特定のホストを監視する HIDS(ホスト型 IDS)がある。

IPS(Intrusin Prevention System, 侵入防止システム)

IPS は,ネットワークの異常を検知し管理者に通知する NIDS(Network IDS)を発展させた形態で,従来の NIDS が備えている機能に加えて,不正アクセスの遮断などの防止機能が使用可能なシステムである。

VDI (Virtual Desktop Infrastructure)

VDI は,サーバ内にクライアントごとの仮想マシンを用意して仮想デスクトップ環境を構築する技術です。利用者はネットワークを通じて VDI サーバ上の仮想デスクトップ環境に接続し,クライアント PC には VDI サーバからの操作結果画面のみが転送される仕組みになっている。

この仕組みにより,クライアントがインターネット上のサイトと直接的な通信を行わなくなるので,クライアント PC をインターネットから分離できる。もし利用者の操作により不正なマルウェアをダウンロードしてしまったとしても,それが保存されるのは VDI サーバ上の仮想環境ですので,クライアント PC への感染を防げる。汚染された仮想環境を削除してしまえば内部ネットワークへの影響もない。

TPM(Trusted Platform Module)

TPMは,PC のマザーボード上に直付けされるセキュリティチップで,RSA 暗号の暗号/復号や鍵ペアの生成,ハッシュ値の計算,デジタル署名の生成・検証などの機能を有する。

TPM によって提供される機能には,以下のようなものがある。

  • OS やアプリケーションの改ざん検知
  • 端末認証
  • ストレージ全体の暗号化
IoT のセキュリティ

IoT 推進コンソーシアム,総務省,経済産業省が策定した "IoT セキュリティガイドライン(Ver 1.0)" における "要点 17. 出荷・リリース後も安全安心な状態を維持する" に対策例として,IoT 機器のアップデート方法の検討,アップデートなどの機能の搭載,アップデートの実施が挙げられている。

2019年2月から総務省,情報通信研究機構(NICT)及びインターネットサービスプロバイダが連携して開始した "NOTICE" という取組では,NICT がインターネット上の IoT 機器を調査することによって,容易に推測されるパスワードなどを使っている IoT 機器を特定し,インターネットサービスプロバイダを通じて利用者に注意喚起する。

ディジタルフォレンジックス(証拠保全ほか)

ディジタルフォレンジックスは,不正アクセスや情報漏えいなどのセキュリティインシデントの発生時に,原因究明や法的証拠を明らかにするために対象となる電子的記録を収集・解析することである。

IPA が公表している「インシデント対応へのフォレンジック技法の統合に関するガイド」によれば,フォレンジックプロセスは,収集・検査・分析・報告の4つのフェーズから成る。

収集
データの潜在的なソースを識別し,それらのソースからデータを取得する
検査
収集したデータから関連する情報を評価して抽出する
分析
複数のソースのデータを相互に関連付けるなどして,結論を導き出すためにデータの調査と分析を行う
報告
分析フェーズによって得られた情報を準備して提示する

なお,フォレンジックス(forensics)には,「科学捜査」や「法医学の~」という意味があるため,ディジタルフォレンジックスを直訳すれば「電子科学捜査」となる。

SIEM(Security Information and Event Management)

ログデータを一元的に管理し,セキュリティイベントの監視者への通知及び相関分析を行うシステム。SIEM の特徴は,複数のサーバやネットワーク機器のログを収集分析し,不審なアクセスを検知する。

SSL/TLS アクセラレータ

SSL/TLS 通信におけるパケットの暗号化/復号を高速に行う専用の機器。Web サーバの処理負荷を軽減する目的で設置される。

UTM(Unified Threat Management : 統合脅威管理)

ファイアウォール,侵入検知,マルウェア対策など,複数のセキュリティ機能を統合したネットワーク監視装置

③ 物理的セキュリティ対策

RASIS(Reliability,Availability,Serviceability,Integrity,Security),RAS 技術,耐震耐火設備,UPS,多重化技術,ストレージのミラーリング,ハウジングセキュリティ,監視カメラ,セキュリティゲート,アンチパスバック,施錠管理,入退室管理,クリアデスク・クリアスクリーン,遠隔バックアップ,USB キー,セキュリティケーブル

