基本情報技術者 テクノロジ系 第7章 セキュリティ

基本情報技術者試験
こちらより

ようやく7章全部できたのでまとめて見ます。

①情報セキュリティと暗号技術

情報セキュリティ

情報セキュリティのCIAととばれる
考慮すべき事柄があります。

機密性

秘密を保

完全性

改竄、破壊を受けない

可用性

権限があればいつでも使える。

情報セキュリティ活動を行う組織

JPCERT/CC(JPCERTコーディネーションセンタ)

セキュリティインシデントの窓口

J-CSIP(サイバー情報共有イニシアティブ)

セキュリティ情報共有体勢

NISC(内閣サイバーセキュリティセンタ)

JVN(japan vulnerability notes)

日本の静寂性情報ポータルサイト

CSIRT

国

暗号方式

共通暗号方式

暗号化と復号に同じ鍵を用いる

公開鍵方式

暗号化と復号に別の鍵を用いる

鍵の危殆化

鍵が盗まれたり
運や総当たりで鍵を当ててしまうなど

危なくなること

②暗号方式

共通鍵暗号方式

復号化と暗号化する鍵を共通にしておく方式

利点: 処理が高速になる
悪天: 相手の数だけ必要になるため鍵の数が膨大になる
　　　総数: n(n-1)/2

AES

共通鍵暗号方式のアルゴリズム
AES-128 が128ビット
AES-256 が256ビット
使用となり
多いほど安全性が増します。

公開鍵暗号方式

ペアとなる2種類の鍵を使用して
暗号化と復号化を行います。

公開鍵

他人に使ってもらうための鍵

暗号鍵

自分だけの秘密にするための鍵

使用例

情婦の秘匿

公開鍵で暗号化、秘密鍵で復号化

署名

秘密鍵で暗号化、公開鍵で復号化

公開鍵暗号方式

RSA

素因数分解を利用した方式

楕円曲線暗号

RSAよリも短く
RSAと同等

セション鍵暗号方式

2種類の鍵暗号方式の利点を組み合わせた方式
ハイブリット暗号方式とも言います。

平たくいうとセション鍵で
共通鍵暗号方式を行っているだけですが

セション鍵そのものを公開鍵暗号方式で
暗号化しているので
安全性が高いということです。

③エンティティ認証技術

パスワード認証やバイオメトリクス認証など
ユーザやホストが本物であるか確認する技術

パスワード認証

正しいパスワードを知っているかで判断する一般的な方法

基本パスワードはパスワードファイルに格納しています。
それだけだと安全性に難があるのでハッシュ値に変換して格納し
必要な時に計算します。

　チャレンジレスポンス認証

毎回サーバ側からパスワードを変更する方法

1,サーバから乱数を送ってくる
2,クライアントが鍵で暗号化する
3,サーバに送って復号する。

要は暗号化する鍵(ソフトウェア)を持ってるか確認する方法

バイオメトリクス認証

指紋、声紋、虹彩、静脈で判断する方法

基本FRRとFARは相反します。

FRR(本人拒否率)

本人でも認証に失敗する確率

喉を痛めているなど

FAR(他人受入率)

他人であっても認証に成功する確率

シングルサイオン(SSO)

一度、認証サーバで認証を受ければ
各サーバでの認証を省略できるシステム

ローカルに置いて、メールやファイルサーバなど
いちいち個別で認証するのが手間なので、このような方法が生まれました。

代表的なのが

kerberos認証や
XML形式のSAMLなど

④メッセージ認証とディジタル認証

メッセージ認証は文書が改竄されてないか検証する

ディジタル認証はメッセージダイジェスト関数(ハッシュ関数)と暗号技術を利用

メッセージダイジェスト認証

ハッシュ関数の一種
文書改竄の確認をする

いくつかの特徴がありますが
出力値が同じであれば入力は同じとして扱います。

ディジタル署名

公開鍵暗号方式で

メッセージ(元の文書)
ディジタル署名(メッセージをダイジェスト化してさらに秘密鍵で暗号化した物)

この二つを送って、送った先で公開鍵で復号して内容を確認する方式

公開鍵証明書と認証局(CA)

公開鍵が確かであると認証するのが
公開鍵証明書

発行する組織が
認証局(CA)

PKI(公開鍵基盤)

