CISSP 公式問題集:勉強メモ
September 21, 2023
以下の CISSP 公式問題集を解きながら作成した自分用のまとめです。
- CISSP 公式問題集 | NTT-AT
- https://www.ntt-at.co.jp/product/cissp_practice_tests/
これは私があとで見返したいと思った内容のメモであり、すべての範囲が網羅的に記録されているわけではないことにご注意ください。例えば、ある程度しっかり記憶できたため見返す必要はないだろうと思われた事項などはここでは登場しません。
なお、本メモの作成にあたっては色々なサイトの記事を参考にしており、引用したところはその参照元を記載しています。引用の形では登場しませんが、全編にわたり、以下の記事には特に助けていただきましたので、ここで紹介させていただきます。
- CISSP 勉強ノート | 晴耕雨読
- https://tex2e.github.io/blog/security/cissp-notes
第1章:セキュリティとリスクマネジメント(ドメイン1) #
定量的リスク分析
- 資産の価値を決定する。
- 年間発生頻度を評価する。
- 年間損失予測を導き出す。
- 費用対効果分析を実施し、対策を実行するかどうか決定する。
無線攻撃
- 不正アクセスポイント(Rogue access point):一見正規の SSID とみせかけて、新しい接続を誘うことを目的としたアクセスポイント。
- リプレイ:標的としたシステムのアクセス権を取得しようとしてキャプチャーした通信を再送信する攻撃。
- 悪魔の双子(Evil twin):正規のアクセスポイントの SSID および MAC アドレスになりすましたアクセスポイントによる攻撃。概念として、悪魔の双子攻撃は不正アクセスポイント攻撃に内包されていると考えて良い。
- ウォードライビング:無線ネットワークを見つけるために検出ツールを使用する一連の行為。
DMCA(Digital Millennium Copyright Act, デジタルミレニアム著作権法)
デジタルコンテンツの著作権に関する法律。自分の著作物などが他のサイトで勝手に利用されていた場合などに権利を通知することができる。通告を受け取ったプロバイダーは対象のコンテンツを迅速に削除する。削除した場合、プロバイダーによる著作権侵害の責任は免除される。なお、ユーザの一過性のアクティビティについてはプロバイダーは責任を負わないと記載されている。プロバイダーのサービス上に著作権行使対象のデータが保存された場合、プロバイダーは対応責任を負うが、プロバイダーのネットワーク経由での情報の伝送のみであれば、プロバイダーは責任を負わない。このように一時的な目的でのみ情報をとり扱う事業者への保護を、セーフハーバー保護という。
GDPR(EU General Data Protection Regulation, 一般データ保護規則)
- アクセス権:個人が自分のデータにアクセスできる権利
- 削除権、忘れられる権利:個人情報の削除を要求できる権利
- データポータビリティの権利:個人データを別の管理者に送信させる権利
脅威モデリング:システムの脅威と緩和策を特定し文書化するプロセス
- 攻撃者中心のアプローチ:攻撃者に焦点を当てたアプローチ。
- 資産中心のアプローチ:資産に焦点をあてたアプローチ。
- ソフトウェア中心のアプローチ:ソフトウェアに焦点を当てたアプローチ。
プルーデントマンルール
日本語で「思慮ある者の原則」。経営陣に対して「普通の良識ある個人であれば、同様な状況で行うのと同等の妥当な注意を払い、個人的責任を負って職務を遂行する」ことを求めたルール。もともとは金融業界で用いられていたが、のちに情報セキュリティ問題にも適用されるようになった。
プライバシーシールド協定
米国商務省と欧州委員会、スイス当局との間で締結された、EU 市民個人情報の国外移転を可能にするためのプライバシー保護フレームワークです。米国企業が GDPR に適応し事業活動を行う目的で運用されていました。
プライバシーシールドは、正確には EU-米国間およびスイスー米国間で個別に制定されています。プライバシーシールドは、米国商務省が管轄するプログラムです。米国各企業が定められたプライバシー保護策を講じることにより、各企業の EU 市民個人情報移転・処理を可能にするものです。
しかし、エドワード・スノーデンが告発した米国家安全保障局(NSA)による大規模監視プログラムを受けて、米国における EU 個人情報取り扱いの適切性に疑念が起こり、差し止め訴訟の結果、2020 年 7 月に欧州司法裁判所から無効判決が下されました。プライバシーシールドに代わる EU-米国間の個人情報移転枠組みとして、EU-米国データプライバシーフレームワークの制定が進められています。
https://www.sompocybersecurity.com/column/glossary/privacy-shield
プライバシーシールドの 7 原則:
- 通知 (Notice)
- 選択 (Choice)
- 第三者移転に対する説明責任 (Accountability for Onward Transfer)
- セキュリティ (Security)
- データ完全性および目的外利用の禁止 (Data integrity and Purpose Limitation)
- アクセス (Access)
- 救済・執行・責任 (Recourse, Enforcement, and Liability)
GLBA(Gramm-Leach-Bliley Act, グラム・リーチ・ブライリー法)
金融機関に対し、顧客と機密情報・プライバシーを保護するための情報共有基準を策定した法律であり、1999 年米議会において制定されました。金融機関が遵守すべき情報セキュリティやプライバシー保護コントロールの要件が規定されています。元は金融機関同士の合併に関する法規制を改訂する形で成立したという経緯があります。
