本日の勉強内容​

• マルウェアについて
• マルウェアを検出する方法

マルウェア​

利用者の意図に反する不正な振舞い（情報収集・侵入・妨害・破壊など）をするように作られたプログラムやスクリプト。

マルウェアへの対策​

メール受信時​

• メール検査型のAV／アンチスパムツールを使用
• メール検査型のサンドボックス製品を使用

Webアクセス時​

• コンテンツフィルタリングツール、Web検査型のAVツールを使用
• 認証機能やアクセス制御機能を備えたプロキシサーバの使用
• Web検査型のサンドボックス製品を使用
• RBIの使用

感染したマルウェアによる外部への不正通信対策​

• RBIの使用
• FWで許可されていない外部への通信を遮断
• IPSを使用

エンドポイント対策​

• すべてのコンピュータにAVツールを導入
• ソフトウェアの最新化、パッチ適用
• パーソナルFWの使用
• EDR製品の使用
• ファイル検査型サンドボックス製品を使用
• AD管理端末での管理業務以外の使用を禁止

運用管理面​

• マルウェア検知時の連絡体制、対応手順を明確にし周知
• ドメイン管理者権限を付与するアカウントを最小化
• 業務と無関係なソフトウェアの導入／使用を禁止
• 外部から入手したファイルや共有するファイルはAVツールで検査後に使用
• メール、Web、記憶媒体などでファイルを送る場合は事前にAVツールで検査

PUA（Potentially Unwanted Application：潜在的に迷惑なアプリケーション）​

マルウェアほどの悪質さはないものの適切とは言い難く、多くのユーザにとっては不要なアプリケーション。

• アドウェア
• リモート管理ツール
• 脆弱性検査ツール

コンピュータウイルス​

自己伝染機能、潜伏機能、発病機能のいずれか一つ以上をもち、意図的にデータの消去、改ざんなどを行うように作られた悪質なプログラム。
狭義では、Word、Excelなど何らかの宿主（感染の対象となるプログラムなど）に感染して動作するものを指す。

自己伝染機能​

自分自身をほかのプログラムファイルにコピーすることにより、ほかのシステムに伝染する機能。

潜伏機能​

ウイルスが発症するための特定時刻や一定時間、処理回数などの条件をあらかじめ記憶させ、それらの条件が満たされるまで症状を出さない機能。

発病機能​

プログラムやデータなどを破壊し、コンピューターに予期せぬ動作を起こさせる機能。

ワーム​

コンピュータウイルスの一種。宿主を必要とせず自己増殖する。

トロイの木馬​

一見正常に動作しているように見えるが、裏で侵入者のバックドアとして機能、ユーザのパスワードを記録するなど、不正な振舞いをするように巧妙に作り替えられたプログラム。バックドアとして機能するトロイの木馬はRAT（Remote Access Trojan / Remote Administration Tool）とも呼ばれる。

RAT​

攻撃者の遠隔操作によって任意のコマンドを実行、プログラムやデータをアップロード、ダウンロード、実行、削除を行うなど、非常に大きな脅威となる。

対策​

• 基本的なマルウェア対策
• 既知の不正プログラムのハッシュ値と稼働中のプログラムのハッシュ値を比較
• FW、プロキシサーバのログや専用のログ収集機器を用いて分析
• トランザクション署名（MITB対策）
• 発見された際には、ハードディスクの初期化、クリーンインストール

悪意あるモバイルコード​

モバイルコードのうち、OSやアプリケーションの脆弱性を突いたり、機能を悪用するなどしてクライアントPC上で不正な振舞いをするもの。

モバイルコード​

Javaアプレット、ActiveXコントロール、JavaScriptなどのように、サーバからクライアントに動的にダウンロードして実行されるプログラムやスクリプト。

対策​

• ブラウザの設定やパーソナルFW
• IPS、URLフィルタリングツールの使用

スパイウェア​

一般ユーザのPC上で活動し、本人の知らないうちに趣味嗜好、個人情報などを収集し、インターネット上の特定のサイトに送るプログラム。
外国製のフリーウェア、アドウェア、シェアウェアなどに多く含まれている。

アドウェア​

オンライン広告を自動的に生成し、ユーザーが広告をクリックしたり見たりするたびに開発者に収益をもたらすソフトウェア。
広告を表示する代わりに無料で使えるツール。

シェアウェア​

ソフトウェアの配布・利用許諾方式の一つ。取得と初期の使用は無償だが、利用期間や機能に一定の制約があり、これを解除して継続的に使用したい場合に料金の支払いを求めるもの。

対策​

• パターンマッチング型、振舞い検知型のAVツール
• URLフィルタリングツール、Web検査型のAVツール

ボット​

ワームの一種。攻撃者によって遠隔地から操作ができ、機能拡張なども行うよう作られた悪質なプログラム。

感染後の動作​

ネットワークを通じて自ら外部のC&Cサーバにアクセスし、指示を受けて次のような活動を行う

• スパムメールの送信
• DoS攻撃
• 感染対象となる脆弱なコンピュータの調査
• 他のコンピュータへのネットワークを通じた感染
• 自分自身のバージョンアップ（機能追加など）
• 感染したコンピュータ内でのスパイ活動

対策​

通信経路上​

• FWを用いてIRC、IM、P2Pなど、不要なサービスやポートへのアクセスを遮断

クライアント環境​

• IRCやIM、P2Pなど、業務に無関係なソフトウェアの使用を禁止
• OSのFW機能や市販のパーソナルFWを使用

IM​

インスタントメッセンジャ。LINEなど。

IRC​

Internet Relay Chat
1988年に作られたインターネット用のチャット方式。接続するにはLimeChatなどのソフトウェア(IRCクライアント)をインストールする必要がある。

ランサムウェア​

感染したコンピュータのファイルやハードディスクを勝手に暗号化するなどして正常に利用できない状態にした後、それを解除するための身代金の支払いを要求するタイプのマルウェア。

ランサムとは​

Ronsom：身代金を意味する単語。
暗号資産（Bitcoin）などで支払うよう要求されるケースが多い。

RaaS（Ransomware as a Service）​

SaaSのように一定の月額費用を支払うことで手軽に利用できるランサムウェア。

対策​

• PC本体に重要なファイルを保存しない
• ファイルの定期的なバックアップ
• バックアップしたファイルはアクセス可能な範囲に置かない
• バックアップから正常に復元できるかを事前に確認

ランサムウェアの種類によっては、セキュリティベンダ等からすでに復元方法が公開、復元ツールが提供されている場合もある。

ドロッパ​

内部に不正なプログラムを内包、コンピュータに侵入後不正なプログラムを投下して活動するタイプのマルウェア。

対策​

• 基本的なマルウェア対策

標的型攻撃​

特定の組織や団体等をターゲットとし、その取引先や関係者、公的機関などを騙ってマルウェアや不正なリンクが埋め込まれたメールを送信することで相手を騙し、情報を盗もうとする手法。

APT（Advanced Persistent Threats）​

IPAでは「新しいタイプの攻撃」と呼んでいる。
特定の組織を標的として様々な既存攻撃を組み合わせ、長期間にわたって気づかれないように巧妙に繰り返される執拗なサイバー攻撃によって、組織の機密情報や個人情報を密かに盗み出す攻撃。

ファイル偽装の手口​

• アイコンの偽装：実行形式でありながら、文書ファイルなどのアイコンで表示
• ファイル名の偽装：本来の拡張子の前に空白を並べる。RLO（右から左へ読むように変更する制御文字）により偽装。

やり取り型の標的型攻撃​

最初に問い合わせ等を装った無害なメールを送り、何度かやり取りしたのちにマルウェア付きのメールを送り付ける手口。

水飲み場型攻撃​

ターゲットとなる組織の社員、職員等が日頃頻繁に利用しているWebサイトを改ざんすることで、PCをマルウェアに感染させる手口。

サプライチェーン攻撃​

標的とする企業の子会社や取引先企業にサイバー攻撃を仕掛け踏み台にし、その後本来の標的企業へサイバー攻撃を仕掛ける手口。
一般的に本来の標的となりやすい企業（大企業など）に比べ、子会社や小規模な取引先企業のセキュリティ対策は遅れていることが多い。また、子会社と親会社間のアクセス制限が適切に行われていない場合もある。

