概要
主に自分が間違えたもののみ記載、まとめ、深堀をする。
1-2 情報セキュリティ対策の仕組み
サイバー情報共有イニシアティブ(J-CSIP)
公的機関であるIPAを情報のハブとして、参加組織機関で情報共有を行い、高度なサイバー攻撃対策につなげていく取り組み
Notice
総務省NICT,インターネトプロバイダが連携し、IOT機器へのアクセスによる、サイバー攻撃に悪用されるおそれのある機器の調査及び、当該機器への注意喚起を行うとりくみのこと。
1IOT機器にように推測されるパスワードの入力などをして、脆弱性のある者の特定、
2その当該機器へ情報の通知
3ISPが利用者を特定し、注意喚起を実施
SCAP (Security Content Automation Protocol)
脆弱性を識別するためのCVEや深刻さを評価するためのCVSSなどが定義される、情報セキュリティの対策の自動化と標準化を実現する技術仕様
データベースの直接修正
アプリケーションの機能を経由せずに、特権IDを使用してデータを追加、変更または削除すること、に際してデータベースの直接修正は、データの改ざんを可能にするという点で認められない行為であるということ。
IMAP
(Internet Message Access Protocol)は電子メールの受信、取得ができるプロトコルの内、サーバー上に電子メールを格納し、検索などを行えるプロトコル。
複数のコンピュータから同じアカウントでメールを読む場合に一元管理できるという利点がある。
クラウドコンピューティング
SaaS=ソフトウェアを提供する
PaaS=OSやミドルウェアなどの基盤を提供する
IaaS=ハードウェアやネットワークなどのインフラを提供する
| サービス形態 | ゲストOSへのセキュリティパッチ管理 |
|---|---|
| SaaS | 不可(管理不要・できない) |
| PaaS | 不可(管理不要・できない) |
| IaaS | 可能(自分で管理が必要) |
なぜIaaSだけゲストOSを管理できるのか
IaaSは「ハードウェアとネットワークだけ貸す」サービスなので、その上に何を乗せるかは利用者が自由に決められる。
SaaS:アプリ・ミドルウェア・OS・インフラ → 全部クラウド側
PaaS:ミドルウェア・OS・インフラ → 全部クラウド側
IaaS:インフラだけ → クラウド側
OS・ミドルウェア・アプリ → 利用者側
OSより上は全部自分で面倒を見る代わりに、自由に触れるというわけです。
類似問題
Q1. Webアプリケーションのミドルウェア(ApacheやNginx)のバージョン管理は?
| サービス形態 | ミドルウェアの管理 |
|---|---|
| SaaS | 不可 |
| PaaS | 不可 |
| IaaS | 可能(自分で管理) |
Q2. 利用企業がOSを自由に選択・変更できるのは?
| サービス形態 | OSの選択・変更 |
|---|---|
| SaaS | 不可 |
| PaaS | 不可 |
| IaaS | 可能 |
Q3. アプリケーションのソースコードを直接デプロイ・管理できるのは?
| サービス形態 | アプリのデプロイ管理 |
|---|---|
| SaaS | 不可 |
| PaaS | 可能 |
| IaaS | 可能 |
PaaSはOSは触れないけど、アプリは自分でデプロイできるのがポイントです(HerokuやGoogle App Engineのイメージ)。
3ウェイハンドシェイク
TCP通信を始める前に、送受信双方が「通信できる状態か」を確認し合う手順のことです。
なぜ必要か
TCPは「確実にデータを届ける」ことを保証するプロトコル。そのため通信開始前に、お互いが送受信できる状態かを3回のやり取りで確認します。
3つのステップ
クライアント サーバー
| |
| ①SYN(接続したい) |
| ─────────────────────────→ |
| |
| ②SYN&ACK(OK、そっちも確認)|
| ←───────────────────────── |
| |
| ③ACK(確認したよ) |
| ─────────────────────────→ |
| |
| 通信開始 |
① SYN クライアント→サーバー
「接続していいですか?」
② SYN$ACK サーバー→クライアント
「いいですよ。そちらも受信できてますか?」
③ ACK クライアント→サーバー
「できてます。では始めましょう」
各フラグの意味
| フラグ | 意味 |
|---|---|
| SYN | Synchronize。接続要求 |
| ACK | Acknowledge。受信確認 |
| SYN-ACK | 接続OKかつ確認の両方 |
なぜ2回じゃなく3回か
2回だとサーバーからクライアントへの経路が正常か確認できないからです。
- 1回目でクライアント→サーバーの経路確認
- 2回目でサーバー→クライアントの経路確認
- 3回目で「双方向OK」を確定
3回やることで初めて双方向の通信が保証されます。
その後のTLSとの関係
TLS通信はこの3ウェイハンドシェイクの後に行われます。
3ウェイハンドシェイク(TCP接続)
↓
TLSハンドシェイク(暗号化の鍵交換)
↓
実際のHTTPS通信開始
HTTPSは厳密にはTCPとTLSの2段階の準備を経てから通信が始まります。
WAF (Web Application Firewall)
SQLインジェクションやXSSなどの攻撃に対してきめ細かいアクセス制御をおこなうファイアウォール。
方式としては、攻撃と判断できるパターンを登録しておき、それらに該当する通信を遮断、あるいは無害化するブラックリスト方式と、正常と判断できる通信を登録しておき、それに該当する通信のみを許可するホワイトリスト方式がある。