物理的セキュリティとは,鍵をかける,データを遠隔地に運ぶなど,環境を物理的に変えることである。クリアデスクやクリーアスクリーンといった対策がある。

RASIS

システムの信頼性を総合的に評価する基準として,RASIS という概念がある。次の五つの評価項目を基に,信頼性を判断する。

表 RASIS
No. 評価項目 説明
1 信頼性
Reliability
故障や障害の発生しにくさ,安定性を表す。具体的な指標としては,MTBF やその逆数の故障率がある。
2 可用性
Availability
稼働している割合の多さ,稼働率を表す。具体的な指標としては,稼働率が用いられる。
3 保守性
Serviceability
障害時のメンテナンスのしやすさ,復旧の速さを表す。具体的な指標としては,MTTR が用いられる。
4 保全性・完全性
Integrity
障害時や過負荷時におけるデータの書換え,不整合,消失の起こりにくさを表す。一貫性を確保する能力である。
5 機密性
Security
情報漏えいや不正侵入などの起こりにくさを表す。セキュリティ事故を防止する能力である。

RASIS を意識してシステムの信頼性を上げることは,情報セキュリティの 3 要素である機密性,完全性,可用性を向上させることにつながる。

RAS 技術

RASIS のうち,信頼性,可用性,保守性を向上するための技術を RAS 技術という。高信頼性を総合的に確保するためのもので,部品を故障しにくくすることで信頼性を上げ,万が一の故障に備えて自動回復を行うことで保守性を上げ,自動回復に失敗した場合は故障場所を切り離すことで可用性を上げるなど,複数の技術を組み合わせて実現する。

耐震耐火設備

データセンタなど,災害時にもシステムを停止させないような高信頼性が求められる施設では,耐震耐火設備をしっかり設置する必要がある。建物には消火ガスによる消火設備を備え,重要機器には免震装置を取り付けるなど,災害対策を十分に施すことが大切である。

監視カメラ

設備の入口やサーバルームなどに監視カメラを設置し,映像を記録することによって,不正行為の証拠を確保することができる。また,監視カメラの設置を知らせることは,不正行為の抑止効果にもなる。

施錠管理

重要な設備や書類が置いてある部屋を施錠することによって,情報へのアクセスを難しくすることができる。錠の種類に応じて,施錠した鍵の管理も厳密に行う必要がある。錠には次のようなものがある。

表 錠の種類
No. 錠の種類 説明
1 シリンダ錠 最も一般的な,鍵を差し込む本体部分が円筒状をしている錠である。錠を用いて開閉を行うので,錠の管理が重要になる。
2 暗証番号錠 暗証番号を入力,設定することで開錠できる鍵である。ダイヤル式やプッシュボタン式の暗証番号錠がある。錠は必要ないが,暗証番号を知られると入室可能になるため,必要に応じて暗証番号の変更を行う。
3 RFID 認証式の錠(IC カード認証の錠) RFID(Radio Frequency IDentifier)技術を用いて,小さな無線チップに埋め込んだ ID 情報で認証を行う錠である。IC カード認証などで利用される。
4 生体認証の錠 生体認証(バイオメトリクス認証)を行う錠である。指紋認証錠,指静脈認証錠,虹彩認証錠など,様々なものがある。生体認証は本人拒否率を 0 % にできないことが多いため,入退室ができないときの代替策が必要となる。
入退室管理

扱う情報のレベルに応じて,情報セキュリティ区画(安全区域)など,情報を守るための区域を特定する。その区域には認可された人だけが入室できるようなルールを設定し,そのための入退室管理を行う。

入退室管理のセキュリティ手法には,次のようなものがある。

  1. アンチパスバック
  2. インターロックゲート
  3. TPMOR (Two Person Minimum Occupancy Rule)
  4. パニックオープン
クリアデスク・クリアスクリーン