対策​

運用管理面​

• 標的型攻撃に対する従業員の意識やリテラシーの工場
• 標的型攻撃の迅速な情報集約と対応指示ができる体制やルールの整備

技術面での対策​

• 入口対策の実施
• 出口対策／ラテラルムーブメント対策の実施

Emotet（エモテット）​

主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信されており、ファイルを開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がる。また、メール本文中のリンクをクリックすることで悪性なExcelやWordファイルがダウンロードされたり、アプリケーションのインストールを装いEmotet感染をねらうケースも観測されている。

メールを盗んで悪用するのが特徴で、実在するメールへの返信を装ったり、新型コロナウイルス感染症のような時事的な内容を取り上げたりすることで受信者を騙そうとする。

対策​

システム担当者向け​

• メールの通信経路上での対策
• エンドポイントでの対策
• クラウドメールサービスなどを利用している場合は、二段階認証を導入

PC利用者向け​

• 送信者のメールアドレス、メール本文、リンク先、添付ファイルなどに不審点がないか注意
• 「コンテンツの有効化」をクリックしない

ファイルレス攻撃​

メールに実行形式のマルウェア本体は添付せず、".lnk"ファイルを添付して送付。メール受信者が".lnk"ファイルを実行することで、PowerShellから不正な命令を実行し、外部のC&Cサーバなどから不正なプログラムをダウンロード、実行する。不正なプログラムはファイルとして保存されず、レジストリを更新することで自身を保存。攻撃者はその後もC&Cサーバを通じてPowerShellを悪用。

対策​

• Windows Remote Manager（WinRM）を無効にし、ネットワークを介してPowerShellが実行されるのを防ぐ
• PowerShellのスクリプトファイル（.ps1）の実行ポリシをRestrictedに設定
• AppLockerによるアプリケーション制御ポリシで"PowerShell.exe"の実行を禁止
• PowerShellで実行したコマンドやスクリプトをイベントログに出力するよう設定

マルウェアを検出する手法​

EDR（Endpoint Detection & Response）​

PC、サーバ等のエンドポイント環境で発生している様々な事象を分析することで、マルウェアの侵入やその後の振舞い等を検知し対処する技術。

ダークネット​

インターネット上で到達可能であり、かつ特定のホストに割り当てられていない（未使用）IPアドレス空間。

マルウェアが感染対象と探査するパケットや、感染対象の脆弱性を攻撃するためのパケット、IPアドレスを詐称したDDoS攻撃を受けているホストからの応答パケットが流れる。ダークネット上にセンサを設置しそれらを観測することで、マルウェアの存在やサイバー攻撃の被害状況等を把握することが可能。

メモ​

ポリモーフィック型ウイルス​

感染するごとに異なる暗号かぎを用いて自身を暗号化することによってコードを変化させ、パターンマッチング方式のAVツールソフトで検知されないようにするタイプのウイルス。

本日の勉強内容​

• クロスサイトスクリプティング（XSS）
• SQLインジェクション
• OSコマンドインジェクション
• HTTPヘッダインジェクション
• メールヘッダインジェクション
• ディレクトリトラバーサル攻撃
• サーバサイドリクエストフォージェリ（SSRF）

クロスサイトスクリプティング（XSS）​

ユーザの入力データを処理するWebアプリケーションや、JavaScript等に存在する脆弱性を悪用し、ユーザのPC上で不正なスクリプトを実行させる攻撃。
Webサイトを閲覧したユーザの個人情報が盗み出される、クライアントPC上のファイルが破壊される、バックドアが仕掛けられるなどの被害。

反射型XSS​

ユーザからのリクエスト内に含まれるスクリプトに相当する文字列を、WebアプリケーションがレスポンスとしてWebページ内に実行可能なスクリプトとして出力してしまう脆弱性。

格納型XSS​

ユーザからのリクエスト内に含まれるスクリプトに相当する文字列を、Webアプリケーションの内部に永続的に保存することにより、当該文字列をWebページ内に実行可能なスクリプトとして出力してしまう脆弱性。

DOM-based XSS​

Webページに含まれる正規のスクリプトにより、動的にWebぺーじを捜査した結果、意図しないスクリプトをWebページに出力してしまう脆弱性。

対策​

Webアプリケーションでの対策​

• レスポンスヘッダのContent-Typeフィールドに文字コードを指定
• タグの属性値を必ずダブルクォートで囲む
• タグの属性値等に含まれるメタキャラクタのエスケープ処理を行う（サニタイジング）

HTTPレスポンスヘッダによる対策​

• X-XSS-Protection：反射型XSS攻撃を検出したときにページの読み込みを停止
• Content-Security-Policy：スクリプトの読込を許可するドメインをポリシとして指定することで、悪意のあるスクリプトが読み込まれるのを防ぐ。

HttpOnly属性によるCookieの漏洩対策​

発行するCookieにHttpOnly属性を設定することで、Cookieの適用範囲をHTTP/HTTPSに限定し、ブラウザ等で実行されたスクリプトが"docment.cookie"を用いてアクセスすることを禁止する。

通信経路上での対策​

WAFを用いて反射型XSS脆弱性を突いた攻撃を遮断

DOM-based XSSの対策​

• docment.writeやinnerHTMLを使用しない
• 代わりにcreateElementやcreateTextNode等を用いる
• 使用する場合はエスケープ処理を組み込む

メタキャラクタ​

Perl, Java, ECMAScriptなどのスクリプト言語やプログラム言語で用いられる正規表現、UNIXで用いるシェル、SQL文などで、何らかの特別な働きをする文字。

次のような種類がある

\ | ( ) [ ] { } < > ^ $ * + . & ; ` ' ~ "

SQLインジェクション​

ユーザの入力データをもとにSQL分を実行・表示するWebページにおいて、不正な入力をすることでデータベースの操作等を行う手法。

原因​

• ユーザの入力データのチェック不備
• データベースのアクセス権が必要以上に与えられている
• Webサーバのエラーメッセージが詳細すぎる

対策​

• バインド機構の使用
• 入力データのエスケープ処理
• クライアントに詳細なエラーメッセージを送らない
• WAFを用いてSQLインジェクションを遮断
• Webアプリからのクエリを必要最小限の権限のみを持つアカウントで処理

OSコマンドインジェクション​

ユーザの入力データをもとにOSコマンドを実行するWebページにおいて、不正な入力をすることで任意のファイル読出し、変更、削除、パスワードの不正取得を行う手法。

対策​

• OSコマンドの呼び出しが可能な関数を極力使用しない
• 入力データに使用可能な文字種や書式などのルールを明確に
• 上記のルールに従って入力データをチェック
• ルールに従わないデータはエラーとして扱う（エスケープ処理は行わない） 　→OSコマンドのエスケープ処理は複雑になりがちなため、一切処理しない方が安全
• WAFを用いてOSコマンドインジェクションを遮断

HTTPヘッダインジェクション​

ユーザの入力データをもとにHTTPメッセージのレスポンスを生成するWebページにおいて、不正な入力をすることで任意のヘッダフィールドやメッセージボディを追加、複数のレスポンスに分割する（HTTPレスポンス分割）手法。

HTTPヘッダインジェクションにより、ユーザのブラウザ上に偽の情報を表示、不正なスクリプトの組み込み、任意のCookieの発行、キャッシュサーバのキャッシュを汚染する、などの攻撃が可能。

対策​

• HTTPレスポンスヘッダ出力は、ヘッダ出力用のAPIやライブラリを使用
• ユーザ入力データに対して改行コードのチェック、削除
• Cooki発行の際にはURLエンコードを確実に行う

メールヘッダインジェクション​

ユーザの入力データをもとにメールを送信するWebページにおいて、不正な入力をすることで意図していないアドレスに迷惑メールを送るなど、メール送信機能を悪用した攻撃手法。