CAによってセキュリティレベルを高めた環境のことを言います。

⑤ファイアウォール

パソコンの関所のようなもの

ファイアウォールの設置

外部セグメント：　外側に位置する

公開サーバを設置

内部セグメント：　内部に設置

非公開サーバ、クライアントを設置

DMZ: 内側で公開サーバを設置する箇所を非武装セグメント

　　　中間地点とも言えます。

パケットフィルタリング型ファイアウォール

　　アドレスにとって判別

　　　パケットの
　　　・宛先のIPアドレスとポート番号
　　　・送信元のIPアドレスとポート番号
　　　　によって通信の可否を決める方式

　　　フィルタリングテーブルには
　　　要求と応答を設定

アプリケーションゲートウェイ型ファイアウォール

　　通信しているデータの内容をチェックして通過の可否を決める方式

　　使用にはプロトコルを理解している必要があります。

WAF(Web Application Firewall)

ウェブサーバやウェブアプリケーションへの攻撃を遮断すること

IDS,IPS

運用に当たって
誤検出(フォールスポジティブ)
見逃し(フォールスネガティブ)に注意が必要

IDS

進入検知システム

IPS

進入防止システム

ハニーポット

攻撃手口収集のための
ダミー

ペネトレーションテスト

模擬戦、実際に攻撃を仕掛けて進入を試みるテスト

ファジング

問題が起こりそうなデータ(ファズ)を入力して
セキュリティ上の未知な脆弱性を見つける手法

⑥マルウェア、様々な攻撃

ウイルスなどの悪意あるプログラムのこと

種類と動機

ダークウェブ

通信の匿名化で使えるサイト
犯罪など御用達のアンダーグラウンドサイト

サイバーキルチェーン

サイバー攻撃の段階を7段階で区分すること
見通しをよくして攻撃対策をとる

サイバーテロリズム

情報システムを対象としたテロ

ハクティズム

政治がらみのハッキング活動思想

不正のトライアングル

組織内部で不正行為の3要素

動機、プレッシャ

金銭、評価

機会

メールが確認されてないなど
魔が刺す機会

正当化

不幸があったから
自分はこれやったから、この権利がある

マルウェア

コンピューターウイルス

下記のような機能を持ったプログラムのこと

自己伝染機能

他コンピューターに伝染

潜伏機能

条件成立まで身を隠す

発病機能

不正処理を実行

トロイの木馬

プログラム中にウイルスを密に忍ばせておく

スパイウェア

ユーザー情報を盗み出す

キーロガー

キーボードで入力した情報を盗むだす

ボット

指令サーバから指示を受け取り
不正を行う

ランサムウェア

データを人質にして、代金など請求するソフトウェア

ルートキット

不正進入したコンピューター内で隠蔽工作を行う
バックドアなど

ウイルス対策ソフトウェア

パターンマッチング方式

定義ファイルと合致するウイルスを検出

ヒューリスティックスキャン方式

不正処理から検出

攻撃の種類

パスワード解読(パスワードクラッキング)

基本総当たりで行う
辞書だったり、他の手口で得たパスワードリストだったり

フィッシング

偽メールや、偽ウェブサイトなど

ソーシャルエンジニアリング

上司や管理部門になりすましてアドレスを入手

サラミ法

わからないとうに少しずつ盗みとる方法

スキャベンジング

ゴミ箱あさり

ポートスキャン

前ポートに順番に接続を試みる

DoS(denial of servise)攻撃

サーブス不能攻撃

サーバに大して大量のメールを送るなど

バッファオーバフロー

大きなトロイの木馬

DNSキャッシュポイズニング

DNSキャッシュサーバに偽のドメイン情報を入力する

SQLインジェクション

入力データとして、SQL文の一部をいれる

クロスサイトスクリプティング(XSS)

標的サイトに不正javascriptプログラムを送信するやり方

サニタイジング処理

XSS対策

クロスサイトリクエストフォージェリ(CSRF)

ハイパーリンクなどの悪用
意図せずに商品の購入などさせるなど

ディレクトリトラバーサル

相対パスでファイル名を入力することで、非公開のファイルを盗む出す

標準型攻撃

電子メールを用いた方法

ドライブバイダウンロード

webサイトの閲覧などで
ユーザに気づかせないようにPCにマルウェアをダウンロードする方法

水飲み場型攻撃

日常利用サイトを改竄してマルウェアを仕掛ける方法

電子メールの第三者中継

メール送信を中継するのを
オープンリレーといいます。