グラス・スティーガル法を改訂する形で、金融機関の兼業・合併を許可しつつも、その分、情報セキュリティや顧客のプライバシー保護を強化するよう要求している。
SOX(Sarbanes-Oxley Act, サーベンス・オクスリー法)
企業の不正行為(粉飾決算等)への対策として制定された内部統制および監査に関する米国の法律です。1990 年代後半のドットコム・ブームに乗じて、多くの悪徳起業家・経営者により詐欺、不正行為が行われ、被害を発生させたことが制定のきっかけとなっています。ワールドコム、エンロンといった大企業が、ステークホルダー保護のための規制を破り、粉飾決算を行ったことで有名です。
この法律は「上場企業の会計改革および投資家保護法」ともいい、2002 年に成立しました。SOX 法では、一定規模を超える企業に対し、精確な財務記録の保持・報告を義務付けているだけでなく、IT やデータセキュリティに関する要求も義務付けています。
FISMA(Federal Information Security Management Act, 連邦情報セキュリティマネジメント法)
各連邦政府機関に対して、情報および情報システムのセキュリティを強化するためのプログラムを開発、文書化、実践することを義務付ける法律。各連邦政府機関より業務委託を受けている外部委託先にも適用される。2001 年 9 月 11 日のテロを受け、米国政府のセキュリティに関する取り組みは大きく変わり、同法が成立する契機となった。
STRIDE
脅威モデリング手法の 1 つ。Microsoft 社によって提唱された。脅威を次の通りに分類することで、そのリスクや影響を検討するのに用いられる。
- なりすまし(Spoofing):正当な通信やユーザを偽る脅威
- 改ざん(Tampering):悪意あるデータ変更の脅威
- 否認(Repudiation):アクションの事実を否定される脅威
- 情報漏洩(Information Disclosure):データ漏洩の脅威
- サービス拒否(Denial of Service):サービス停止の脅威
- 特権昇格(Elevation of Privilege):高い権限を付与する脅威
経済スパイ法
米国企業から企業秘密を不正入手したものに対する処罰の法的な根拠となる法律。この法律によって、営業秘密の保持者の知的財産を保護をしている。
デュー・デリジェンス/デュー・ケア
デュー・デリジェンスとは、正常な理性を持つ人間が、特定の状況下において当然行うべき努力・注意義務を意味する法律用語です。サイバーセキュリティの世界では、サービス提供者が妥当な注意(デュー・ケア)を提供するための努力・対策などを指します。例えば、サプライヤーが適切なセキュリティ対策を講じているか評価するサプライチェーン・マネジメントもこうした活動に含まれます。
https://www.sompocybersecurity.com/column/glossary/dur-deligence
デューケアとは、正常な理性を持つ人間が、特定の状況下において当然払うだろうとみなされる注意を意味する法律用語です。サイバーセキュリティの世界では、サービス提供者が顧客に対して負う妥当な注意を指す言葉として使用されています。
デュー・デリジェンスは日本語では「適切な注意」とされる。デュー・ケアは日本語では「妥当な注意」とされ、日本での「善管注意義務」にあたる用語。
デュー・ケアが善管注意義務に従って為すべきことを為すことであり、デュー・デリジェンスはデュー・ケアが提供されるように努力することを指す。
デューケアは、要求に対し相当(正当、適切、十分)な注意を払うこと(コンプライアンスベース)。デューケアが満たされていれば、過失や不注意を犯していないことを意味する。デューケアの十分性は、要求に対する絶対的な判断に依る。
デューディリジェンスは、特定の状況下で然るべき正当(合理的で慎重)な注意義務および努力を行うこと。デューディリジェンスは、組織がある行為に対し合理的なリスクマネジメントを行い、その行為の結果について説明責任を果たすためのプロセス(リスクベース)。デューディリジェンスの十分性は、特定の状況下における相対的事実に依る。
セキュリティ・コントロール
- 技術的コントロール:セキュリティ製品やシステムによって行う対策です。
- 物理的コントロール:警備設備や施錠、監視カメラ等の物理的セキュリティ対策です。
- 管理的コントロール:規則やポリシー、プロセスによる対策です。
https://www.sompocybersecurity.com/column/glossary/security-control
USPTO(United States Patent and Trademark Office, 米国特許商標庁)
米国の商標の評価・登録を担当する政府機関。
合衆国法律集と連邦規則集
合衆国法律集には、刑法と民法が記載されている。連邦規則集には、連邦機関により公布されたすべての行政法の本文が記載されている。
RPO と RTO
- RPO(Recovery Point Objective):障害発生時、過去の「どの時点まで」のデータを復旧させるかの目標値。
- RTO(Recovery Time Objective):障害発生時、「どのくらいの時間で(=いつまでに)」復旧させるかの目標値。
SSAE
米国公認会計士協会が定めた、受託業務を行う会社の内部統制の有効性を評価する保証基準。監査の基準を指定するもの。
(SSAE16 の前は SAS70 と呼ばれるものが使われていた) -> SSAE16 -> SSAE18 など適宜最新化されている。
SOC は SSAE にのっとって、業務受託会社が内部統制と情報セキュリティを報告するための具体的なフレームワークという関係。
SOC(System and Organization Control, 業務受託会社監査)
米国公認会計士協会によって決められている業務の請負側の内部統制を保証する枠組み。SOC 報告書の作成は、監査法人や公認会計士が第三者の立場から客観的に検証した結果を記載する。