対策​

• メールヘッダを固定値にする
• メール送信用のAPIを使用
• hiddenフィールド等、改ざんが容易な場所にメール送信先のアドレスを設定しない
• 入力データに対して改行コードのチェック、削除

ディレクトリトラバーサル攻撃​

ユーザの入力データをもとにWebサーバ内のファイルにアクセスするWebページにおいて、ファイル名の先頭に上位のディレクトリを意味する文字列を用いることで、公開を意図していないファイルに不正にアクセスする攻撃手法。

対策​

• パス名からファイル名のみを取り出すbasename()等の使用
• ファイルへのアクセス権を正しく設定
• ファイル名を指定した文字列に不正な文字列が含まれていないかをチェック、エラー処理

サーバサイドリクエストフォージェリ（SSRF）​

Webサーバ等の公開サーバを通じ、通常ではアクセスできない内部のサーバや、公開サーバと連携している別のサーバ等に攻撃を仕掛ける手法。

対策​

• 公開サーバから内部サーバ等へのリクエスト内容のチェック
• SQLインジェクション、OSコマンドインジェクション、ディレクトリトラバーサルの脆弱性チェック、対処

メモ​

フィッシング（Phishing）​

銀行、クレジットカード会社、ショッピングサイトからの連絡を装ったメールを送付、本物のサイトに酷似した悪意あるページのリンクを貼り付け、口座番号やクレジットカード番号、パスワードなどを入力させて盗んでしまうという詐欺行為。

ユーザのURLタイプミスを狙って偽のサイトを立ち上げるケース、XSS脆弱性を利用して偽の入力項目をWebページに作り出すケース、DNSキャッシュポイズニング攻撃によって誘導するケースなどもある。

標的型攻撃​

明確な目的を持つ攻撃者が、特定の組織や団体等をターゲットとして、その取引先や関係者、公的機関など騙ってマルウェアや不正なリンクが埋め込まれたメールを送信することで情報を盗む手法

クリックジャッキング攻撃​

Webサイトのコンテンツ上にiframeなどで透明化したレイヤに標的サイトのコンテンツを重ねて配置することにより、利用者を視覚的に騙して不正な操作を実行させる手法。

クリプトジャッキング​

悪意を持った第三者がコンピューターをハイジャック、またはWebサイトを通じて、暗号通貨を無断でマイニングする行為。

SEOポイズニング​

検索エンジンの順位付けアルゴリズムを悪用し、閲覧者をマルウェアに感染させるような悪意あるサイトを検索結果の上位に表示させるようにする行為。

SEO（Search Engine Optimization：検索エンジン最適化）​

対象サイトのHTMLに検索キーワードを効果的に埋め込むなどして、検索結果の上位に表示されるようにすること。

本日の勉強内容​

• セッションハイジャック
• DNSサーバに対する攻撃
• DoS攻撃

セッションハイジャック​

目的​

クライアントとサーバの間に割り込み、セッションを奪い取る。

• サーバになりすます
  →クライアントの機密情報を盗む。不正なサイトに誘導する。
• クライアントになりすます
  →不正なリクエストの発行。管理者権限の奪取。機密情報の閲覧。情報の改ざん。
• 両者になりすます（Man-in-the-middle Attack：中間者攻撃とも）
  通信データを盗聴しつつ不正なリクエストやレスポンスを紛れ込ませ、セッションをコントロールする

TCPにおけるセッションハイジャック​

コネクション確立時の初期シーケンス番号を推測（あるいは盗聴）し、偽装したパケットによって正規の相手ホストになりすます。
一部の古いOSでは初期シーケンス番号生成の乱数に規則性があり、そこから推測できてしまうという脆弱性があった。

UDPにおけるセッションハイジャック​

クライアントのからのリクエストに対し、正規のサーバよりも先にレスポンスを返すことでセッションハイジャックを行う。

Webサーバとクライアント間のセッションハイジャック​

URL、Cookie、hiddenフィールドなどにセットされたセッション管理情報を推測（あるいは盗聴）し、セッションハイジャックを行う。
単純なセッションIDの使用、セッション管理情報を暗号化していない、XSS脆弱性などが原因となる。

認証サーバとクライアント間のセッションハイジャック​

認証サーバになりすましてクライアントからのアクセス要求を受付、セッションハイジャックを行う。

偽装ARPによるセッションハイジャック（ARPポイズニング／ARPスプーフィング）​

偽のARP応答パケットを送信することでARPキャッシュを買い替え、セッションをハイジャックする。

セッションフィクセーション​

セッションIDを含んだURLをターゲットに送り付けることで、そのIDで意図的にセッションを確立させ、そのセッションをハイジャックする。
ログイン画面表示時に発行されたセッションIDをログイン後も使用している、URL Rewriting機能が有効になっているなどが原因。

クリスマスツリースキャン​

FIN、PSH、URGすべてのフラグをONにしたパケットを送り、応答からポートの状態を判別。

セッションハイジャックへの対策​

ポートスキャン自体はただの調査行為。それのみでシステムへの侵入やデータ破壊が行われるわけではない。

予防・防止​

TCP・UDP

• ソフトウェアの最新化、パッチ適用
• TLS、IPsec、SSHなどの使用
• 脆弱性検査の実施

Webサーバとクライアント間

• TLSを使用
• セッション管理システムを自社で開発しない
• 自社で開発する場合は推測困難なセッションIDを生成
• Webアプリケーションに対する脆弱性検査の実施
• リバースプロキシやWAFの設置

認証サーバとクライアント間

• TLSの使用

偽装ARP

• ハブを物理的に保護し、不正な機器の接続を物理的に防ぐ
• 不正PC接続検知システム
• ARPポイズニングを検知・防止する機能を持った製品の使用

セッションフィクセーション

• WebサーバのURL Rewriting機能を無効に
• ログイン後にセッションIDを発行しなおす

検知・追跡​

• NW監視型IDS、ホスト監視型IDS、IPS、リバースプロキシ、WAFなどを用いて検知
• 不正PC接続検知システム
• ホストのログから検知（TCPコネクトスキャンの場合）

回復​

• 被害状況の調査、データ復旧作業
• 脆弱性の特定、対策の実施

DNSサーバに対する攻撃​

不正なゾーン転送要求​

プライマリサーバとセカンダリサーバ間の登録内容を同期するための、ゾーン転送（登録内容の一括転送）機能に特に制限がない場合に、
その脆弱性をりようすることでセカンダリサーバ以外（攻撃者など）が、ターゲットのネットワーク構成やサーバ構成の情報を手に入れることができる。

DNSキャッシュポイズニング攻撃​

DNSサーバから上位サーバ（権威DNSサーバ）への名前解決要求に対し、応答が返る前に悪意あるDNSサーバが不正な名前解決情報を返しDNSキャッシュに登録させる攻撃。
不正なサイトにユーザが誘導され、機密情報が盗まれるなどの被害を受ける。

カミンスキー攻撃（Kaminsky's attack）​

DNSキャッシュポイズニング攻撃の一種で、従来の手法よりも効率的。
存在しないドメイン名の名前解決要求を行い、その応答を上位サーバになりすまして行うことでDNSキャッシュに登録させる。

DNSリフレクション攻撃（DNS apm 攻撃）​

反射・増幅型DDos攻撃の一種。他サイトの攻撃のためにDNSサーバ（キャッシュサーバ）を踏み台に利用する。
攻撃対象のIPアドレスを送信元としたクエリを多数のDNSサーバあてに大量に送信し、その応答によってサービス不能状態に陥れる。

DNS水責め攻撃（ランダムサブドメイン攻撃）​

オープンリゾルバとなっているDNSキャッシュサーバに対し、攻撃対象ドメインのランダムなサブドメイン名を大量に問い合わせ、権威DNSサーバを過負荷にさせる攻撃。

オープンリゾルバ​

アクセス制限を行わず、インターネット上のどこからでも名前解決の問い合わせに応答する状態になっているキャッシュDNSサーバ。

管理者の認識不足やサーバの設定ミスがおもな原因。ルータなどのネットワーク機器にキャッシュDNSサーバの機能があり、それらが意図せずオープンリゾルバとなっているケースもある。

