情報セキュリティマネジメントシステム(ISMS)
ISMSの構築方法や要求事項などはISO27001、ISMSの実践規範はISO27002に示されている。
また、セキュリティ技術を評価する規格にISO15408がある。CC(コモンクライテリア)とも呼ばれる。
ユーザ認証の方法には、知識(パスワードなど)、所持(ICカードや電話番号など)、生体(指紋など)の三種類があり、二種類以上を組み合わせることを多要素認証という。
脆弱性の深刻度を評価するための評価手法の一つにCVSS(Common Vulnerability Scoring System)がある。基本評価基準、現状評価基準、環境評価基準の三つの視点がある。
典型的なサイバー攻撃
バッファオーバーフロー攻撃
バッファの長さを超えるデータを送り込むことによって動作不能にし、プログラムを上書きする攻撃。対策としては入力文字列長をチェックする。
SQLインジェクション
フォームなどにSQL文を入力することによって、データベースを不正に操作する攻撃。制御文字のエスケープ処理やプレースホルダを利用するバインド機構が有効。
XSS(クロスサイトスクリプティング)
脆弱性のあるWebサイトを標的として、閲覧者に攻撃者が作成したマルウェアなどの実行ファイルをブラウザ上で実行させる攻撃のこと。例えば、標的サイトのアンケートフォームなどに、なんらかの方法によってJavaScriptなどのブラウザ上で動作するスクリプトを挿入しておく(これをスクリプトインジェクションという)。これを閲覧者が実行することによって、攻撃が成功する。インジェクションの方法としては、URLパラメータにあらかじめスクリプトを仕込んでおいて、そのURLを通して閲覧者を標的サイトに誘導するなどの方法がある。Hiddenタグを用いる手法もある。
対策方法としては組み込まれたJSをの形でHTML内に表示させない様に、<>などの文字をエスケープする、属性に””を必ずつける様にするなど。
CSRF(クロスサイトリクエストフォージェリ)
Webサイトにログイン中のユーザのスクリプトを操ることで、サーバ上に被害を起こす攻撃。
DNSキャッシュポイズニング攻撃
DNSのキャッシュに不正な情報を注入することで、不正なサイトへのアクセスを誘導する攻撃。
パスワードクラック
パスワードクラックの方法には、辞書に出てくる用語を使用する辞書攻撃、適当な文字列を組み合わせて力任せに攻撃を繰り返すブルートフォース攻撃、他のサイトで取得したパスワードリストを利用するパスワードリスト攻撃などがある。
ランサムウェア
コンピュータの機能を制限し、その制限を解除するための身代金を要求するマルウェア。
セキュリティ実装技術
セキュアOS
セキュリティを強化したオペレーティングシステムのことである。 厳密な定義は存在していないが、強制アクセス制御(MAC)機能及び、最小特権を実現する機能を備えたものをそう呼ぶことが一般的である。通常のOSは任意アクセス制御(DAC)である。
ファイアーウォール
あらかじめ設定されたACL(アクセス可能リスト)に応じてパケットを中継したり破棄したりする。
IPアドレスとポート番号を基に制御するパケットフィルタ型と、アプリケーションプログラムごとに細かく設定できるアプリケーションゲートウェイ型がある。インターネットと内部ネットワークの間にDMZ(非武装地帯)を設けることがある。
IDS/IPS
IDS(Intrusion Detection System)はネットワークやホストをリアルタイムで監視し、侵入や攻撃を検知するシステム。検知するだけでなく防御するシステムとして、IPS(Intrusion Prevention System)もある。
認証プロトコル
SPF(Sender Policy Framework) 電子メールの認証技術の一つで、差出人のIPアドレスなどを基にメールのドメインの正当性を検証する。
DKIM(Domain Keys Identified Mail) 電子メールの認証技術の一つで、ディジタル署名を用いて送信者の正当性を立証する。
その他用語
テンペスト 機器が発する微弱な電磁波を受信することで通信を傍受すること。
ステガノグラフィ 音声や画像などのデータに秘匿のメッセージを埋め込む技術。
SMTP-AUTH 送信メールサーバで、ユーザ名とパスワードなどを用いてユーザを認証する方法。