- SOC 1:財務諸表監査の観点から内部統制監査を実施したもの。
- SOC 2:セキュリティ、機密保持や可用性、事業継続コントロールといった部分に重点を置いて実施したもの。
- SOC 3:SOC 2 の内容に関する概要報告。インターネット等を通じて一般的に公開できる内容を規定したもの。
(合衆国憲法)修正第 4 条
米国でプライバシー権の基礎となっている法律。政府機関が令状または相当な理由なしに私有財産を捜索することを禁じている。裁判所は合衆国憲法修正第 4 条の解釈を拡張し、その他のプライバシーの侵害に対する保護も含めている。
「不合理な捜索および逮捕・押収に対し、身体、家屋、書類および所有物の安全を保障されるという人民の権利は、これを侵してはならない。令状はすべて、宣誓または確約によって裏付けられた相当な根拠に基づいていない限り、また捜索する場所および逮捕、押収する人または物が明示されていない限り、これを発してはならない。」
セキュリティドキュメント
セキュリティドキュメントは、達成すべきセキュリティを文書化したもの。ポリシーをトップとした 5 つの文書からなる。
- ポリシー:実現したいことを明確にする、ハイレベルな方針。
- スタンダード:ポリシーを達成する上で必要な要素を具体的にする。
- ベースライン:組織として果たすべき最低限の水準を示す。
- ガイドライン:ポリシーを実現するための補足文書。
- プロシージャ:どうやって達成するか、具体的な手順を示す。
事業継続計画のトレーニング
全社員が授業継続計画の基本的なトレーニングを受ける必要がある。第一対応者や経営陣など、特別な役割を担う社員は、詳細に特化したトレーニングを別途受ける必要がある。
NIST(National Institute of Standards and Technology, 国立標準技術研究所)
アメリカ合衆国商務省配下の技術部門。1987 年のコンピュータセキュリティ法によって、NIST に連邦政府のコンピュータシステムに関するスタンダードとガイドラインを策定する責務が与えられた。
NIST のリスクマネジメントフレームワーク
- リスクマネジメントの準備:組織のリスクマネジメント戦略を策定する。
- 情報システムの分類:システムに求められるセキュリティ分類を機密性、完全性、可用性の観点で高・中・低に決定する。
- セキュリティコントロール(管理策)の選択
- セキュリティコントロール(管理策)の実装
- セキュリティコントロール(管理策)の評価
- 情報システムの運用認可:運用責任者に対象システムの運用認可を申請し、運用が認可され、開始される。
- セキュリティコントロール(管理策)の監視
緊急事態レスポンスガイドライン(緊急時対応計画ガイド)
緊急事態に対応して組織が従うべき即時的措置を含める。即時的対応手順、緊急事態を通知する必要がある者のリストおよび第一対応者のための二次対応手順が含まれる。事業継続プロトコルの有効化、装置発注、または DR サイトの有効化などの長期的活動は含まれない。
DR サイト(ディザスタリカバリサイト/バックアップサイト)
災害などで主要なシステム拠点での業務が不可能になった際に、緊急の代替拠点として使用する施設。
- ホットサイト:遠隔地に設けた施設に本運用とほぼ同じシステムを導入し、常時データ複製を行いながら稼働状態で待機しておき、障害発生時に直ちに切り替えて運用を引き継ぐ方式。
- ウォームサイト:遠隔地に設けた施設に本運用とほぼ同じシステムを導入し、非稼働状態で待機して起き、障害発生後にシステムを起動して運用を引き継ぐ方式。
- コールドサイト:遠隔地に建物や通信回線など最低限のインフラだけを確保しておき、障害が発生してから必要な機材の搬入や設定作業、バックアップデータの導入などを行う方式。
CFAA(Computer Fraud and Abuse Act, コンピュータ不正行為防止法)
CFAA では、悪意を持って任意の 1 年間に連邦政府コンピュータシステムに$5,000 を超える損害を与えると連邦政府に対する犯罪となる。
CALEA(Communications Assistance for Law Enforcement Act, 法機関のための通信援助法)
CALEA では、すべての通信事業者に対して、適切な裁判所の命令を受けている法執行機関当局者が盗聴できるよう、通信サービスプロバイダに要求している。
NDA(Non-Disclofure agreement)
秘密保持契約。
NCA(Non-Complete Agreement)
非競争契約。従業員が解雇または解雇された後に従業員が雇用主との競争に参加しないことに同意する、従業員と雇用主との間の契約のこと。
COPPA(Children’s Online Privacy Protection Act, 児童オンラインプライバシー保護法
子供向けサイトに規制を課すことで子供のインターネット上の安全を守ろうとする法律。商用サイトが 12 歳以下の子供の個人情報を収集する場合に親の同意を得なければならないことなどを義務付けている。
低減分析
システムを信頼境界、データフローパス、入力ポイント、特権操作、セキュリティコントロールに関する詳細情報という5つの主要な要素に分解する分析手法。
VRM(Vital Records Management, バイタルレコードマネジメント, 重要レコード管理)
バイタルレコードは、「企業の存続に関わる文書や代替情報が他に求められない文書」のこと。
危険係数、年間発生頻度、年間損失予測
- 危険係数(EF, Exposure Factor, 暴露係数とも):リスクが現実化した場合に施設が被る、リスク管理者が予想する損害の割合である。損害額を資産価値で除して計算する。損害額が $500 万、施設の価値が $1,000 万とした場合、危険係数は 50% となる。もし起こってしまったら、どのくらい資産価値が無くなってしまうのかを意味する。