DNSトンネリング​

予防・防止​

• DNSサーバのソフトウェアの最新化
• DNSの送信元ポート番号をランダムに
• DNSSECの使用
• ゾーン転送をセカンダリサーバのみに許可
• ゾーン転送するデータ範囲を最小限に
• 脆弱性検査の実施

検知・追跡​

• DNSキャッシュサーバが不要なクエリを拒否するようアクセス制限

回復​

• 脆弱性の特定

DoS攻撃​

Denial of Serviceの略。サービス不能攻撃、サービス拒否攻撃、サービス妨害攻撃とも。

ターゲットサイトに対して不正なパケットや膨大なパケットを送り付けることで、サービスやネットワーク全体が正常動作できない状態に陥れる行為。

SYN Flood攻撃​

TCPの接続開始要求であるSYNパケットを送信元IPアドレスを偽装した状態で大量に送り付け、SYN/ACKを返したホストがACKを待っている状態を多重に作り出すことで、ホストのシステムリソースを使いつくしてサービス不能状態に陥れる。IPアドレスが偽装されているため攻撃者の特定は困難。

対策​

• SYN CookieやSYN Floodプロテクション機能の利用
• コネクション確立時のウェイトタイムを短く
• SYNパケットの帯域制限

SYN Cookie​

SYNパケットで得た情報をハッシュ化し、SYN+ACKパケットのシーケンス番号に含めることで、正規クライアントのみに記憶領域を割り当てる機能。

UDP Flood攻撃​

ターゲットホストのUDPポートに対し、サイズの大きなパケットを大量に送り続ける（あるいはサイズの非常に小さなパケットを大量に送り続ける）手法。
UDPはコネクションレスであり送信元アドレスの偽装は容易、攻撃者の特定は困難。

対策​

• 不要なUDPサービスの停止
• 不要なUDPサービスへのアクセスをFWでフィルタリング
• UDPパケットの帯域制限

ICMP Flood攻撃（Ping Flood攻撃）​

ターゲットホストに対してサイズの大きなICMP echo request（ping）を大量に送り続ける手法。
ICMPもコネクションレスであり送信元アドレスの偽装は容易、攻撃者の特定は困難。

対策​

• ICMPパケットの遮断
• ICMPパケットの帯域制限

smurf攻撃​

攻撃対象のIPアドレスを送信元アドレスとしたICMP echo requestを、踏み台とするネットワークセグメントのブロードキャストアドレスあてに送信し、大量の応答によってネットワークを輻輳状態にしサービス不能状態に陥れる。

対策​

• ICMPパケットの遮断
• ICMPパケットの帯域制限
• ブロードキャストアドレスあてのパケットを遮断（踏み台にならないため）

Connection Flood攻撃​

攻撃対象に対して次々とコネクションを確立させ、大量のプロセスを起動しソケットを占拠する。コネクション数に制限がない場合はシステムリソースが枯渇。
コネクションを確立するため送信元アドレスの偽装はほぼ不可能だが、攻撃対象へ影響を与える可能性は大きい。

対策​

• ソケットオープン数やTCPキュー割り当て数を増やす
• 同じIPアドレスからの同時接続数を制限
• ホストを冗長構成にし、ロードバランサによる負荷分散を行う
• 攻撃元アドレスからのパケットを遮断

DDos攻撃​

Distributed Denial of Service attack：分散型サービス不能攻撃

インターネット上にある多数の踏み台サイトにあらかじめ仕掛けておいた攻撃プログラムから、一斉にDoS攻撃を仕掛け攻撃対象のネットワーク帯域をあふれさせる。

対策​

• 十分な帯域を持つネットワークを使用
• 公開サーバ・経路上のネットワーク機器の処理能力を増強
• 送信元アドレスが明らかに偽装されているパケットや、ブロードキャストアドレスあてパケットをFWで遮断
• 不要なICMP、UDPパケットの遮断、帯域制限
• CDNサービスの利用
• DDoS攻撃対策サービスの利用

CDN（コンテンツデリバリネットワーク）​

Webサイトの静的コンテンツを複数のCDNサーバにキャッシュ、分散配置することで、表示速度の高速化や負荷分散を図る技術。

反射・増幅型DDoS攻撃​

各プロトコルの基本的な通信手順やアプリケーションの仕様において生成される様々な応答パケットを大量に発生させてDoS攻撃を行う。
近年ではNTPサーバを踏み台とするNTPリフレクタ攻撃が多く観測されている。NTPリフレクタ攻撃ではmonlistコマンドが使われている。

NTP（Network Time Protocol）​

正しい時刻情報を取得・配信しているサーバ。

monlist​

NTPサーバが過去にやり取りした最大600件のアドレスを回答するコマンド。

対策​

• 攻撃対象となる可能性のあるサーバを外部に公開する必要がない場合は、適切なアクセス制限を施しインターネットからのアクセスを遮断
• 攻撃に悪用されやすいコマンド等を無効に
• 十分な帯域を持つネットワークを使用

IoT機器を使用したDDoS攻撃​

IoT機器の脆弱性を悪用して感染を広げ、C&Cサーバからの指令を受けてDDoS攻撃を行う。

マルウェア「Mirai」​

ランダムなIPアドレスを生成してtelnetポートにログインを試行し、工場出荷時の脆弱なパスワードが設定されたIoT機器に感染を拡大した後、C&Cサーバからの指令を受けて大規模なDDoS攻撃を行う。

EDoS攻撃​

Economic Denial of Service attack, Economic Denial of Sustainability attack）

ストレージ容量やトラフィック量に応じて課金されるクラウドの特性を悪用し、経済的な損失を狙ってリソースを大量消費させる攻撃。
現在有効な対策はない。

本日の勉強内容​

• EDoS攻撃
• SAML認証
• パスワードスプレー攻撃
• クリックジャッキング攻撃
• リスク回避
• サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）
• EAP-TLS
• ISO/IEC 15408
• ビヘイビア法
• TFTP
• SNMP
• ASN.1
• アドミッション制御、シェーピング、ポリシング
• JIS X 0160:2021（ソフトウェアライフサイクルプロセス）
• CPRM、DTCP、HDCP、CPPM
• JIS Q 20000-1（サービスマネジメント要求事項）
• 請負契約（指揮命令について）

本日の勉強内容​

• ポートスキャン
• バッファオーバフロー攻撃
• パスワードクラック

ポートスキャン​

目的​

• セキュリティ上問題のあるサービスの発見
  →インターネットに公開すべきではないサービスが、インターネットから利用可能な状態になっている
• 既知のセキュリティホールをもつサービス
  →パッチ適用やバージョンアップが行われずに、インターネット上に公開されている

実行方法​

• Telnetクライアントなどを使用して手作業
• 無償で公開されているツール（nmapなど）

ツールを使えば誰でも簡単に実行可能。ワームやトロイの木馬に組み込まれている場合も多い。

TCPコネクトスキャン​

3ウェイハンドシェイクでコネクションを確立できるかによって状態を確認。コネクション確立するためサーバのログに記録される。

SYNスキャン（TCPハーフスキャン）​

SYNパケットの応答がSYN/ACKであればアクティブ、RST/ACKであれば非アクティブと判断。コネクションを確立しないためログに記録されない。（ステルススキャン）

UDPスキャン​

何らかのデータを送り、応答がなければ非アクティブ、「ICMP port unreachable」が返ってきたら非アクティブと判断。

FINスキャン​

FINフラグをONにしたパケットを送り、応答からポートの状態を判別。

ACKスキャン​

ACKフラグをONにしたパケットを送り、応答からポートの状態を判別。

Nullスキャン​

すべてのフラグをOFFにしたパケットを送り、応答からポートの状態を判別。

クリスマスツリースキャン​

FIN、PSH、URGすべてのフラグをONにしたパケットを送り、応答からポートの状態を判別。

ポートスキャンへの対策​

ポートスキャン自体はただの調査行為。それのみでシステムへの侵入やデータ破壊が行われるわけではない。

予防・防止​

• 不要なサービスの停止
• ソフトウェアの最新化、パッチ適用
• 脆弱性検査を実施し、問題個所があれば対処
• FWなどによって不要なポートへのアクセスを遮断

検知・追跡​

• NW監視型IDS、ホスト監視型IDS、IPSなどを用いて検知
• FWのログから検知
• ホストのログから検知（TCPコネクトスキャンの場合）

バッファオーバフロー（BOF）攻撃​

目的​

OSやアプリケーションプログラムの入力データの処理に関するバグを突いて、メモリに不正なデータを書き込む。
それにより、システムへの侵入や管理者権限の取得を試みる。（権限の乗っ取り、権限昇格）