盗難を防止するため,自席の机に置かれているノート PC などを帰宅時にロッカーなどに保管して施錠するクリアデスクという対策がある。また,食事などで自席を離れるときに他の人が PC にアクセスできないようにスクリーンにロックをかける対策をクリアスクリーンという。

遠隔バックアップ

地震などの災害に備えて,バックアップしたデータは遠隔地に保管しておく必要がある。バックアップテープをセキュリティ便などの安全な輸送手段で遠隔地に運び,それを保管しておくことが有効である。また,遠隔地とネットワークで接続されており,十分な通信速度が確保できる場合には,ネットワーク経由での遠隔バックアップも可能である。

USB キー

USB キーを利用して PC にロックをかけることが可能である。USB キーを接続しているときにだけ PC を利用できるようにすることで,PC を他人に操作される可能性を減らす。USB に PIN(暗証番号)を加えることも可能である。

セキュリティ実装技術

  • システムの開発,運用におけるセキュリティ対策やセキュア OS の仕組み,実装技術,効果を修得し,応用する。
  • ネットワーク,データベースに実装するセキュリティ対策の仕組み,実装技術,効果を修得し,応用する。
  • アプリケーションセキュリティの対策の仕組み,実装技術,効果を修得し,応用する。

(1) セキュアプロトコル

IPsec,SSL/TLS,SSH,HTTP over TLS(HTTPS),WPA2,WPA3,PGP(Pretty Good Privacy),S/MIME(Secure MIME)
IPsec

IPsec は IP(Internet Protocol)を拡張してセキュリティを高め,改ざんの検知,通信データの暗号化,送信元の認証などの機能を OSI 基本参照モデルのネットワーク層レベル(TCP/IP モデルではインターネット層)で提供するプロトコルである。PC からサーバに対し,IPv6 を利用した通信を行う場合,ネットワーク層で暗号化を行うのに利用する。

"認証ヘッダ(AH)" と "暗号ペイロード(ESP)" の二つのプロトコルを含む。

SSL/TLS

SSL

TLS(Transport Layer Security)では,サーバ認証の終了後,オプションでクライアント証明書によるクライアント認証を行う機能がある。クライアント認証を実施する際の,クライアントとサーバの間のメッセージのやり取りは,以下の手順となる。

  1. サーバが,クライアントにサーバ証明書を送付する。
  2. クライアントが,サーバにクライアント証明書を送付する。
  3. サーバがクライアントを認証する。

SSL 証明書には,DV,OV,EV の種類がある。

ドメイン認証(DV : Domain Validation)は,ドメイン名が正しいかどうかを認証する。

企業認証(OV : Organization Validation)は,ドメイン名に加え,会社名も証明する。

実在証明拡張型(EV : Extended Validation)は,DV,OV よりも厳格な審査を受けて発行される。発行された証明書は,ドメイン名,実在証明を行い,Web ブラウザのアドレスバーに,組織情報が表示されるようになる。

コモンネーム(CN : Common Name)は,サーバ証明書に含まれる登録情報で,証明書が有効な FQDN,または,その IP アドレスが格納される項目である。クライアント側ではアクセスした URL のドメイン名と証明書のコモンネームを比較することで証明書の正当性を検証する。

FQDN (Full Qualified Domain Name)
ドメイン名・サブドメイン名・ホスト名の全てを指定する記述形式で「完全修飾ドメイン名」とも呼ばれる。
SSH

SSH(Secure SHell)は,公開鍵暗号や認証の技術を利用して,リモートコンピュータと安全に通信するためのプロトコルである。

ネットワークを介して遠隔地のコンピュータを操作する「rlogin」や「rsh」などの UNIX 系コマンドや「TELNET」などを安全に利用するための方式である。またポートフォワーディング機能を使って FTP,POP,SMTP などの暗号化機能をもたないプロトコルを安全に利用する手段としても使用されている。

HTTP over TLS (HTTPS)

攻撃者が社内ネットワークに仕掛けたマルウェアによって HTTPS が使われると,通信内容がチェックできないので,秘密情報が社外に送信されてしまう。使用するポートは 443/TCP である。