- 年間発生頻度(ARO, Annual Rate of Occurrence):任意のある年にリスクが発生すると予測する回数である。200 年に1回の頻度で災害が発生すると仮定した場合、ARO は 0.0005 となる。
- 年間損失予測(ALE, Annual Loss Exposure):災害発生時の損害額が $500 万だとすると、これに ARO を 0.0005 乗じて、$25,000 となる。
(ISC)² 倫理規定
- 社会、一般大衆の福利、およびインフラを保護する。
- 法律に違わず、公正かつ誠実に責任を持って行動する。
- 当事者に対して、十分かつ適切なサービスを提供する。
- 専門知識を高め、維持する。
試験問題を漏えいした場合は、専門性に害を及ぼしたということで、4 の規定を侵害していると考えられる。
第2章:資産のセキュリティ(ドメイン2) #
スニッフィング
ネットワークを流れるデータを捕らえ、内容を解析して盗み見ること。
米国政府のデータ分類
- Top Secret(最高機密):認可なく開示されると重大な損害が生じる可能性のあるデータ
- Secret(機密):認可なく開示されると深刻な損害が生じる可能性のあるデータ
- Confidential(部外秘):認可なく開示されると損害が生じる可能性があるが、その程度は深刻または重大ではないデータ
- Unclassified(未分類・非機密):分類前であるか、あるいは機密性のないデータ
民間のデータ分類
- Proprietary(専有)または Confidential(社外秘):認可なく開示されると重大な損害のあるデータ
- Private(プライベート):認可なく開示されると深刻な損害のあるデータ
- Sensitive(重要):認可なく開示されると損害のあるデータ
- Public(公開):公開データ
DLP(Data Loss Prevention)
機密情報や重要データを自動的に特定し、データを常に監視・保護する機能です。機密情報の持ち出しの可能性が検知された場合、アラート通知を出したり、操作をブロックすることが可能です。ユーザーではなくデータを中心にしたシステムである点が特徴です。
資産に対して「機密」などのラベルを付与して判別する。
データ破棄
- 消去(Erasing):オペレーティングシステムにおける一般的な削除を指す。ファイルへのリンクのみが削除され、ファイルを構成するデータ自体はそのまま残るため、データ破棄としての効果はほとんどない。
- サニタイズ:データ破壊に関する広い概念。再利用する前にデータが残らないようにすること。PC から取り外す手順やディスク暗号化も含まれる。クリアリングやパージングを包含する。
- クリアリング:ランダムな値やゼロで上書きすることでデータ破壊を行うこと。デバイスを同一のセキュリティラベルで再利用する際に実施する。
- パージング:物理的な影響が残っている可能性を排除する作業のこと。HDD のデガウス(消磁)など。デバイスを現在よりも下位(=緩い)のセキュリティラベルで再利用する際に実施する。
- 破壊:物理的な破壊。デバイスは再利用できないが、データ破棄の観点からは最も安全である。
スコーピングとテーラリング
ベンチマークやフレームワークやスタンダードを導入する際は、自組織の運用にあわせて以下を実施する。
- スコーピング:適用範囲を決定する。
- テーラリング:手順を自組織にあわせて調整する。
bcrypt
bcrypt(ビー・クリプト)は Blowfish 暗号を基盤としたパスワードハッシュ化関数である。bcrypt の頭文字の “b” は Blowfish に由来する。
PII と PHI
- PII(Personally Identifiable Information):個人識別情報。個人を特定できる情報はすべてこれに該当する。
- PHI(Protected Health Information):保護された健康情報。診察結果だけでなく、医療費の支払い情報も含む。HIPAA や HITECH により保護される。
COPPA(California Online Privacy Protection Act, カリフォルニア州オンラインプライバシー保護法
カリフォルニア州住民の個人情報を収集する商用 Web サイトおよびサービスに対して、プライバシーポリシーを明確に表示することを要求している法律。
*「COPPA(Children’s Online Privacy Protection Act, 児童オンラインプライバシー保護法」と同じ略称のため、混同しないように注意。
第3章:セキュリティアーキテクチャとエンジニアリング(ドメイン3) #
ベル・ラパドゥラ・モデル(Bell-LaPadula Model)
Bell と LaPadula によって提唱された情報コントロールポリシー。データの漏洩が起きないようにするための「機密性セキュリティモデル」。モデルの原則は以下の通り。
- 単純セキュリティ属性(シンプルセキュリティプロパティ):サブジェクトは、上位のオブジェクトを読み取ることができない。例:部下は上司のドキュメントを見る(Read Up)ことができない。
- *セキュリティ属性(スターセキュリティプロパティ):サブジェクトは、下位のオブジェクトを編集することができない。例:上司は部下のドキュメントを編集(Write Down)ことができない。
ビバ・モデル(Biba Model)
Biba によって提唱された情報コントロールポリシー。データが勝手に変更されないことを示す「完全性セキュリティモデル」。モデルの原則は以下の通り。
- 単純完全性属性(シンプル完全性プロパティ):サブジェクトのセキュリティクリアランスよりも低いセキュリティレベルに分類されたオブジェクトを読み取ることができない。例:上司は部下のドキュメントを見る(Read Down)ことができない。