仕組み​

スタックBOF​

サブルーチン内での入力データ処理において、入力データのサイズチェックがされていないことを利用。
確保していた領域より大きな入力によって、スタック内の他の領域を上書きする。（オーバフロー状態）
サブルーチンの処理終了後、スタックに格納されていた戻り先は偽の戻り先に上書きされており、その偽の戻り先に埋め込まれた不正な機械語のコード（あるいは既存のプログラム）を実行する。

対策として、指定されたメモリ領域でのコード実行を禁止するDEP（Data Excution Prevention：データ実行防止機能）が、近年のWindowsには実装されている。
DEPを回避する手法として「return-to-libc」というBOF攻撃があり、メモリ上にロードされたlibc共有ライブラリ内の特定の関数を呼び出すことでBOF攻撃を行う。
そのため、最近のOSにはアドレス空間配置ランダム化（Address Space Layout Randomization：ASLR）と呼ばれる技術が採用されている。

Use-After-Free​

解放済みのメモリ（ヒープ領域）を使用することで、攻撃者に任意のコード実行を許してしまう可能性のある脆弱性。

整数オーバフロー​

整数の演算結果が格納先の上限値を超え、桁あふれが発生すること。

これを利用した攻撃を「整数オーバフロー攻撃」という。

setuid/setgid属性を悪用したBOF攻撃​

所有者がrootで、setuid/setgid（実行権限を一時的に所有者に設定する）属性をもつプログラムを実行し、サイズの大きなデータを与えることでBOF状態にし、root権限を手に入れる。

対策​

予防・防止​

• ソフトウェアの最新化、パッチ適用

• 脆弱性検査の実施

• FWによって不要なポートへのアクセスを遮断

• BOF攻撃をIPSによって遮断

• DEP、ASLRが実装されたOSを使用

• BOFの原因となる関数を使用しない

• 入力データのレングスチェック

• StachGuardの利用

• SSP（Stack Smashing Protection）の利用

• BOF防止機能を追加したライブラリの使用

• Automatic Fortificationの使用

検知・追跡​

• NW監視型IDS、ホスト監視型IDS、IPSを用いて検知
• ログから検知・追跡

回復​

• ベンダ公開の対策手順に従って対処
• データの改ざん、不正プログラムの埋め込み、設定変更などの有無を徹底的に検証
• OSのクリーンインストール、サーバ再構築

パスワードクラック​

仕組み​

推測によるパスワードクラック​

ユーザIDや利用者の情報から攻撃者がパスワードを推測。

辞書ファイルを用いたパスワードクラック​

パスワードに使われそうな文字列が大量に登録されたファイル（辞書ファイル）を用いて順次試していく方式。

総当たりによるパスワードクラック​

特定の文字数、文字種で設定され得るすべての組み合わせを試す方式。ブルートフォース攻撃とも。

レインボーテーブルを用いたパスワードクラック​

ハッシュ値から平文を得るための逆引き票（レインボーテーブル）を用いる方式。

リバースブルートフォース攻撃​

パスワードを固定して、何通りものユーザIDの組み合わせを試していく方式。

パスワードリスト攻撃​

何らかの手段で不正に入手したユーザIDとパスワードのリストを流用し、会員向けサイトへのログインを試行する方式。

Pass the Hash​

パスワードから生成したハッシュ値（キャッシュに格納）を再利用することで、パスワードを破ることなく不正なログオンを行う手口。
Windows環境固有の攻撃。

対策​

予防・防止

• 二段階認証、二要素認証、OTP方式、バイオメトリック認証システムなど
• アカウントのロックアウト設定を有効に
• 推測困難なパスワード
• 定期的なパスワード変更
• ハッシュ値を求める際にソルトを使用
• ツールなどでパスワードの脆弱性をチェック
• ログインの失敗・成功をログに記録
• すべてのサービスで異なるパスワードを設定（パスワードリスト攻撃対策）

検知・追跡

• NW監視型IDS、ホスト監視型IDS、IPSを用いて検知
• ログから連続してログインに失敗している箇所を見つける

回復

• データの改ざん、不正プログラムの埋め込み、設定変更などの有無を徹底的に検証
• OSのクリーンインストール、サーバ再構築

本日の勉強内容​

• 脅威の種類と概要

脅威の分類​

脅威とは

情報セキュリティを脅かし、損失を発生させる直接の原因となるもの。

• 災害の脅威
  地震、落雷、風害、水害など
• 障害の脅威
  機器の故障、ソフトウェア障害、ネットワーク障害など
• 人間による意図的な脅威
  不正アクセス、盗聴、情報の改ざんなど
• 人間による偶発的な脅威
  操作ミス、書類やPCの紛失、物理的な事故など

不正のトライアングル​

不正行為は、「動機」「機会」「正当化」の3つがそろったときに発生するという考え。

• 動機
  過剰なノルマ、金銭トラブル、怨恨など、不正行為のきっかけとなるもの
• 機会
  ずさんなルール、対策の不備等、不正行為を可能、または容易にする環境の存在
• 正当化
  「良心の呵責」を乗り越え、不正行為を納得するための都合の良い解釈や責任転嫁

J-CSIP（ジェイシップ）​

サイバー情報共有イニシアティブ（Initiative for Cyber Security Information sharing Partnership of Japan：J-CSIP）
独立行政法人情報処理推進機構（IPA）によって発足。各参加機関でNDAを締結した上で、検知されたサイバー攻撃などの情報を公的機関であるIPAに集約。その後、情報提供元や機微情報の匿名化を行うとともに、IPAによる分析情報を付加した上で情報を提供することで、高度なサイバー攻撃対策につなげていく取組み。

NDA（Non Disclosure Agreement）：非開示契約。秘密保持契約。

STIX（Structed Threat Information eXpression：脅威情報構造化記述式）​

マルウェアをはじめとした各種サイバー攻撃活動に関する情報を記述するための標準仕様。
次の8つの情報群から構成。

• サイバー攻撃活動（Campaigns）
• 攻撃者（Threat_Actors）
• 攻撃手口（Tactics, Techniques and Procedures：TTPs）
• 検知指標（Indicators）
• 観測事象（Observables）
• インシデント（Incidents）
• 対処措置（Courses_Of_Action）
• 攻撃対象（Exploit_Targets）

サイバーキルチェーン​

攻撃者の視点から、サイバー攻撃のプロセスをいくつかの段階に分けたもの。

• 偵察
• 武装化
• デリバリ
• 攻撃
• インストール
• コマンド&コントロール
• 目的実行

MITRE ATT&CK（MITRE Adversarial Tactics, Techniques, and Common Knowledge：マイターアタック）​

MITRE社が運用する、攻撃者の攻撃手法や戦術を分析して作成された、サイバー攻撃の目的や手法を中心としたナレッジベース。
サイバー攻撃のプロセスを14のTacticsに分け、各Tacticsにおける攻撃手法を600以上のTechniques, Sub-Techniquesとして分類。