WPA2-PSK

WPA2-PSK(WPA2 Pre-Shared Key)は,無線 LAN の暗号化方式の規格である WPA2 のうち個人宅やスモールオフィスなどの比較的小規模なネットワークで使用されることを想定したパーソナルモードである。このモードではアクセスポイントと端末間で事前に 8 文字から 63 文字から成るパスフレーズ(PSK:Pre-Shared Key)を共有しておき,そのパスフレーズと SSID によって端末の認証を行う。

WPA と WPA2 のセキュリティプロトコル,暗号アルゴリズム,暗号鍵の鍵長をまとめると次表のようになる。

表 WPA と WPA2
セキュリティプロトコル 暗号アルゴリズム 暗号化鍵の鍵長
WPA WPA-TKIP RC4 128 ビット
WPA-AES AES 128/192/256 ビット
WPA2 WPA2-TKIP RC4 128 ビット
WPA2-AES CCMP (AES) 128/192/256 ビット

WPA2 (Wi-Fi Protected Access 2) は,無線 LAN のセキュリティプロトコル「WPA」の脆弱性を改善した次期バージョンである。暗号化アルゴリズムが,WEP,WPA で使用されていた脆弱性のある「RC4」から NIST 標準の「AES」に変更され,解読攻撃に対する耐性が高められている。

S/MIME

S/MIME (Secure MIME) は,電子メールを盗聴や改ざんなどから守るために米国 RSA Data Security 社によって開発された技術で,公開鍵暗号技術を使用して「認証」「改ざん検出」「暗号化」などの機能を電子メールソフトに提供するものである。

S/MIME における共通鍵を共有するプロセスは,以下のとおり。(A と B が共通鍵を共有するプロセスを仮定)

  1. A が暗号化通信に使用する共通鍵を生成
  2. A が B の公開鍵で共通鍵を暗号化
  3. 暗号化した共通鍵を A から B へ送付。
  4. B が B の秘密鍵で共通鍵を取り出す
  5. 以後,A と B で共有した共通鍵で暗号化通信

(2) 認証プロトコル

SPF,DKIM,SMTP-AUTH,OAuth,DNSSEC,EAP(Extensible Authentication Protocol),EAP-TLS,PEAP,RADIUS,Diameter
SPF(Sender Policy Framework)

受信したメールの送信者メールアドレスのドメイン名と送信元 IP アドレスが,送信側ドメインの管理者が設定したものと一致するかどうかで送信ドメイン認証を行う技術。

送信側の管理者は,正当な送信メールサーバの IP アドレス情報等を DNS サーバに SPF レコードに登録・公開しておき,受信側は送信元メールアドレスのドメインを管理する DNS への問合せを通じてそれを検証することで,メールヘッダの送信元ドメインが正当であるかどうかを確認する。

SPF では,以下の手順で送信元 IP アドレスの検証を行う。

  1. 送信側は,送信側ドメインの DNS サーバの SPF レコード(又は TXT レコード)に正当なメールサーバの IP アドレスやホスト名を登録し,公開しておく。
  2. 送信側から受信側へ,SMTP メールが送信される。
  3. 受信側メールサーバは,受信側ドメインの DNS サーバを通じて,MAIL FROM コマンドに記載された送信者メールアドレスのドメインを管理する DNS サーバに問い合わせ,SPF 情報を取得する。
  4. SPF 情報との照合で SMTP 接続してきたメールサーバの IP アドレスの確認に成功すれば,正当なドメインから送信されたと判断する。

メールサーバ(SMTP サーバ)の不正利用を防止するために,メールサーバにおいて行う設定は,「第三者中継を禁止する」である。

SMTP-AUTH (SMTP-Authentication)

SMTP-AUTH は,メール投稿にあたってユーザ認証の仕組みがない SMTP にユーザ認証機能を追加した方式である。使用するにはメールサーバとクライアントの双方が対応している必要はあるが,メール送信するときに「ユーザ名とパスワード」「チャレンジレスポンス」などで認証を行い,認証されたユーザのみからのメール送信を許可することで不正な送信要求を遮断することができる。