- *完全性属性(スター完全性プロパティ):サブジェクトのセキュリティクリアランスよりも高いセキュリティレベルに分類されたオブジェクトを編集することができない。例:部下は上司のドキュメントを編集する(Write Up)ことができない。
- 呼び出し属性(Invocation プロパティ):サブジェクトは同レベル以下のオブジェクトにのみアクセス可能。
グラハム・デニング・モデル(Graham-Denning Model)
情報コントロールポリシー。サブジェクトとオブジェクトに対して、8つのルールをマッピングすることで、サブジェクトとオブジェクトの安全な作成と削除に重点を置いている。
ブルーワ・ナッシュ・モデル(Brewer and Nash Model)
Brewer および Nash によって提唱された情報コントロールポリシーです。その特性から、チャイニーズ・ウォール・モデルとも呼ばれています。従来のセキュリティモデルであるベル・ラパドゥラ・モデルやビバ・モデル、クラーク・ウィルソンモデルが、主に政府や軍情報システムを対象に考案されてきたのに対し、ブルーワ・ナッシュ・モデルは、営利活動、とくに金融機関において求められる情報コントロールを実現する目的で構築されました。
ブルーワ・ナッシュ・モデルは、利益の相反(Conflicts of Interest)が発生する際の情報コントロールを規定します。サブジェクトははじめ、あらゆるデータセットにアクセスすることが可能ですが、一度特定のデータセットにアクセスした場合は、そのデータセットと利益相反関係にあるすべてのデータセットにアクセスすることができなくなります。サブジェクトのアクセス履歴に従って、アクセスコントロールを動的に変更する点に特徴があります。
https://www.sompocybersecurity.com/column/glossary/brewer-nash-model
クォーラム認証(M of N アクセスコントロール)
クォーラム(quorum)とは分散システムにおいて、分散トランザクションが処理を実行するために必要な最低限の票の数を指す。クォーラム認証(M of N アクセスコントロール)は、複数のエージェントからの承認を要求することで、高いセキュリティを追加することができる認証方式。タスクを完了するには、エージェントの総数 (N) のうち、最小限の数 (M) のエージェントが承認する必要がある。
メンテナンスフック
メンテナンスフックとは、開発者がテスト用に作っておいた機能のこと。開発中、開発者が通常のセキュリティコントロールをバイパスして、システムに容易にアクセスできるようにするためなどに作成される。リリース前に除去しなければ、これを攻撃者が発見した場合にはバックドアのように機能してしまい、重大なセキュリティの脆弱性をもたらす。
SCADA(Supervisory Control and Data Acquisition)
読み方はスキャダ。産業制御システムの一種であり、コンピュータによるシステム監視とプロセス制御を行う。1 つのサイト全体や地理的に分散したシステム群を集中的に監視制御するシステムを指す。
TPM(Trusted Platform Module)
コンピュータのマザーボードに直付けされているセキュリティに関する各種機能を備えた半導体部品で、データの暗号化・復号や鍵ペアの生成、ハッシュ値の計算、デジタル署名の生成・検証などの機能を有する。暗号鍵をマザーボードのチップに保存することで、他者が暗号化ドライブをほかのパソコンに取り付けてアクセスすることを防ぐことができる。
コモンクライテリア(Common Criteria, CC, セキュリティ評価基準)
コンピュータセキュリティのための国際規格であり、IT 製品や情報システムに対して、情報セキュリティを評価し認証するための評価基準を定めている。コモンクライテリアにおける、主要な概念の一部が以下。
- プロテクションプロファイル (PP, Protection Profile, 保護プロファイル):コモンクライテリアの下で認められる製品に適用すべきセキュリティ要件と保護について明記したもの。通常、利用者(または利用者の団体)が、自分の要求仕様を文書化したもの。
- セキュリティターゲット (ST, Security Target):ある特定の製品のセキュリティ性能を特定する文書であり、製品を評価・認証するための基礎になる。通常、製品の開発者が作成する。
セキュリティ保証要件における評価保証レベル (EAL, Evaluation Assurance Level)は次の通り。
- EAL1:機能テスト済み。最も低い評価保証レベル。
- EAL2:構造化テスト済み。
- EAL3:方式的テスト、およびチェック済み。
- EAL4:方式的設計、テスト、およびレビュー済み。
- EAL5:準形式的設計、およびテスト済み。
- EAL6:準形式的検証済み設計、およびテスト済み。
- EAL7:形式的検証済み設計、およびテスト済み。最も高い評価保証レベル。
暗号学的ハッシュ関数
ハッシュ関数のうち、暗号など情報セキュリティの用途に適する暗号数理的性質をもつもの。任意の長さの入力を(通常は)固定長の出力に変換する。次のような性質が要求される。
- ハッシュ値から、そのようなハッシュ値となるメッセージを得ることが不可能であること(原像計算困難性、弱衝突耐性)。
- 同じハッシュ値となる、異なる 2 つのメッセージのペアを求めることが不可能であること(強衝突耐性)。
- メッセージをほんの少し変えたとき、ハッシュ値は大幅に変わり、元のメッセージのハッシュ値とは相関がないように見えること。
Kerckhoffs(ケルクホフス)の原理
秘密鍵以外の、システムに関するすべての情報が公知となっても、暗号システムは安全でなければならないという考え方。
ワイヤリングクローゼット
データネットワークや音声ネットワークの配線のために特別に設計された部屋のこと。配線や、機器を相互接続するための配線装置が集中する接続中枢として機能する。
ワイヤリングクローゼットに対する標準的な物理的セキュリティ要件として以下があげられる。
