■問2(難易度:難)
テーマ:クラウドセキュリティを高める方法
【問われていること】
1.DHCPサーバのIPアドレス枯渇
・障害原因となるものが発見されず、障害っぽいのが出ている人と出ていない人がいて、その差がランダムなときはDHCPの割当に問題があるかもしれない
・IPアドレスが枯渇した際に払い出されるのはリンクローカルアドレス
・無線LANで接続する環境の場合、外部から悪意のあるDHCPサーバを偽装される危険がある
・↑の見破り方は?
DHCP起動中:L2SWにミラーポートを設定して、DHCP Offerの数を調べる
DHCP停止中:正規のDHCPサーバの提供するIPアドレスがないことを調べる
2.アカウントが不正利用された際の影響調査
・アクセスログを調べる
・アカウントでアクセスできる場所に置いてあるファイルがどういったものかを調べる
3.無線LANセキュリティ
・サプリカントはクライアントPCなど、認証装置はAP(アクセスポイント。Wifi端末など)、認証サーバで最終的に認証する。この方式をインフラストストラクチャモードという。機器同士が直接通信するのはアドホックモード。PSPとかは後者で対戦してた。
・APでの認証方法
パーソナルモード :端末とAPに共有鍵を配る。共通鍵は1種類なので、変更する際は全端末に配り直す。
エンタープライズモード:IEEE802.1X認証。ユーザごとに鍵配るので、管理しやすく、企業向け。
・セキュリティを高める
ESS-ID隠蔽やMACアドレスフィルタリングもあるが、牽制程度にしかならない。本質的にはエンタープライズで鍵管理するしかない。
4.SaaSへの認証
・クラウド型セキュリティサービス(SECaaS)
セキュリティサービスは幅広い。認証・認可(IDaaS)、データ漏えい防止の為の暗号化(DLP)、システムのセキュリティ評価、侵入の検知・防御、セキュリティ情報の更新やイベント管理(SIEM)、災害対策と事業継続(BCP)、NWセキュリティ、メールセキュリティ、Webセキュリティなど。
4ではNWセキュリティと認証・認可が問われた。
プロキシ重視なら代表製品はZscaler。
■Zscaler
主機能は2つ。
・ZIA:Zscaler Internet Access。プロキシサーバのクラウド版。主に外部への接続。
・ZPA:Zscaler Private Access。VPNサーバのクラウド版。主に内部への接続。
上記の副産物として以下もできる。
・フィルタリング:利用者IDごとやURLごとに通信可能なSaaSを制御できる。
・トラフィック可視化:アクセスログの収集が可能であり、SOCとも連携できる。振る舞い検知もできる。要するにCASB。
・保管時の暗号化:SaaSにデータを保管する際、SECaaS側ですでに自動暗号化する。
認証能力重視なら代表製品はOkta、AzureAD。
■Okta
主機能は2つ。
・ユーザ認証:SSOやMFAなど
・ユーザ管理:UD(:Universal Directory)LM(:Lifecycle Management)など。
共通していることとしてクラウド型サービスはオンプレミス型に比べて導入ハードルが低い。
クラウド型の需要増加は、SaaS利用の増加、テレワークによる社内環境外からの接続などが原因である。
5.SaaSの規格
・ISAE3402 :SaaS提供会社の内部統制を証明する国際基準の保険業務版
・SSAE16 :↑の米国公認会計士版。
・ISMS認証 :JISQ27001に基づく第三者による認証
6.エンドユーザが設定を書き換えて、セキュリティ違反をしないような仕組み
・PKI(:Public Key Infrastructure)認証
↑の認証で大事なのは「秘密鍵」が「その端末に」入っているということ。
証明書のダイジェストを秘密鍵で暗号化したものと平文を送り、送信先で検証してもらう。
管理者は秘密鍵がその端末から移動できないように、「書き出し不可」の設定にすれば良い。
・端末が必ずクラウド型プロキシサーバを経由してほしい
→この環境では以下が条件。
端末にはエージェントが必ず入っている。
エージェントが有効ならば、クラウド型プロキシに必ず接続する。
端末のサインインは一般アカウント。
だから、管理者アカウントでエージェントの設定変更(有効→無効)ができないようにする。