DNSSEC(DNS Security Extensions)

DNSSEC(DNS Security Extensions)は,DNS における応答の正当性を保証するための拡張仕様である。DNSSEC ではドメイン応答にディジタル署名を付加することで,正当な管理者によって生成された応答レコードであること,また応答レコードが改ざんされていないことの検証が可能になる。具体的には,公開鍵暗号方式によるディジタル署名を用いることによって,正当な DNS サーバからの応答であることをクライアントが検証できる。

(3) OS のセキュリティ

MAC(Mandatory Access Control:強制アクセス制御),最小特権,トラステッド OS

(4) ネットワークセキュリティ

パケットフィルタリング,ステートフルパケットフィルタリング,MAC アドレス(Media Access Control address)フィルタリング,アプリケーションゲートウェイ方式,認証サーバ,NAT,IP マスカレード,認証VLAN,VPN,セキュリティ監視,OP25B,サンドボックス,ハニーポット,リバースプロキシ
パケットフィルタリング

パケットフィルタリングとは,通過するパケットの IP アドレス(送信元・送信先)やポート番号,通信の方向などの情報をもとに中継の可否を判断する方式である。ただしパケットのペイロード(データ部分)に関してはチェックを行わない。

MAC アドレスフィルタリング

無線 LAN ルータなどでは,あらかじめ MAC アドレスを登録しておいた機器からのみの接続を許可する MAC アドレスフィルタリングの機能を備えている。無線 LAN ルータ側では接続を要求する PC の IP アドレスから ARP (Address Resolution Protocol) を用いることで対応する MAC アドレスを取得し,それを登録済み MAC アドレスと比較することで正規の利用者以外からの接続を防止している。

IP マスカレード

IP マスカレードは,1 つのグローバル IP アドレスで複数のプライベート IP アドレスを持つノードを同時にインターネットに接続させることを可能とする機能である。

ブロードバンドルータは,LAN 内のコンピュータがインターネットに接続する際に,コンピュータのプライベート IP アドレスとポート番号をセットで記憶する。そしてインターネットからの応答パケットを受け取ると,ルータはパケットのポート番号と記憶しているポート番号のリストを比較して,適切なコンピュータに応答パケットを届ける。

このとき応答パケットのポート番号が,ルータが記憶しているどのポート番号とも異なる場合には,適切な届け先が見つからず応答パケットは破棄されることになる。

このように IP マスカレード機能をもつブロードバンドルータは,不自然(不正)なパケットを内部 LAN に通すことがないので,ポートスキャンや不正侵入を試みる攻撃などを遮断するセキュリティ効果が期待できる。

OP25B

OP25B(Outbound Port 25 Blocking)は,名前の通り,外向き(インターネット方向)のポート 25 番宛て(SMTP)パケットを遮断することでスパムメールを防ぐ仕組みである。

ISP 管理下の動的 IP アドレスからの電子メール送信について,管理外ネットワークのメールサーバへ SMTP 通信を禁止することで,ISP のメールサーバを介さずに外部のオープンリレーサーバと直接コネクションを確立して送信されるスパムメールを防ぐ。

ISP でスパムメール対策 OP25B(Outbound Port 25 Blocking)が行われていると,"25/TCP" を使う通信では正当な利用者でさえ外部のメールサーバと直接コネクションを確立することができなくなってしまう(例えば外出先で自分が契約している ISP のメールサーバから送信できないなど)。この弊害を解消するためにサブミッションポート "587/TCP" が利用されるようになった。

サブミッションポートは,ユーザーのメールソフト(メーラー)からメールサーバにメールを届けるときに使用する送信専用のポート番号である。メールサーバでは,サブミッションポートにアクセスしてきたユーザを SMTP-AUTH で認証し,認証できたユーザのみからの送信を受け付けることで,スパマーの悪用を防ぎつつ,外部のメールサーバを使用したメール送信を可能にする。