- クローゼット内に可燃物を収納してはならない。
- 入室を記録する。
- 定期的に点検を行う。
TOC と TOU(Time of check to time of use, TOCTOU, トックトゥー)
Time of check to time of use(TOCTTOU、TOCTOU、トックトゥー)とは、ソフトウェア開発において、ある条件(セキュリティ認証など)をチェック (check) したあと、その結果を行使 (use) するまでに変更が発生することで引き起こされるバグの一種である。これは競合状態の一例である。
Fair Crypto Systems
秘密鍵を 2 つまたはそれ以上の部分に分割し、独立した第三者が各部分を所有(=鍵の預託、キーエスクロー)する方式。
CPU とプロセスの処理状態
- 実行可能状態:プロセスを実行する準備ができているが、CPU が利用可能ではない状態。
- 実行状態:プロセスが CPU で実行中の状態。
- 待ち状態:プロセスが外部イベント待ちでブロックされている状態。
- 停止状態:プロセスが終了した状態。
System high mode(システム・ハイ・モード)
System High モードで稼働しているシステムにおいて、ユーザーは、
- システムにより処理されるすべての情報に対して有効な最高レベルのセキュリティクリアランスを有し、
- システムにより処理されるすべての情報へのアクセス許可を得て、
- システムにより処理される一部の情報に対して有効な知る必要性を有しなければならない。
System high mode は、Bell–LaPadula model や Biba model といったマルチレベル・セキュリティとは異なり、システムはサブジェクト(ユーザ)ごとに応じたセキュリティ分類や保護を分ける必要がない。
ステガノグラフィー(Steganography)
あるデータの中に別の情報を埋め込んで隠蔽する技術を指す。例えば、画像データの中に秘密のメッセージを隠しておくこと。暗号(Cryptography)が平文の内容を読めなくする手段を提供するのに対して、ステガノグラフィーは存在自体を隠す点が異なる。ステガノグラフィーの考え方を応用して、主に著作権保護を目的とし、画像データ等の著作物に利用者 ID や著作権者などを仕込む電子透かし(digital watermark)技術が開発された。
共同責任モデル
クラウド環境においては、セキュリティに関する義務は共同責任モデルに従う。例えば、クラウドベンダーは、ストレージハードウェアを管理する責任を負うため、稼働中止となったドライブの破壊またはワイプの責任はベンダーが負っている。しかし、ベンダーのストレージサービスの利用を開始する前に、ベンダーのサニタイズ手順が自身の要件を満たしているかを確認するのは顧客の責任である。
コードとサイファー
「暗号」は、「コード」と「サイファー」に大別できる。コードはひとつの単語やフレーズを、単語・数・記号に置き換えたものを指す。例:“陸” といったら1を意味し、“海"といったら2を意味し…。サイファーは情報の最小単位で、あらかじめ取り決めてあるアルゴリズムを実行して置き換えること。例:AES で暗号化、RSA で暗号化。
MTTF(Mean Time To Failure, 平均故障時間)
機器やシステムが稼働を開始してから故障するまでの平均稼働時間。例:MTTF 10 年は、平均 10 年の稼働時間で故障することを意味する。
修理して繰り返し使用する前提の機器の場合、MTTF ではなく MTBF(Mean Time Between Failures, 平均故障間隔)の名称を用いる。
消化器のクラス ABCD
- クラス A:一般的な可燃性物質のみを消火できる。消火剤として水またはソーダ酸が使用されている。
- クラス B:油やガスを消化できる。消化剤として二酸化炭素が使用されている。
- クラス C:電気機器の火災を消化できる。消化剤として二酸化炭素が使用されている。
- クラス D:可燃性金属を消化できる。消化剤としてドライパウダーが使用されている。
MDM(Mobile Device Management)
モバイル端末管理(MDM)製品は、モバイル機器に対するセキュリティ設定の適用を目的とした、集中管理的仕組みを提供する。
既知平文攻撃
暗号化前の平文及び、その暗号化の結果が分かる場合、それをヒントに鍵を算出する攻撃方式のこと。
X.509
公開鍵基盤 (PKI)の規格。デジタル証明書の仕様が定められている。
フェンスの高さ
- 4フィート(1.2m):一般的な不法侵入を抑止する。区分けの意味合い。
- 6フィート(1.8m):一般的な不法侵入を抑止する。侵入させない意図が明確に伝わる。
- 8フィート(2.4m):強い侵入者を抑止する。
ホワイトノイズ
電磁放射の存在を隠すため、電子機器による真の電磁放射を効果的に妨害する偽の電磁放射を生成・送信する物理セキュリティコントロール方法。
転置暗号と換字暗号
- 転置暗号(てんちあんごう):平文の文字を並べ替えて暗号文を作成する暗号。
- 換字暗号(かえじあんごう):平文を 1 文字または数文字単位で別の文字や記号等に変換することで暗号文を作成する暗号。
ダブル DES(2DES)の問題点
ダブル DES は「中間一致攻撃」に弱い。ダブル DES では平文に暗号化を2回繰り返して暗号文を作成する(この時どちらの暗号化にも同じ鍵を使用する)。攻撃者が平文と暗号文のペアを取得したと仮定すると、攻撃者は暗号鍵を入れ替えながら、平文に1回暗号化を実施しつつ、並行して、暗号文に1回複合化を実施することで、両方の結果が一致するかを検証することができる。一致するものがあればそれが正しい暗号鍵だと特定できる。このようにダブル DES は通常の DES 対比さほど強度があがっていない問題点があり使用されない。
なお、トリプル DES(3DES)では3回の暗号化に使用する暗号鍵はそれぞれ違うものを使用するため、この問題点は解消されている。
