備忘録No.4です。
セキュリティ
情報セキュリティの3要素
| 要素 | 説明 | 対策 |
|---|---|---|
| 機密性(Confidentiality) | 情報が定められたルール通りに保護され、アクセス権を持っている人のみが情報にアクセス出来ること。 | ユーザ認証 暗号化 |
| 完全性(Integrity) | 情報の改竄を防ぎ、そのまま正しい状態で維持されること。 | 電子署名 改竄検知 |
| 可用性(Availability) | 必要に応じて情報にアクセス可能なこと。 | 負荷分散 冗長構成 |
共通鍵暗号方式
| アルゴリズム | 説明 |
|---|---|
| DES | DES(デス:Data Encryption Standard)は1976年に米国の国家暗号企画に最小されたアルゴリズム。鍵長が56bitと短く、現在では暗号強度がやや弱い。DESを3回繰り返すことで強度を高める3DESも有る。 |
| RC4 | RC4(Ron's Code 4)はWEPやWPAなどで利用されている。鍵長は様々。 |
| IDEA | IDEA(International Data Encryption Algorithm)はPGPなどで利用されている。鍵長は128bit。 |
| AES | AES(Advanced Encryption Standard)は米国の新暗号規格として2001年採用された暗号アルゴリズム。鍵長256bit。WPA2などで利用。 |
ストリーム暗号とブロック暗号
| # | ストリーム暗号 | ブロック暗号 |
|---|---|---|
| 暗号化の単位 | 1bytもしくは1bitごと | 64bitや128bitなどの固定長 |
| アルゴリズム | RC4 | AES, DES |
| 特徴など | 暗号化前と暗号化後のデータサイズが同じ 音声通信などリアルタイム性が必要なものに利用。 |
実装が比較的容易で、多数のアルゴリズムが研究されている。 伝送誤りが有った場合、ブロック全体に影響が及ぶ。 |
IPsec
| プロトコル | 説明 |
|---|---|
| AH(Authentication Header) | 認証ヘッダ。IPパケットの認証と改竄を防ぐ機能を持つ。 |
| ESP(Encapsulating Security Payload) | 暗号ペイロード。IPパケットの認証と改竄防止及び暗号化機能を持つ。 |
| IKE(Internet Key Exchange) | 自動鍵交換プロトコル。IPsecのネゴシエーションを自動化し、暗号化するために必要な鍵を安全に交換する。 |
HTTPにおける認証
| 認証 | 説明 |
|---|---|
| ベーシック認証 | 平文による認証 |
| ダイジェスト認証 | チャレンジ・レスポンス方式による認証 |
ソーシャルエンジニアリング
| 手口 | 対策 |
|---|---|
| 管理者の振りをしてして偽電話を掛ける | 電話での問い合わせで認証情報を教えない。 |
| パスワード入力を覗く | パスワード入力時には背後に気を付ける。 |
| 席を離れた際にPCを操作する | ログオフや画面ロックをして席を立つ。 |
| ゴミ(メモやCDなどのメディア)を漁って情報を探す | シュレッダーを使用。 |
| 廃棄コンピュータのHDDから情報を復元する | 市販の専用ソフトウェアでデータを完全に消去する。 |
脆弱性情報提供サイト
| サイト | 説明 |
|---|---|
| US-CERT Vulnerability Notes Database (http://www.kb.cert.org/vuls) |
米国のUS-CERTが発表している脆弱性情報データベース |
| NVD(https://nvd.nist.gov/) | 米国のMITRE社が発表している脆弱性情報データベース。CVE番号という脆弱性の識別IDで有名。 |
| JVN(http://jvn.jp/) | JPcertコーディネーションセンターとIPAが共同で運用している脆弱性対策のための情報サイト) |
| Microsoft Security Response Center | MS製品のセキュリティ対策情報サイト |
WPA/WPA2における認証
| 認証モード | 説明 |
|---|---|
| Enterpriseモード | IEEE 802.1X規格である。ユーザ認証に専用認証サーバ(RADIUS)が必要。 |
| Personalモード(PSK) | パスフレーズという文字列をアクセスポイントとクライアントに設定することで認証。家庭内LANではこちらを利用するのが良い。 |
メールプロトコルの暗号化
| 規格 | ポート番号 | 特徴 |
|---|---|---|
| POPS | TCP 995 | POP3をSSL/TLSで暗号化 |
| IMAPS | TCP 993 | IMAP4をSSL/TLSで暗号化 |
| SMTPS | TCP 465 | SMTPをSSL/TLSで暗号化 |
| STARTTLS | TCP 25(SMTP) TCP 110(POP3) |
SMTPやPOP3の通信を平文で開始し、双方がSTAARTTLSに対応していた場合は暗号化通信に切り替え。 |
メールの暗号化
| 暗号化方法 | 説明 |
|---|---|
| PGP | 認証局を利用せず、「信用の輪」によって信頼性が担保された公開鍵を使用する暗号化規格。認証局を利用しないため無料で利用できるが、「信用の輪」の仕組みは不特定多数が参加するコミュニティには適さない。 |
| S/MIME | CA(認証局)による電子証明書を利用したメール本文の暗号化規格。基本的には有料の電子証明書を購入する必要が有る。最近では一部サービスで無償の電子証明書を発行するものも有る。 |