主なサイバー攻撃（概要）​

アドレススキャン​

ターゲットとなるネットワーク内に順番に「pingパケット」を送って応答が返ってくる機器のIPアドレスを調査する手法

ポートスキャン​

サーバーの各ポートへデータを送信し、その応答から稼働状況を調べる方法

スタックフィンガープリンティング​

サーバーで用いられているオペレーティングシステムの種類やバージョンなどを、外部から特定する手法

パケット盗聴​

ネットワークを流れるパケットを不正に盗み見ること

DNSサーバからの情報収集（不正なゾーン転送要求）​

権威 DNS サーバの設定不備を突き、ターゲットサイトのネットワーク構成やサーバ構成などの情報を入手する手法

ソーシャルエンジニアリング​

ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法

フィッシング​

本物を装ったメールを送付し、そこに悪意あるページのリンクを貼り付け、口座番号やクレジットカード番号などを入力させて盗む手法

DNSキャッシュポイズニング攻撃​

名前解決要求に割り込み、不正な名前解決情報をDNSキャッシュに登録させる攻撃

ウォードライビング​

利用可能なWi-Fiアクセスポイントを探してドライブする行為
他人の所有するWi-Fiを利用することで、自身の身元を隠匿しオンライン上で活動することが目的

パスワードクラック​

辞書ファイル、ブルートフォース、レインボーテーブルなどの手法でパスワードを解読・ログインを試みる手法

セッションハイジャック​

クライアントとサーバの正規のセッションに割り込んで、そのセッションを奪い取る行為

ARPポイズニング​

ARPキャッシュを攻撃者が改ざんすることによりネットワークの盗聴や転送データの操作を可能にする攻撃法

セッションフィクセーション​

悪意あるサイバー攻撃者が事前に取得したセッションIDを正規のサイトユーザーに利用させ、その利用者になりすます手法のこと
セッションIDの固定化とも言う

バッファオーバフロー（BOF）攻撃​

入力データの処理に関するバグを突いて、コンピュータのメモリに不正なデータを書き込み攻撃を行う手法

クロスサイトスクリプティング（XSS）​

WebアプリケーションやJavaScript等に存在する脆弱性を悪用し、ユーザのPC上で不正なスクリプトを実行させる攻撃

SQLインジェクション​

ユーザの入力によってSQL文が発行されるWebアプリケーションにおいて、
Webページから不正なSQL文を発行することで、データベースの操作や情報野不正取得等を行う攻撃

OSコマンドインジェクション​

ユーザの入力によってOSのコマンドを呼び出して処理するWebアプリケーションにおいて、
Webページから不正なコマンドを入力することで、任意ファイルの読出し、変更、削除、パスワードの不正取得等を行う攻撃

HTTPヘッダインジェクション​

ユーザの入力によってHTTPメッセージのレスポンスが生成されるWebアプリケーションにおいて、
Webページから不正なデータを入力することで、任意のヘッダフィールドやメッセージボディを追加したり、複数のレスポンスに分割したりする攻撃

メールヘッダインジェクション​

ユーザの入力によってメールが送信されるWebアプリケーションにおいて、
不正なメールヘッダを混入させることにより、意図していないアドレスに迷惑メールを送信するなど、メール送信機能を悪用した攻撃

ディレクトリトラバーサル攻撃​

ユーザの入力によってファイルにアクセスするWebアプリケーションにおいて、
上位のディレクトリを意味する文字列等を用いることで、公開を意図していないファイルに不正にアクセスする攻撃

サーバサイドリクエストフォージェリ（SSRF）​

攻撃者から直接到達できないサーバーに対する攻撃手法の一種
何らかの方法で公開サーバーから内部のサーバーにリクエストを送信することにより、内部のサーバーを攻撃

クロスサイトリクエストフォージェリ（CSRF）​

Webアプリケーションのユーザ認証やセッション管理の不備を突いて、サイトの利用者に、Webアプリケーションに対する不正な処理要求を行わせる手法

DoS攻撃​

ターゲットサイトに対して意図的に不正なパケットや膨大なパケットを送り付けることで、特定のサービスやターゲットサイトのネットワーク全体が正常動作できない状態に陥れる攻撃

スパムメール​

受信者の意向を無視して一方的に繰り返し送られる迷惑メール

マルウェア（ウイルス、ワーム、ランサムウェア、ボットなど）​

利用者の意図に反する不正な振舞いをするように作られた悪意あるプログラムやスクリプト

クリックジャッキング攻撃​

webサイトのコンテンツ上に、透明化した例やに標的サイトのコンテンツを重ねて配置することで、利用者を視覚的に騙して不正な操作を実行させる攻撃

標的型攻撃​

明確な目的を持つ攻撃者が、特定の組織や団体等をターゲットとして、その取引先や関係者、公的機関などを騙ってマルウェアや不正なリンクが埋め込まれたメールを送信することで相手を騙し、情報を盗もうとする攻撃

ビジネスメール詐欺（BEC）​

取引先や上司を装った巧妙なメールのやり取りにより、企業などの担当者を騙し、攻撃者の口座へ不正に送金させる詐欺行為

SEOポイズニング​

検索エンジンの順位付けアルゴリズムを悪用し、閲覧者をマルウェアに感染させるような悪意のあるサイトを検索結果の上位に表示させるようにする行為

本日の勉強内容​

• クラウドコンピューティングと仮想化技術
• テレワークとセキュリティ

クラウドコンピューティング​

クラウドコンピューティング（クラウド）とは

インターネットなどのコンピュータネットワークを経由して、コンピュータ資源をサービスの形で提供する利用形態である。（Wikipedia）
クラウドサービスプラットフォームからインターネット経由でコンピューティング、データベース、ストレージ、アプリケーションをはじめとした、さまざまな IT リソースをオンデマンドで利用することができるサービスの総称です。クラウドサービスでは、必要なときに必要な量のリソースへ簡単にアクセスすることができ、ご利用料金は 実際に使った分のお支払いのみといった従量課金が一般的です。（AWS）

従来であれば、自社でサーバや各種ハードウェア、OS,アプリケーション、データ等を保有・管理（オンプレミス/オンプレ）していた。
クラウドサービスを利用することで、自社でハードウェア等の管理が必要なくなり、実際に利用した分のみの料金で済む。（絶対に安くなるわけではない）
スケールアップやスケールアウトも、基本的にオンプレより容易。

ちなみに、オンプレ/オンプレミスは英語で"on-premises"と書くらしい。
プレミス（premise）は「構内」「店内」の意味なので、自分の施設内で、という文字通りの意味のよう。

クラウドサービス​

三つの提供形態​

• SaaS（Software as a Service）：パッケージソフトウェアを提供。ユーザは必要なソフトウェアを選択して利用。
• PaaS（Platform as a Service）：アプリケーションの実行環境（プラットフォーム）を提供。ユーザは自身のアプリケーションを構築できる。
• IaaS（Infrastructure as a Service）：CPU、ストレージ等のインフラを提供。ユーザはOSやミドルウェア、ストレージ容量等を選択してサーバ環境を構築できる。

管理主体と管理内容​

ISMAP​

ISMAP（イスマップ/Information system Security Management and Assessment Program）とは

政府情報システムのためのセキュリティ評価制度
政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、調達におけるセキュリティ水準の確保を図り、円滑な導入に資することを目的とした制度。

シンクライアント​

シンクライアント（thin client）とは

クライアント端末側では表示/入力などの必要最小限の処理のみを行い、ソフトウェアの管理や実行、データの加工編集など大半の処理をサーバ側で行う一連のシステム、あるいはそのような用途で使用されるクライアント端末。

クライアント側で多様な機能を実行する端末をファットクライアント（fat client）、シッククライアント（thick client）とも呼ぶ。

最近ではVDI技術を活用し、本来はファットクライアントであるPCを用途に応じてシンクライアントのように使用するのが一般的。

シンクライアントの実現方式​

• ネットワークブート型：クライアント起動ごとにネットワーク経由でOSやアプリケーションをサーバからダウンロードして実行
• 画面転送方式：OSやアプリケーションはサーバ側で実行し、画面を端末に転送
  • サーバベース型：OSやアプリケーションを複数のユーザで共同利用
  • ブレードPC型：ユーザごとにブレードPCと呼ばれる専用のPCを用意
  • VDI型：仮想化技術を用いて、ハイパーバイザ上にユーザごとの仮想デスクトップ環境を用意（現在の主流）

