0.はじめに
情報セキュリティマネジメントを学習してます。
- 普段書籍で読んだ内容
- 超基本的な知識
- なかなか覚えられず、忘れてしまいやすい内容…など
そういった箇所から個人的に学習用として投稿しました。
第2章 「セキュリティ管理」
第3章「情報セキュリティ対策」
第4章「情報セキュリティ関連法規」
第5章「マネジメントについて」
第6章「テクノロジ ストラテジ」
参考文献
徹底攻略 情報セキュリティマネジメント教科書 令和2年度
著者 株式会社わくわくスタディワールド 瀬戸美月/齋藤健一 著
出版 インプレス
・単語関連
情報処理推進機構
国際標準化機構
最高情報セキュリティ責任者
情報セキュリティマネジメントが組織内リーダーであり
情報処理安全確保支援士は最高情報セキュリティ責任者の右腕
監視 原因解析.影響範囲の調査部隊
SOC:分析.メンテナンス部隊
不正プログラムに対して遠隔操作で指示を出し情報を受け取るためのサーバ
ウェブアプリ保護セキュリティシステム、ウェブサイト攻撃検査に特化している
ソフトに入力することで脆弱性を発見する方式
仮想環境を作成しその中にて検証を行うテスト(最近触っている Linus Kaliなど..)
用途に応じてセキュリティ のレベルを上げ管理する
1bitずつ暗号化する方式
列ごとに暗号化分けする方式
ガイドラインに登録してもらい周知に予防してもらったりが重要
あらゆる機関が先陣に立って広範囲に情報拡散すると初心者も被害が最小化する、注意喚起サイトなんかもその一種
暗号化プロトコル SSLサーバ証明書があるHTTPサイトが正しい運営者であれば発行される 鍵マーク付きのサイト
重要なデータ領域 の位置を無作為に配置するPCセキュリティ技術、アドレス空間配置のランダム化
バッファオーバーフロー等のメモリ破壊攻撃全般を緩和するシステムとして挙げられる
攻撃者が有効なコードを実行するのを困難にすることができる
インターネット上で異なるウェブサイト間での認証を実現するために考案したフレームワーク
ディジタル証明書の失効状態を取得するためのプロトコル
「有効」「失効」「不明」のいづれかを応答として返す
・セキュリティ定義
JIS Q 27000..
一般的な__CIA__とさらに4つ要素を入れ5つの定義が求められる
1.機密性
情報を使用させず開示しない特性
→暗号化や施錠が主
2.完全性
正確さ、完全さの特性
→情報を書き換えられないようにすることも重要、サーバのアクセス制限などが求められる
3.可用性
アクセス及び使用が可能である特性
→サーバを二重化したりすることで故障時のアクセス負荷を逃れる
4.真正性
確実であるという特性
5.責任追跡性
追跡できることを確実にする特性
6.否認防止性
引き起こしたエンティティを証明する特性
7.信頼性
意図する行動と結果が一貫しているという特性
情報セキュリティマネジメントシステム(ISMS) JIS Q 27001..
情報を守るための対策をシステム化して継続的に改善していくことが重要
・情報セキュリティ重要性
セキュリティにおいて守るものは「情報資産」
すべてを最高レベルで防衛するのにはコストや時間がかかってしまうので
それぞれレベルに見合った、価値により 判断をして適切な守り方をすることになる
PC、顧客情報、人に(従業員などに)与えた知識、特許情報など様々ある
損害を与える可能性がある潜在的な原因
物理的脅威:事故災害故障破壊..
