2
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

SC午後

Last updated at Posted at 2020-03-05

「セキュリティ監査」

  • ペネトレーションテスト等,技術と絡めた出題が⾒込まれる
    • IoT機器の検索サイト(ShodanCensysInsecam等)は,⾃組織のIoT機器が “外から丸⾒え” かを確認するためのツールとしても使える
    • TLPT(Threat-Led Penetration Test(ing) )
      • 脅威ベースペネトレーションテスト。各チームの役割は下記
      • レッドチーム ︓攻撃を⾏う
      • ブルーチーム ︓検知・ブロックを⾏う
      • ホワイトチーム ︓全体の管理(計画,両者から結果を⼊⼿,課題のまとめや評価)
    • ペネトレーションテストの目的はどれか。
  • 例えば,攻撃者が暗号資産(仮想通貨)を掘りたい場合
    • 攻撃者にとって,侵⼊先が『重要なデータを扱っているか』は不問
    • DBサーバ上の機密情報よりも,GPU等の計算機リソースの強さが⼤切。このため,情報漏えいへの警戒とは異なる観点の「猜疑⼼」も必要
    • 古い考えで「守るべきサーバとは,こうだ」に固執した受験者は,⾜もとをすくわれる
    - 複数の取引記録をまとめたデータを順次作成するときに,そのデータに直前のデータのハッシュ値を埋め込むことによって,データを相互に関連付け,取引記録を矛盾なく改ざんすることを困難にすることで,データの信頼性を高める技術はどれか。
        - [ITパスポート令和元年秋期 問59](https://www.itpassportsiken.com/kakomon/01_aki/q59.html)
    - ブロックチェーンによって実現されている仮想通貨マイニングの説明はどれか。
        - [基本情報技術者令和元年秋期 午前問71](https://www.fe-siken.com/kakomon/01_aki/q71.html)
    - 資金決済法で定められている仮想通貨の特徴はどれか。
        - [応用情報技術者平成30年春期 午前問80](https://www.ap-siken.com/kakomon/30_haru/q80.html)
    - 取引履歴などのデータとハッシュ値の組みを順次つなげて記録した分散型台帳を,ネットワーク上の多数のコンピュータで同期して保有し,管理することによって,一部の台帳で取引データが改ざんされても,取引データの完全性と可用性が確保されることを特徴とする技術はどれか。
        - [応用情報技術者平成30年秋期 午前問44](https://www.ap-siken.com/kakomon/30_aki/q44.html)
    - 仮想通貨環境において,報酬を得るために行われるクリプトジャッキングはどれか。
        - [情報処理安全確保支援士平成31年春期 午前Ⅱ 問5](https://www.sc-siken.com/kakomon/31_haru/am2_5.html)
    - ブロックチェーンに関する記述のうち,適切なものはどれか。
        - [情報処理安全確保支援士平成30年秋期 午前Ⅱ 問3](https://www.sc-siken.com/kakomon/30_aki/am2_3.html)
  • 契約によって「サプライチェーンリスク」を緩和しているか
    • 2020年4⽉施⾏の改正⺠法では「『瑕疵担保責任』が、契約内容に適合しない場合に修補・追完を請求できる『契約不適合責任』に変更された。これにより、契約時における契約内容の明確化がより⼀層求められるようになりITサプライチェーンにも⼤きく影響するものと考えられる。例えば、納品後のソフトウェアプログラムに脆弱性が発⾒され、委託先に修補を求めようとする場合、あらかじめ、そのような脆弱性のないプログラムの納品を契約内容としておく必要がある。(中略)仕様書を作成する委託元が、より要件を明⽰しなければならなくなる。」引⽤︓『情報セキュリティ⽩書2019』(IPA[2019]p.187)
    • システム監査技術者(AU)試験での『システム監査基準』『システム管理基準』の出題は,ITガバナンス『JIS Q 38500』等を取り⼊れた平成30年4⽉改訂版へと移⾏済み
  • 事業継続マネジメントシステム『JIS Q 22301』『JIS Q 22313

「セキュリティマネジメント」

検査・調査・フォレンジックス

サイバーセキュリティを⽬的とするリバースエンジニアリングは,「当該著作物に表現された思想⼜は感情を⾃ら享受し⼜は他⼈に享受させることを⽬的としない場合」にあたり,著作権法上は問題ない

  • (著作物に表現された思想⼜は感情の享受を⽬的としない利⽤)
    • 第三⼗条の四
    • ⼀ 著作物の録⾳、録画その他の利⽤に係る技術の開発⼜は実⽤化のための試験の⽤に供する場合
    • ⼆ 情報解析(多数の著作物その他の⼤量の情報から、当該情報を構成する⾔語、⾳、影像その他の要素に係る情報を抽出し、⽐較、分類その他の解析を⾏うことをいう。第四⼗七条の五第⼀項第⼆号において同じ。)の⽤に供する場合
    • 三 前⼆号に掲げる場合のほか、著作物の表現についての⼈の知覚による認識を伴うことなく当該著作物を電⼦計算機による情報処理の過程における利⽤その他の利⽤(プログラムの著作物にあつては、当該著作物の電⼦計算機における実⾏を除く。)に供する場合