ゼロ知識証明:洞窟の問題
ゼロ知識証明の説明として、魔法のドア、または洞窟の例えが用いられることが多い。
P さんが、魔法の扉を開くための合言葉を手に入れたとする。その魔法の扉は、ある洞窟の一番奥にあり、そこへ至る経路は A と B の 2 つがあって、合言葉で魔法の扉を開くと A から B、或いはその反対へ移動できる。
V さんはお金を払ってでも合言葉が知りたいが、P さんが本当の合言葉を知っていると確認できるまでは払いたくない。P さんは教えてもいいが、お金をもらうまでは教えたくない。そこで 2 人は、合言葉そのものは教えることなく、正しい合言葉を知っていることだけ証明するために以下の手順を取る。
まず、V さんは洞窟の外で待ち、P さんだけ入る。P さんは A か B どちらかの分かれ道をランダムに選んで奥に入る。次に V さんは分かれ道の入り口まで行き、どちらかの道をランダムに選ぶ。そして P さんに、ランダムに選んだその道から出てきてほしいと大声で伝える。ここで、V さんは P さんがどちらから入ったのかは知らないという点に留意する。
- もし、P さんが合言葉を知っている場合:V さんの選んだ道から出てくるのは簡単である。自分が入った道を選ばれたら、そのまま戻ってくれば良い。もし反対側を選ばれたなら、合言葉で魔法の扉を開けて反対の道から出てくれば良い。
- もし、P さんが合言葉を知らない場合:P さんは入った道から出てくることしかできない。V さんがランダムに出てくるべき道を選ぶので、P さんがリクエストに応えられるのは 50%の確率である。2 人がこの試行を何度も繰り返せば、P さんがすべてのリクエストに応えるのはほとんど不可能である。例えば 20 回繰り返したら、全てに応えられる可能性は約 0.000001%となる。
よって、P さんが複数回のリクエストに全て応えられたなら、V さんは P さんが確かに合言葉を知っていると納得できる。
Blowfish
暗号化と復号に同じ暗号鍵を用いる共通鍵暗号。鍵長は 32 ビットから 448 ビットまでの可変長となっている。NIST の新世代暗号標準で「AES」の候補として提案された、最終候補まで残ったものの、最終的には Rijndael(ラインダール)が採用された。
Faraday(ファラデー)ケージ
電磁放射の漏洩を防止する金属板。取り扱いが難しく高価であるため、まれにしか使用されないが、望ましくない放射を遮断するにはきわめて効果的。
HVAC:データセンターの温度と湿度
機器が正常に稼働する環境づくりの要素のこと。温度(Heating)、換気(Ventilation)、空調(Air-Condition)の頭文字。
データセンターの温度と湿度は以下を保つ必要がある。
- 温度は 20 ~ 25 度に維持する必要がある。
- 湿度は 40 ~ 60 %に維持する必要がある。この範囲を下回る場合は静電気のリスクが増し、この値を上回る場合は湿気が機器に損傷を与える可能性がある。
Chain of Custody(管理の連鎖)
日本語では「管理の連鎖」や「証拠保全」とも訳される、法律に関する用語です。物理的・電子的な証拠が適切に保管・管理、また移転されていることを記録した一連の文書、あるいはその手続きを指します。電子的証拠が法的効力を持つためには、その物件の管理者や作業の日時といった情報が担保されていることが必要になります。コンピュータ・フォレンジックにおいては、電子的なデータや記録媒体を取り扱う上で、Chain of Custody を確立させる手順が用いられます。
https://www.sompocybersecurity.com/column/glossary/chain-of-custody
ASLR(Address Space Layout Randomization, アドレス空間レイアウトのランダム化)
メモリーアドレスランダム化。攻撃者がオーバーフローやスタック破壊攻撃により既知のアドレス空間と連続したメモリー領域を使用してコードを実行することを防止する。
DRM(Digital Rights Management, デジタル著作権管理)
デジタルコンテンツに対して、複製・再生・閲覧・視聴・印刷などを制限・防止するための技術を指す。
第4章:通信とネットワークセキュリティ(ドメイン4) #
フレームリレー
データリンク層のプロトコル。パケット交換(データをパケットに分けた後、どのようにデータを送るのか)に関する技術。フレームリレーを使うと、相手先とは VC(Virtual Circuit)と呼ばれる仮想回線を確立し、データを一定の大きさに分割したパケット単位で送受信する。一本の物理回線に複数の仮想回線で多重化することができ、複数の PVC(プライベート仮想回線)と同時に通信することができる。
前身となった X.25 というプロトコルからエラー訂正機能を取り除いたもの。エラー訂正、確認応答、再送制御等を削除し、プロトコルを軽量化したことで高速なデータ伝送を実現している。つまり X.25 プロトコルとは異なり、フレーム中に制御フィールドなどが無い。伝送エラーの検出は可能だが、もしエラーが発生しても送信側に対して通知する機能がなく、何も通知せずにフレームを破棄する。つまり、誤り訂正機能は持っていない。これは、ビット誤りが多いアナログ回線を考慮した従来のプロトコルとは違い、ビット誤りが少なく信頼性が高いディジタル回線用として作られたためである。ビット誤りの検査や再送要求は、必要に応じて上位層のプロトコルで実行することになる。
PPP(Point-to-Point Protocol)
2 点間を接続してデータ通信を行うための通信プロトコル。データリンク層で動作するプロトコル。PPP は大きく2つのプロトコルから構成される。
- LCP(Link Control Protocol):コネクションの確立や切断、認証プロトコルの設定、パケット長の設定などを制御。