技術的脅威:不正アクセス傍聴改竄エラー
人的脅威:ソーシャルエンジニアリング、紛失、金銭目的、不正利用、ミス
資産が持つ弱点
ソフトウェアにおいては「バグ、セキュリティホール」などが取り上げられる
損害を与える可能性のこと
脅威を洗い出し脆弱性を考慮することによってリスクの大きさを推定する
→ 情報資産の価値脅威の大きさ脆弱性の度合い
・セキュリティのリスク関連
内部犯による情報漏洩
納品された情報システムの欠陥が原因
サービス使用によるウイルスの混入
発言による炎上等..など
・リスクアセスメント
リスクアセスメントとは
リスクにおける分析、リスクの認識、リスク評価を網羅するプロセス全体のことを指す
1. 情報資産の算定
重要性をCIAの観点から明確化
2. 脅威の算定
損失の直接の要因となる脅威を明確化
3. 脆弱性の算定
物理的、技術的、人的な要因.etc
4. リスク算定
1.2.3のプロセスを分析しリスク把握
5. リスク評価
- 定量的リスク分析 金額評価
- 定性的リスク分析 危険性評価
・サイバーセキュリティー経営ガイドライン
経済産業省がIPAと共に作成した「企業の経営者に向けた」ガイドラインのこと
経営者が認識すべき3項目
セキュリティ経営の重要な10項目
をまとめたもの
・経営者が認識すべき3項目
1.セキュリティ投資による経営戦略は必要不可欠であり経営者としての責務である
経営者が適切な配分をすることを推奨している
2.系列企業や ビジネスパートナーや委託先などを含めたセキュリティー対策が必要としている
#3.セキュリティー対策に関する情報開示等、顧客との関係性を築きコミュニケーションを取ることが必要としている
・セキュリティ経営の重要な10項目
1.セキュリティーポリシー策定すること
2.CISOからなる適切な管理体制を構築すると共に 責務を明確化すること
3.予算の確保や人材育成等の資源の確保すること
4.守るべき資産を特定しリスクへの対策に向けた計画を策定すること
5.リスクに対する防御、検知など運用の体制を構築すること
6.経営者との報連相を怠らず、適切に開示すること
7.緊急時の対応体制を整備すること
8.復旧体制の整備を行うこと
9.ビジネスパートナーを含め自社同様にサイバーセキュリティー対策を行わせること
10.社会全体に情報共有をし未然防止に貢献をすること
・不正と攻撃のメカニズム
D.Rクレッシーが提唱している__不正のトライアングル理論__だと
人が不正行為をする際には3つの要素が揃う上限があるという
容易となる環境によって実行されてしまう
不平不満から実行に移される心理などが挙げられる
自己正当化により行為そのものを良心的に感じてしまう
・攻撃者の種類
スクリプトキディ
ネット上で公開されているクラッキングツールを利用して不正アクセスを試みる攻撃者
ボッドハーダー
botを統制して攻撃を実行する攻撃者
内部関係者
組織の内部情報を不正に利用する攻撃者
愉快犯
人や社会を陥れ喜ぶ目的とした攻撃者
詐欺犯
フィッシングなどで情報を奪取する攻撃者
故意犯
故意的に罪を犯す攻撃者
逆を過失犯という
・攻撃の動機
政治思想や社会的な思想の元で行う
人に危害を与え社会に打撃を与える
・暗号
共通暗号鍵方式の種類
共通鍵:処理が単純だが高速な暗号
ブロックごとに暗号にするブロック暗号の一種
56bit の鍵を使用する
安全性が低い
bit 単位で暗号を行なっていくストリーム暗号の一種
無線LANのWEPなどで使用がされていた
安全性が低い
DESの後継
ブロック暗号で128bit 192bit 256bitの3種類が利用できる
NTT 三菱が共同開発したブロック暗号
AESと同様3種類から使用が可能 128 192 256
高速で暗号と複合が可能
・公開鍵暗号方式
暗号化鍵と復号鍵が異なる暗号方式
公開鍵暗号方式でもっともよく使用される暗号化
巨大数の素因数分解により安全性が高い
1024bit:米国標準規格から外されている方式
2048bit:安全性証明がされていて使用に推奨されている
鍵を共有するための方式
離散対数問題を安全性の根拠とした方式
有限体上の離散対数問題を利用した署名アルゴリズム
楕円曲線状の離散対数問題を利用した方式
RSAの後継として注目されている
・ハッシュ
1. 一方向性の関数であるハッシュ関数を使用する方式
ハッシュは暗号化(ハッシュ化)ができても元に戻せない性質がある
#ERROR!