実務的な出題の予想

  • ディジタルフォレンジックス
  • アンチフォレンジックス
  • ペネトレーションテスト
    • 双⽅で検査範囲を確認する。なぜ︖
      • それを逸脱すると最悪の場合,被検査側の業務が⽌まる
      • 悪影響を防ぐか最⼩限に留めるには,事前の調整・説明が必要
    • 検査・操作の全記録を,機密性を確保した上で⼀定期間保存する。なぜ︖
      • 後でトラブルになった時に検証するため
      • たまたま同時刻に本物の攻撃を受けていた場合,被検査側のログとの差分をとることで検証できるようにするため
    • ペネトレーションテストの目的はどれか。
  • image.png
    • すべて1Gビット/秒のLAN(全⼆重)とした場合
    • 「機器①」­「機器②」間の帯域は,上下で実質2Gビット/秒
    • だが,分岐させた部分も1Gビット/秒である
    • とくれば,書かせる点は⼆つ
      • 問題点は「ピーク時にとりこぼす可能性」
      • 解決策(例)は「2Gビット/秒以上の帯域(例︓10GのLAN)を⽤意する」

検査・調査・フォレンジックス

  • Webアプリケーションの脆弱性診断ツール「OWASP ZAP」が,R01秋SC午後Ⅱ問1設問3(1)に,選択肢の⼀つとして出た
  • ということは今後,ツール類を固有名詞で問うてくる…のでは︖
    • 「Ghidra」 ⽶NSAが公開するソフトウェアのリバースエンジニアリングツール
    • 「Kali Linux」 ペネトレーションテストに特化したLinuxディストリビューション
    • 「Metasproit」 ペネトレーションテストのフレームワーク
    • 「Mimikatz」 Windows⽤,Kerberos認証のゴールデンチケットの作成に使える
    • 「Nmap」 ペネトレーションテストにも使うポートスキャナ
    • 「sqlmap」 SQLインジェクションの脆弱性診断ツール
    • 「XVWA」 攻撃の学習⽤途として,脆弱性を含ませたWebアプリケーション
  • Webサイトだと,例えば下記
    • 「CrackStation」 パスワードハッシュの解析サイト(ソルト付きハッシュは⾮対応)
    • 「MailTester」 “⽣きた”メールアドレスの確認サイト
    • 「VirusTotal」 各社のマルウェアスキャンを試せるサイト
  • OSのコマンドの内,ワクワクするやつを集めました
    image.png

「AI」出題予想

  • 「AIとセキュリティ」の出題(予想)は,⼤きく三つに分けられる
  • ① AIへの攻撃
    • 機械学習の教師データの改ざん
    • 偏った(不正な)教師データを与え,誤った学習をさせることによる品質の劣化
    • 訓練結果だけの窃取や漏えい
    • 攻撃⼿法を学習データとして使う場合,どのようなデータかを攻撃者に知られてしまうと回避策を探られてしまう(学習済みだった攻撃パターンを回避して攻撃される)
  • ② AIによる攻撃
    • ディープフェイク
    • 画像を⽤いたCAPTCHA等の認証を突破(コンサートチケットの⼤量購⼊)
    • 敵対的⽣成ネットワーク」を利⽤し,認証突破が可能なよう⾃動学習
    • OSINTからの⾃動的な学習
  • ③ AIによる防御

「ビッグデータ」出題予想

  • CAP定理,BASE特性と絡めた出題
  • ブロックチェーンと絡めた出題
    • 51%アタック,スマートコントラクト
  • ⾼速な通信インフラが,⾼速な拡散を招く
    • 400Gイーサ,Wi-Fi 6,5G

「IoT」出題予想

  • ヤマ張り

    • IoT機器を踏み台とした,内部ネットワークへの攻撃
      • 多数のIoT機器をボットネット化した,DDoS攻撃
      • 通信経路の暗号化や,マルウェア感染の拡⼤を防ぐ等の,ネットワーク技術⾯からの制限がなされていないケースも多い(⼀旦侵⼊に成功されると感染が広がりやすい)
    • IoT機器に接続する通信回線への攻撃により,データ収集等が滞るリスク
    • 特に健康に関する機器で,その盗聴や漏えいのリスクに留意すべき理由は︖
      • とくれば,答の軸は「センシティブなデータを扱うため」
    • 温度調節等の機能をもつ機器への不正アクセスだと,設定値が変更される
    • Webカメラの場合
      • カメラからの画像を受信・表⽰する管理⽤画⾯ではユーザ認証が⾏われていても,カメラからの映像は暗号化も認証もなされていないケース
      • 本⽂中に伏線を張った上で,「管理⽤画⾯を表⽰させるサーバにもたせる証明書が,オレオレであっても有効期限が⻑くても,そう問題ないという理由は︖」
      • とくれば答の候補は「カメラとの間の暗号化が主⽬的であり,認証は考えなくてもよいから」
  • ITと⽐べた,OT(Operational Technology)機器の,情報セキュリティ⾯の留意点