サンドボックス

サンドボックス(Sandbox)は,外部から受け取ったプログラムを保護された領域で動作させることによってシステムが不正に操作されるのを防ぎ,セキュリティを向上させる仕組みである。

リバースプロキシ

Web サーバの前段に設置し,不特定多数の PC から特定の Web サーバへのリクエストに代理応答する。

(5) データベースセキュリティ

データベース暗号化,データベースアクセス制御,データベースバックアップ,ログの取得,ブロックチェーンにおけるセキュリティ関連技術(タイムスタンプ,ハッシュ,ゼロ知識証明ほか)

(6) アプリケーションセキュリティ

Web システムのセキュリティ対策,セキュリティバイデザイン,プライバシーバイデザイン,脅威モデリング,セキュアプログラミング,脆弱性低減技術(ソースコード静的検査,プログラムの動的検査,ファジングほか),Same Origin Policy,CORS(Cross-Origin Resource Sharing),パスワードクラック対策(ソルト,ストレッチングほか),バッファオーバフロー対策,クロスサイトスクリプティング対策,SQL インジェクション対策(プレースホルダほか),HSTS(HTTP Strict Transport Security),UUID(Universally Unique Identifier)の利用
Web システムのセキュリティ対策

IPA で公開されているセキュアプログラミング講座では,セッション乗っ取りの機会を低減させるための予防策として「セッションタイムアウト」と「明示的なログアウト機能」を挙げている。

セッションタイムアウト
Webアプリケーションにはセッションタイムアウト機能を設ける。ユーザはログアウト操作をすることを忘れてしまうことがある。
明示的なログアウトの機能
Web アプリケーションには明示的なログアウトの機能を設ける。できれば,各ページでログアウト操作が行えると良い。

また,利用者がログアウトを要求した場面では,Webアプリケーションは次のような操作を行うべきとしています。

  • Web サーバ側でセッション ID を確実に無効にする。その後同じセッション ID がクライアントから送られてきても受け付けない
  • Web ブラウザ側のセッション ID を消去する
ファジング

ファジング(fuzzing)とは,検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み,その応答や挙動を監視することで(未知の)脆弱性を検出する検査手法である。

ファジングは,ファズデータの生成,検査対象への送信,挙動の監視を自動で行うファジングツール(ファザー)と呼ばれるソフトウェアを使用して行う。開発ライフサイクルにファジングを導入することで「バグや脆弱性の低減」「テストの自動化・効率化によるコスト削減」が期待できるため,大手企業の一部で徐々に活用され始めている。

Web サイトにおけるクリックジャッキング攻撃の対策

HTTP レスポンスヘッダに X-Frame-Options を設定する。

バッファオーバーフロー対策

バッファオーバフロー攻撃は,攻撃者が故意にプログラムが確保したメモリ領域(バッファ)よりも大きなデータを読み込ませることで,メモリ領域からあふれた部分に不正なデータを書き込ませ,システムへの侵入や管理者権限の取得を試みる攻撃である。

この攻撃は,プログラムが入出力するデータサイズの検査を行っていることを悪用して仕掛けられる。したがって,バッファオーバーフロー対策は,バッファに書き込むデータサイズを必ずチェックし,想定外のサイズであった場合,エラーにする仕組みを Web アプリケーションに備えることが有効な対策となる。

クロスサイトスクリプティング対策

入力に HTML タグが含まれていたら,HTML タグとして解釈されないほかの文字列に置き換える。

SQL インジェクション対策

SQL インジェクションを防ぐために,Web アプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。

プレースホルダは,SQL 文中のユーザ入力を割り当てる部分に特殊文字(※)を使用したひな形を用意し,後から実際の値を割り当てる機構である。後から割り当てる値は,SQL 文の特殊文字がエスケープされた完全な数値または文字列として扱われるため安全に実行することができる。

※ 特殊文字とは,シングルクォーテーション「'」,バックスラッシュ「\」,セミコロン「;」など

本稿の参考文献

inserted by FC2 system