2. 送りたいデータと合わせてハッシュ値を送ることで改竄を検出することができる
平文Aのハッシュ値は元あったハッシュ値と異なることがあれば””改竄されている””という証明になる
3.チャレンジレスポンスなどで使用され、多くの場面で利用される
パスワードを保管する際もハッシュ関数に変換しハッシュ値のみを保管するケースもある
・ハッシュ関数の種類
入力値に対して125bitのハッシュ値を出力するハッシュ関数
160bitのハッシュ値を出力するハッシュ関数
脆弱性が発見されているため推奨されていない
224.256.384.512
4種類のハッシュ値を出力する方式
パスワードをハッシュ値に変換する際に付加されるデータのこと
同じメッセージからは同じハッシュ値を求めることがアルゴリズム上公開されている
ハッシュ値が同じデータを推測されてしまう可能性がある
そういった際の推測を防ぐために付加されるデータ
レインボー攻撃の対策としてソルトが付与されるケースがある
鍵付きハッシュ関数
メッセージに秘密鍵を付加したものをハッシュ関数で変換した値
秘密鍵を加えることで暗号的なハッシュ値となる
・認証
認証には大きく分けて2通りある
1. 二者間認証(Authentication)
被認証者=>認証システム
通常のサーバログインなどのように被認証者からの情報を元に可否を決定する
2. 三者間認証(Cetification)
被認証者=>認証システム=>認証者
新たに認証者という者が加わる
認証システム自体を正しい者と判断する認証を行う
ディジタル署名
公開鍵暗号方式を利用したハッシュ値を組み合わせることにより
改竄検知を行う
時刻認証(タイムスタンプ)
ハッシュ値と時刻情報を重ね合わせディジタル署名する
本人の改竄を阻止するためのもの
TSA(時刻認証局)が提供する時刻認証サービスを利用して書類のハッシュ値に時刻情報を付加する
これにより証明できるのは
- 存在性
そのデータがその時刻に存在していたこと - 完全性
その時刻後に改竄されていないということ
2点が証明される
ディジタル署名は存在性を証明ことができないため
必要に応じて時刻認証タイムスタンプは利用をする場合がある
チャレンジレスポンス方式
乱数や時刻などを利用して適当に決めるチャレンジがある
被認証者はチャレンジにパスワードを加えたレスポンスを結果として出す
認証場所がそのレスポンスを可否し認証を行う
一般的にはハッシュを用いる方式が使用される
リスクベース認証
通常と異なる環境からログインしようとする場合などに通常の認証に加え
合言葉等による認証を行う認証方式
大手銀行などのサイトによく使われているもの
CAPTCHA
(Completely Automated Public Turing test to tell Computers and Humans Apart)
コンピュータが操作していないのを確認するための認証
人間ではないと認識困難な画像、文字として認識できる画像等を認証時に条件として利用する
・公開鍵基盤(PKI)
公開鍵暗号方式を利用した社会インフラのこと
認証局(CA)に証明書を発行してもらい、個人社会的な信頼を確保する
政府が主導するGPKI(Goverment)も存在
認証局 CA(Certificate Authority)
ディジタル証明書を発行する機関
- RA登録局 審査を行う機関
- IA 発行局 発行時にディジタル署名をする、発行する機関
複数の機関から構成されている
https://の右側などにある「鍵マーク」から確認が可能
検証局 VA (Validation Authority)
ディジタル証明書のリストを集中的に管理し有効性の確認に特化した組織
CAとは異なり、検証管理している
ディジタル証明書
作成した公開鍵に対してCAが様々な情報を付与しディジタル署名を行なったもののこと
作成者とは別に受け取るものがいる場合、先程の公開鍵で複合しハッシュ値が一致した場合
正当な証明書として確認することができる
CRL
ディジタル証明書に有効期限があり、有効期限中に情報が漏洩した場合
証明書の信頼が損なわれる
その際に失効リストに登録する必要がある、そのリストのこと