  • システムのライフサイクルの⻑さゆえの問題

  • 古い機器の場合,インターネットとの接続を考慮していない機器がある

  • アップデートの体制や⽅法が確⽴されていない頃の設計のままで運⽤

  • サポート切れの機器やソフトウェアを使い続けるリスク

  • 攻撃の⽬的として,機密情報の窃取に加えて,可⽤性を下げる(システムの停⽌を狙う)攻撃が多い

  • 「安定運⽤」志向が裏⽬に出る

    • 特に,プラント等の連続操業される環境では,可⽤性を低める攻撃は致命傷
    • パッチ適⽤による可⽤性の低下を嫌う(適⽤失敗へのおそれや,適⽤のための作業時間そのものを嫌う)緊急性の⾼いパッチでも,GW,夏休,年末年始といった休⽌タイミングまで待たされる
  • 多く普及するデバイス(Raspberry Pi等)を踏み台として⽤いた攻撃

  • 多数のIoT機器を乗っ取ることでの,DDoS攻撃のプラットフォームの構築

  • 例︓2018年の「mirai」

  • 同じ攻撃するなら,多く普及する機器を⽤いた攻撃の⽅が(攻撃者にとって)有利な理由,とは︖

  • とくれば「攻撃者側も同じ環境を⼊⼿・構築しやすい」「ボットネット構築に好都合」

  • 最近の攻撃⼿法例

  • ShadowHammer

    • 更新ファームウェアに乗じたマルウェアの配付
    • メーカの正規のディジタル証明書付きで配付されてしまった
    • レーザ光線を⽤いたマイクの遠隔操作
  • 通信ネットワークと絡めた着眼点

    • IoT機器がRESTの通信に耐えられるか
    • IoT機器に向く通信プロトコル等
      • MQTT(Message Queuing Telemetry Transport),ZigBee,Bluetooth,IPv6
    • IoT機器の認証(Wi-Fi,技適,VCCI等)
    • 遠隔地の機器との回線
      • ⾃前のLPWAか,業者によるサービス(「SORACOM Air」等)の利⽤か
    • 通信速度が⾮対称の回線(ADSL等)で,⼤量のIoT機器を管理したい場合,アップロード側の帯域が不⾜する
    • メインの処理を,本体で⾏うかクラウド(サーバ)側に投げるかの判断も必要
    • ということは,セキュリティに関わる重い処理も,本体でさせるかクラウド(サーバ)側に投げるかの判断が必要
  • その他,IoTならではの着眼点

  • 売った後のサポートが⼿薄になりがち

  • ライセンス違反(例︓ハード・ソフトのライセンスが多岐にわたる,例えば画⾯にニュース等を映すとしたら情報提供業者の契約との照合も必要)

  • 情報提供業者やプラットフォームが,IoT機器のライフサイクルに耐えられる事業継続性をもつか(⻑期のサポートを受けられるか)

  • 現地に出向かないとファームウェアの更新ができない仕様だった

  • そもそも管理対象の機器が多かった

  • 開発時にテストの⼯数が増える(例︓画⾯が映らない理由として,少なくともハードかソフトかの切分けが必要)

  • 某国で組み⽴てる,といったオフショアゆえのサプライチェーンリスク

  • 考慮すべきソフトの数や種類が増える

    • OSだけでも,組込みOS・操作端末としてのスマホのOS・Windows・macOS,さらに各OSでライセンスやAPIが異なる

「DX」出題予想

  • DXと好相性の通信プロトコル
    • WebSocket,IFTTT,QUIC,HTTP/2,IPv6
  • “つながる社会”で組織外(協⼒会社等)からの攻撃や情報漏えい

「その他」出題予想

  • 量⼦コンピュータ
    • 実⽤化が早かったのは「量⼦鍵配送」
    • では,「耐量⼦計算機暗号」の出題は︖
      • 本命は「格⼦暗号」だが,その規格が定まるのは3〜4年後の⾒込み
        • 『CRYPTREC暗号リスト』に載るとしても,その後
    • 本⽂中に伏線として「署名・暗号化するデータの保存期間が数⼗年間」「量⼦コンピュータ(特に量⼦ゲート型)の技術向上が⾒込まれる」と書かれ,「なぜ早期に技術動向を調査すべきと判断したのか」とくれば,答の候補は
      • 「データの保存期間が⻑いから」
      • 「採⽤する暗号化アルゴリズムが,量⼦コンピュータによる解析技術に左右されるから」
    • 「FIDO2」の特徴
  • ゼロトラストネットワーク
  • DNS関連
  • 「IPv6」関連(その①)
2
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?