情報においての
- 攻撃方法
- 防御方法
- 監査手段
- 具体的にどのように対策をすることで安全性が高められるか
Wikipediaや記事などから細かい部分を抜粋した内容です。
(書籍にて情報セキュリティを学んだ部分に関しては別の投稿にて記載します。)
監査に関する用語
調べている際によく出てきた単語だったのでなんとなくググりました。
ファジング
ソフトウェアに様々な入力を与える事で、脆弱性を発見する手法
IDPS (intrusion detection and prevention system)
不正侵入の兆候を検知し管理者に通知するシステム
ネットワーク内にあったりホスト内にあったり様々
SCADA (Supervisory Control and Data Acquisition)
産業制御システムの一種
コンピュータによるシステム監視とプロセス制御を行う
WAF
ウェブアプリ保護セキュリティシステム
ウェブサイト攻撃検知に特化
* 主なケース5
- レンタルサーバ提供ベンダー
- 大手
- 直接自分で管理していないウェブアプリ
- 他社開発したアプリを利用中など自分では防げない場合
- 諸事情によりアプリ停止できず脆弱性見たりテストができない場合
監査方法
ソースコードセキュリティ検査
コードをチェックする方法、主に実装工程にて行われる
ペネトレーションテスト
実際に仮想マシン内などにて攻撃をしてみることで発見をする手法
いくつかマシン内にて工程が分かれる
ホワイトボックステスト
システムの内部構築を把握した上で、顧客に合わせた内容でテスト
ブラックボックステスト
システムの内部構築を把握せず、外部から把握できる機能をテスト
外部ペネトレーションテスト
攻撃者が攻撃してくる事を想定している上でテスト
内部ペネトレーションテスト
システムの内部にすでに侵入者がいる事を想定した上でテスト
レッドチームオペレーション
実際に演習で攻撃を仕掛け、攻撃と防御ができているかどうか検査する
弱点がわかりどう言った内容を必要としているのかが分かる
コストがかかる
システムセキュリティ検査
機器に不備がないか診断
パッシブスキャン
アナライザを使うなど受動的に検査をする手法
アクティブスキャン
スキャナ~機器間にてパケットを送信し、その反応を見るなど能動的に検査をする手法
ウェブアプリケーションセキュリティ診断
ウェブアプリに文字列を送信.ページ遷移を確認.ログ解析などウェブアプリに特化した検査
最近使用したファイルなどにマルウェアがいる可能性が高い
ログを分析する
イベント発生をトリガーとして分析 短時間ログ急激などの現象をトリガーとして分析
マルウェア検出方法
パターンマッチング検出
マルウェアの特徴をPC内のファイルと比較して検出
パターンファイルを最新の状態にしておく必要がある
ヒューリスティック検出
違和感のある特異的な挙動を調べることで発見ができる
サンドボックス検出
仮想化環境を作り、その中で実験的に動作確認をする
IDS IPS
IDS
侵入探知システム
システムやネットワークを監視し分析することで
事前にインシデントや不正侵入を防ぐ
IPS
侵入防止システム
IDSの作動後、自動的に遮断や妨害をするセキュリティシステム
IPSやIDPSは誤作動により遮断したら
問題が発生する可能性があるため
慎重なチューニングが必要
ファイアウォール側の探知機能と連動しておくことによって
仮にファイアウォールが作動しなかった場合に
似たような不審な侵入や不正等を探し出す事ができる
アラートの設定や調査基準や報告書の作成などをする事ができる
IDPS 構成
センサー エージェント
活動の監査と分析を行う機関
センサーはネットワーク
エージェントはホストを対象に行う
管理サーバ
センサーやエージェントが採取した情報とは別の方法で検査する事で
特定できなかったような情報を採取する
DBサーバ
センサー、エージェント、管理サーバの情報を保存する
コンソール
ユーザ や管理者にユーザインターフェースを提供する
IDPS 種類
無線IDPS
対象ネットワーク通信範囲内か懸念のあるポイントにて
NBA
ネットワークフローの確認、外部との交渉があったかのフローの確認
ホストベースIDPS
機密情報が置かれているホストやクライアントホスト
IDPS 検知手法
シグネチャベース
正規表現でパターン化されたのを探知する
ほとんど攻撃として検知するのは難しい
アノマリベース
正常な挙動を学習としてプロファイルを作成し
そのプロファイルに基づいて通信を探知
ステートフルプロトコル
解析
通信の中で追跡をする
個別コマンドの入力値やフォーマットの長さなどをチェックする