情報処理安全確保支援士の暗記する必要のあるもののまとめ。自身の勉強ログです。
随時更新していきます。
IAM関連知識
IAMとは
識別・認証された利用者が許可されている権限内で利用できるように制御するコントロールシステム
識別
アクセスする主体を見分けること
認証
正当な利用者であることを検証すること
認可
利用者に特定の権限を与える
アカウンティング
利用者のアクセスログを記録
AAAフレームワーク
アクセスコントロールに必要となる構成要素(RFC2904)
認証・認可・アカウンティングの頭文字
認証
IEEE802.1X
PCをLANポート接続しただけではネットワークに参加できなくする仕組み。
3つのコンポーネントで構成される
- サプリカント:認証を受けるクライアント。EAPを使って認証情報を送信する。
- 認証装置(オーセンティケータ):サプリカントと認証サーバの間
- 認証サーバ(RADIUS):認証するサーバ
EAP
認証プロセスを実行する際に使用されるフレームワーク
| フレームワーク名 | クライアント認証 | サーバ認証 |
|---|---|---|
| EAP-TLS | デジタル証明 | デジタル証明 |
| EAP-TTLS | ID/PASS | デジタル証明 |
FIDO認証
パスワードの安全な運用が限界としてパスワードの依存を軽減した認証方式。通称パスワードレス認証。公開鍵暗号方式にて運用。
以下の3つの仕様が公開されている
- U2F
パスワードとUSBキーの二要素認証 - UAF
FIDO対応の認証器(スマホ)を使った認証デバイスで生体認証 - FIDO2
UAFとU2Fを統合
推奨されるパスワードの設定・運用・管理方法(過去に出題実績が有るもの)
設定方法
- 推測しやすい文字は使用しない
- 初期パスワードを発行する場合、ランダムで意味のないものとする
- 二要素認証
運用方法
- 秘密に管理。メモは作らない
- アカウントロック
- 一定期間ログインに成功していないときログイン不可能にする(サスペンド状態)
- パスワードを共有・共用・貸与しない
- 定期的に変更
- 初期パスは確実な本人確認の実施
管理方法
- 利用者が自分のパスワードを管理
- ハッシュ関数+ソルトを用いて暗号化
認可
アクセス権付与の原則
- 責務の分離の原則
複数のサブジェクトに権限を分離。担当の後上司が承認することと同義 - 最小権限の原則
言葉のまま。必要最低限の権限にしようねってこと
アクセスコントロールの種類
- 任意アクセス制御(DAC):自分の所有するリソースに自分でアクセスできる
- 強制アクセス制御(MAC):特定の管理者によってセットされる。セキュリティポリシに基づき設定
- ロールベースアクセス制御(RBAC):権限を役割別に付与
シングルサインオン
エージェント方式
アクセス対象を各サーバにエージェントをインストール
リバースプロキシ方式
端末はリバースプロキシにアクセス。リバースプロキシを通じて各サーバにアクセス
代理認証方式
端末はプロキシサーバにアクセスし、プロキシサーバがユーザ名とパスワードを各サーバに送信