ハイパーバイザ (hypervisor) とは

IBMが「オペレーティングシステム (OS)」と呼んだためにその用語が普及したが、一般にはOSのことをスーパーバイザとも言う。「ハイパー」という語は、「スーパー」のさらに上という意味で使われることが一般にあるが、ここではそのような意味で、OSをさらに管理する層、というような意味である。（Wikipedia） OSよりも上位（ハードウェア上）で動作し、ハイパーバイザ上に論理的に構成されたバーチャルマシン毎に複数のゲストOSを動作させることができる。

RBI​

RBI（Remote Browser Isolation）とは

Web分離とも呼ばれ、PCに変わってWebブラウザ機能を実行し、その結果をPCに画面転送するセキュリティ対策。
PC上ではRBI専用の仮想ブラウザを実行。Webアクセスによってマルウェアに感染しても、その被害はRBI内に封じ込めることが可能。また、RBI環境は利用するたびに初期化されるため、マルウェア残存の恐れもない。

コンテンツ無害化によるWeb分離​

RBIの一種。インターネット上のWebサイトと内部のクライアント端末との間にコンテンツを無害化するサーバが介在。
WebサイトからのHTML、スクリプト、動画、文書などの各種コンテンツは、いったんコンテンツ無害化サーバの仮想コンテナに読み込まれ、実行される。
その後、レンダリング処理によって安全な描画情報のみに置き換えられ、クライアント端末に送られる。
Webサイトのコンテンツに不正なプログラムやブラウザの脆弱性を悪用するファイル等が含まれていても、無害な描画情報に変換されるため、クライアント端末のセキュリティは確保される。

画面転送によるRBIでは、クライアント端末ではRBI専用のブラウザを使用する必要があるが、コンテンツ無害化によるWebアイソレーション方式では、標準的なブラウザをそのまま使用可能。

テレワーク​

テレワークの形態​

1. 在宅勤務：自宅のインターネット回線など
2. モバイル：外出先、移動中など
3. サテライトオフィス：本社から離れた場所にある小規模なオフィス

テレワーク導入における検討事項​

テレワーク環境におけるセキュリティリスクは異なる。

テレワークの実施方式例​

1. シンクライアント画面転送型
2. ファットクライアント型（VPN接続のみ）
3. ファットクライアント型（VPN／インターネット接続併用）

テレワークPCに業務情報を保存せず、全てVPN経由となる1の方式がもっともセキュリティは高い。
ただし、テレワークを組織全体で実施するような場合は、通信設備の大幅な増強が必要になる可能性がある。

2の方式では、テレワークPCに業務情報を保存するため、当該情報の流出や不正利用防止策、EDRによるエンドポイントセキュリティ強化など、1よりもセキュリティ対策として考慮すべき事項が増える。
また、ネットワーク接続については1と同じだが、資料作成などの業務はローカルで実施可能なため、通信設備の負荷は1ほどは高くない。組織全体でテレワークを実施する場合には、通信設備増強が必要になる可能性が高い。

3の方式では、2と同様にテレワークPCに業務情報を保存するとともに、従業者の自宅などのインターネット接続回線やテザリングによって直接インターネットにアクセスするため、セキュリティ対策として考慮すべき事項はさらに増える。2に加えゼロトラスト、SASEなどの導入。
業務内容がクラウドサービスを含めたインターネットの利用主体であれば、VPNなどの設備については増強せず対応できる可能性がある。

ゼロトラスト​

ゼロトラストとは

組織の情報システムを構成する各種機器やアプリケーション、ネットワーク、端末、ユーザなどは「いずれも安全ではない可能性がある」という考え方に基づいてセキュリティ対策を行う。
ユーザがアプリケーションに対して何らかのリクエストを発行するごとに、端末やユーザの信頼性を都度確認するなど。

従来からの考え方は、組織内部のネットワークは「トラスト」で、組織外のインターネットなどは「アントラスト」であるため、その境界をFWやVPN機器などで防御する。「境界防御モデル」と呼ばれる。クラウドサービスやテレワークの普及により、境界防御モデルでは対応が困難に。また、境界を突破されてマルウェアなどの侵入を許すと、内部ネットワーク全体に被害が拡大する可能性も。

NIST ZTA（Zero Trust Architecture）​

NIST（National Institute of Standards and Technology：米国国立標準技術研究所）が、ゼロトラストに基づいた企業おけるサイバーセキュリティアーキテクチャのガイド文書として2020年8月に公開。

ゼロトラストモデルを実現するための7つの原則​

1. すべてのデータソースと情報処理サービスをリソースと見なす
2. ネットワークの場所に関係なくすべての通信が保護される
3. 組織の個々のリソースへのアクセスはセッションごとに許可される
4. リソースへのアクセスは動的ポリシによって決定される
5. 組織が所有及び関連するすべての資産のセキュリティを監視・測定する
6. すべてのリソースへの認証と認可は動的であり、アクセスが許可される前に厳密に実施される
7. 資産とネットワーク及び通信の状態に関する情報を可能な限り収集し、それを用いてセキュリティの改善を図る

ゼロトラストの実現方式​

• IDガバナンス拡張方式：クラウド上の認証プロキシがIDを一元管理。ユーザがアクセスする際に認証プロキシを経由させ、アクセス要求があるたびにIDや端末の状態を確認する。
• マイクロセグメンテーション方式：サービスやアプリケーションごとにネットワークセグメントを小さく分割し、セグメント間の通信をFWなどで確認する。
• ソフトウェア定義境界（SDP（Software Defined Perimeter））方式：コントローラがネットワークレベルで接続を管理する。SDPによって実現されるゼロトラスト志向の接続方式や、それを実装したサービス等はZTNA（Zero Trust Network Access）と呼ばれる。

SASE（Secure Access Service Edge）​

クラウド環境において必要となる各種ネットワークサービスとセキュリティサービスを統合し、包括的なサービスとして提供するネットワークセキュリティモデル。数多くの技術やサービスによって構成され、利用者のシステム利用環境に依存しない各種ネットワークサービスとセキュリティサービスを提供。

SD-WAN（Software Defined - WAN）​

物理的なWAN上に、ソフトウェアによって構築された仮想的なWAN。遠隔地にある拠点間のネットワークであっても、ソフトウェアによって一元管理できるため、ネットワークの運用管理を柔軟かつ効率的に行うことが可能。

SWG（Secure Web Gateway）​

セキュアなWebアクセスを実現するクラウド上のプロキシサービス。コンテンツフィルタリング、アプリケーションフィルタリング、アンチウイルス、サンドボックス等の機能を提供。

FWaaS（Firewall as a Service）​

クラウド上で提供されるSaaS型のファイアウォール。

ZTNA（Zero Trust Network Access）​

ゼロトラスト志向のセキュアなネットワーク接続サービス。SDPによって実現。

RBI（Remote Browser Isolation）​

Webブラウザの機能をクラウド上で実行し、その結果をPCい画面転送するサービス。

CASB（Cloud Access Security Broker）​

クラウド環境におけるセキュリティ対策のコンセプト。可視化、コントロール、データ保護、脅威防御等の機能からなる。

CSPM（Cloud Security Posture Management）​

クラウドサービス利用における設定ミス、設定不備、管理面の不備等によるセキュリティインシデントの発生リスクを低減することを目的とした状態監視機能や管理機能。
※Postureは、姿勢・態度・方針のような意味を持つ

DLP（Data Loss Prevention）​

組織の機密データが外部に流出したり、持ち出されたりするのを防止するためのツールやサービス。

UEBA（User and Entity Behavior Analytics）​

ユーザ等の行動や活動内容を各種ログや監視ツール等を用いて解析することで、通常とは異なる行動や不正行為と疑われる事象を発見する技術。

本日の勉強内容​

• 情報セキュリティ
• 情報セキュリティマネジメント

情報セキュリティ​

情報セキュリティとは

情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある。 （JIS Q 27000ファミリー）

機密性（Confidentiality）​

機密性とは​

ある情報資産へのアクセスを許可された者（権限者）と許可されていない者（無権限者）を明確に区別し、権限者だけが許可された範囲内で活動（読込み・書込み・一覧表示・実行など）をできるようにする特性。

機密性を確保するには​

アクセス制御や認証、暗号化などのセキュリティ技術を用いる。

完全性（Integrity）​

完全性とは​

データの正当性・正確性・網羅性・一貫性を維持する特性。

完全性を確保するには​

データのチェック機能や改ざん検知策を組み込んでおく。ハッシュ関数やディジタル署名など。

可用性（Availability）​

可用性とは​

情報システムが必要な時に、いつでも正常なサービスを提供できる状態を維持する特性。

可用性を確保するには​

二重化・冗長化・リソースの十分な確保・バックアップ・定期保守など。

真正性（Authenticity）​

真正性とは​

利用者、プロセス、システム、情報などが、主張通りであることを確実にする特性。

真正性を確保するには​

人の場合は、確実に本人であることを識別・認証する。情報の場合は、メッセージ認証などによって確保。
真正性を高めるには、複数の要素によって対象を識別することが有効。

責任追跡性（Accountability）​

責任追跡性とは​

利用者、プロセス、システムなどの動作について、その主体と動作内容を一意に追跡できることを確実にする特性。

責任追跡性を確保するには​

各種記録、証跡を確実に取得する。
その前提として、主体を一意に識別できる仕組みが必要。

否認防止（Non-Repudiation）​

否認防止とは​

ある活動や事象が起きたことを、後になって否認されないように証明できること。

否認防止を確実に行うには​

真正性、責任追跡性を適切に確保し、その証跡の完全性を確保する必要がある。

信頼性（Reliability）​

信頼性とは​

情報システムにおいて実行した操作や処理の結果に矛盾がなく、期待されている結果と整合が取れていることを確実にする特性。

信頼性を確保するには​

信頼性の高い機器や部品を用いてシステムを構築し、保守点検を確実に行う。
情報収集やテストの強化によって、バグや脆弱性を発見し対処する。

情報セキュリティマネジメント​

明確な方針や規定に基づいて、組織の情報資産の機密性、完全性、可用性などの特性を適切に維持・管理すること。

情報セキュリティマネジメントにおけるPDCAサイクル​

• Plan（計画・策定）
  • 情報セキュリティマネジメント推進計画の立案
  • リスクアセスメントの実施
  • 情報セキュリティポリシの策定
• Do（導入・運用）
  • 情報セキュリティポリシに基づく対策の実施・運用
  • 情報セキュリティに関する教育の実施
  • システムの正常稼働、不正アクセスの監視
• Check（評価・点検）
  • 情報セキュリティポリシ遵守状況の評価
  • 情報セキュリティポリシの適切性の監査
• Act（見直し）
  • 情報セキュリティポリシの見直し
  • 問題個所の是正・改善など

ISMSに関する規格・制度​

ISO/IEC 27000～27007, TR 27008, 27010, 27011
→ISO/IEC 27000ファミリー

上記に基づいた認証制度「ISMS適合性評価制度（ISMS認証制度）」

ISO/IEC 27001:2013（JIS Q 27001:2014）（情報セキュリティマネジメントシステム-要求事項）​

組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項について規定。
また、情報セキュリティにおけるリスクアセスメント及びリスク対応を行うための要求事項についても規定。

※2022年10月に改定
附属所Aに記載の管理策が114個から93個に減少。
個数は減っているが、内容の近いものが統合されており、新たに11個の管理策が追加されている。

ISO/IEC 27002:2013（JIS Q 27002:2014）（情報セキュリティ管理策の実践のための規範）​

組織がISMSを実践するための規範となる文書（ガイドライン）。
14のカテゴリについて必要な管理策が示されている。

※2022年2月に改定
カテゴリが再編。14から4つに。 　- 組織的管理策 　- 人的管理策 　- 物理的管理策 　- 技術的管理策

ISMS適合性評価制度​

一般財団法人情報マネジメントシステム認定センター（ISMS-AC）が主管。
組織のISMSがJIS Q 27001に適合しているかの審査については、ISMS-ACから認定を受けた認証機関が行う。
審査員に対する資格の付与についてはISMS-ACから認定を受けた要因認証機関が行う。

審査の流れは下記の通り。

継続審査は半年から1年に一回の頻度で実施する必要がある。

（メモ）ISO/IECとは、他​

ISO:International Organization for Standardization（国際標準化機構）
国際規格の世界的相互扶助を目的とする独立組織
ISOは製品の規格をそろえるだけでなく、商品の品質維持や自然環境を守るシステムのルールを作っていくという役割もあり、PDCAを軸としたマネジメントシステムも評価している

IEC:International Electrotechnical Commission（国際電気標準会議）
電気工学、電子工学、および関連した技術を扱う国際的な標準化団体である。

ISO/IEC
ISOとIECがジョイントした組織。情報処理分野の標準化を担当している。

TR:Technical Report（技術報告書）
ISOやIEC等の国際規格には"What"しか記載出来ない。
テクニカルレポートは、要求事項ではなく例または参照（"How"）である。
国際規格の要求事項を遵守するために参考にするものであって、必ずしもその通り実施しなければならないものではない。

JIS:Japan Industrial Standards（日本産業規格）
日本の産業製品に関する規格や測定法などが定められた日本の国家規格
番号は、部門を表すアルファベット1文字、数字4桁～5桁の組み合わせ（及び発行年4桁）で表示される。
部門のアルファベットは下記の通り

• A（土木及び建築）
• B（一般機械）
• C（電子機器及び電気機械）
• D（自動車）
• E（鉄道）
• F（船舶）
• G（鉄鋼）
• H（非鉄金属）
• K（化学）
• L（繊維）
• M（鉱山）
• P（ﾊﾟﾙﾌﾟ及び紙）
• Q（管理ｼｽﾃﾑ）
• R（窯業）
• S（日用品）
• T（医療安全用具）
• W（航空）
• X（情報処理）
• Z（その他）

はじめに​

情報処理安全確保支援士試験の受験を決意しました。

本日から、勉強内容や進捗を残していきたいと思います。

使用するテキストはこちら

とりあえず2023春の試験には申し込み済みのため、そこでの合格を目指したいと思います。

情報処理安全確保支援士とは​

IPAの公式サイトより

サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者

セキュリティに関するスペシャリストといった感じですね。

情報処理安全確保支援士試験のベースになった、「情報セキュリティスペシャリスト試験」に免許制度を加えたようなイメージです。

試験に合格するだけでは「情報処理安全確保支援士」として認められず、登録資格を得ている状態になります。

IPAに申請書類を提出し、登録免許税（9,000円）と登録手数料（10,700円）を支払う必要があります。

さらに登録を維持するために、毎年の共通講習（20,000円）に加え、3年に一度実践講習（IPA開催の場合80,000円）を受講する必要があります。

……高いですね。

登録するかどうか悩むのは、試験に合格してからにしたいと思います。

はじめに​

初めまして、IT講師・フリーランスエンジニアの長谷 錦（はせ にしき）と申します。

2022年4月より独立し、フリーで活動しています。

ポートフォリオというほどではありませんが、「自分のサイトあった方が良いかな～」という考えで、急遽Webサイト作成を決意しました。

MarkDown記法を好んでいるため、何か良いツールはないかと探していたところ、「Docusaurus」というものを発見。

「ついでにReactの勉強でもするか～」といった感じで、テンプレートからいろいろいじってサイトを作成しました。

初投稿ついでに、簡単に自己紹介できればと思います。

学歴​

• 同志社大学理工学部 情報システムデザイン学科卒業
• 同志社大学大学院理工学研究科 情報工学専攻修了

職歴​

• 2019年4月～2022年3月 大手SI企業にてSE/SIerとして従事
• 2022年より独立し、IT講師・フリーランスエンジニアとして活動

趣味​

• 漫画
  • 好きな漫画：BLEACH, 刃牙シリーズ, ジョジョの奇妙な冒険, アイシールド21
• アニメ
  • 好きなアニメ：Fateシリーズ, ラブライブ
• ゲーム
  • 好きなゲーム：ポケモン, League of Legends
• 麻雀
  • 好きな役：メンタンピン
• ビール
  • 好きなビールの種類：IPA

興味​

• IT/ICT教育
• プログラミング教育
• e-sports界隈