- NCP(Network Control Protocol):LCP により確立したコネクション上でどのような通信を行うのかを制御。
PPP は通信制御だけでなく認証機能も持っている。
- PAP(Password Authentication Protocol):パスワードを平文で流す。
- CHAP(Challenge Handshake Authentication Protocol):チャレンジ・レスポンス方式を用いて、伝送経路上にパスワードそのものを流さないようになっている。
EAP(Extensible Authentication Protocol)
PPP を拡張し、追加的な認証方法をサポートしたプロトコル。
EAP は拡張可能に設計されていたことでさまざまな拡張版が作られた。シスコ独自方式の LEAP、マイクロソフトとシスコなどが開発した PEAP、サーバ/クライアントの双方で電子証明書を利用する EAP-TLS などがある。
LEAP には脆弱性が見つかっており、現在は PEAP や EAP-TLS への移行などが推奨されている。
EAP はもともと物理的に隔離されたネットワークチャネルで使用することを目的としていて、暗号化は含まれていない。PEAP などの EAP 拡張が、EAP に暗号化機能を追加する形で開発された。
IEEE 802.11
IEEE により策定された無線通信規格。Wi-Fi とは、IEEE 802.11 規格を使用したデバイスを示す名称。以下のように規格の改修が続けられている。
- IEEE 802.11b:2.4GHz 帯での最大 11Mbps
- IEEE 802.11a:5GHz 帯での最大 54Mbps
- IEEE 802.11g:2.4GHz 帯での最大 54Mbps
- IEEE 802.11n:2.4GHz/5GHz 帯での最大 600Mbps
- IEEE 802.11ac:5GHz 帯での最大 6933Mbps
- IEEE 802.11ax:2.4GHz/5GHz 帯での最大 9608Mbps
無線端末間の通信
- アドホックモード (Ad hoc mode):無線 LAN に対応した各端末が互いに直接通信するモード
- インフラストラクチャーモード (Infrastructure mode):各端末はアクセスポイントを介して端末間の通信を行うモード
コリジョンドメインとブロードキャストドメイン
コリジョンドメインは、同時に送信した場合に衝突(Collision)を生じさせる可能性がある一連のシステムである。コリジョンドメインを形成しないシステム同士では、同時に送信しても衝突を起こすことはない。ブロードキャストドメインは、各端末からのブロードキャストの受信が可能なシステム範囲である。
スペクトラム拡散
「スペクトラム」とは周波数分布を表す。スペクトラム拡散とは、信号の変調方式の一つで、元の信号の周波数帯域の何十倍も広い帯域に拡散して送信する方式。 ノイズの影響や他の通信との干渉を低減し、通信の秘匿性を高めることができる。
参考:https://ascii.jp/elem/000/000/462/462443/
ルーティングプロトコル
ルーティングプロトコルとは、ネットワーク上の経路選択を行うルータ間の通信に用いられるプロトコル(通信規約)の一つで、経路情報を交換するためのもの。通常はインターネット上でのルーティングに用いられるものを指す。
EGP と IGP
インターネットのような独立した複数のネットワークが相互接続された大規模なネットワークでは、各組織が保有・運用するネットワーク(AS:Autonomous System)間の経路情報の交換を行う EGP(Exterior Gateway Protocol)と、AS 内の経路情報の交換を行う IGP(Interior Gateway Protocol)の二種類のルーティングプロトコルが用いられる。
インターネットにおける EGP はもともと「EGP」という名称のプロトコルが使われていたが、現在では BGP(Border Gateway Protocol)に置き換えられた。
IGP には様々な種類があり、ネットワークごとに選択される。どの隣接ルータを経由すれば最短のホップ数で宛先に届くかを基準に経路を指定するプロトコルを「ディスタンスベクタ型」(distance-vector routing protocol/距離ベクトル型)と呼び、RIP が該当する。一方、どのルータとどのルータが隣接しているかという接続情報(リンクステート)を交換し合い、この情報の集合に基づいて経路を選択するプロトコルを「リンクステート型」(link-state routing protocol)と呼び、OSPF がこれに分類される。
ディスタンスベクター型プロトコルは、方向とリモートネットワークまでのホップ数による距離などのメトリックスを使用してルーティング先を決定する。リンク状態型ルーティングプロトコルは、リモートネットワークへの最短距離を考慮する。
- RIP(Routing Information Protocol)
- OSPF(Open Shortest Path First)
スクリーンスクレーパー
PC 画面に表示されている内容をリモートコンピュータにコピーするツール。
S/MIME(Secure Multipurpose Internet Mail Extensions)
電子証明書を用いてメールの暗号化とメールへ電子署名を行う方式。
S/MIME のセキュア電子メール形式は、暗号化された電子メールメッセージに P7S 形式を使用する。受信者が S/MIME 対応のメールリーダーを使っていない場合、メッセージは simple.p7s という名前の添付ファイル付きで表示される。これは電子証明書であるが、メールリーダーがそのように認識できないため単なるファイルとして表示された結果である。
Smurf 攻撃
ping コマンドの仕様では、ICMP(Internet Control Message Protocol)プロトコルを用いて疎通確認したい相手にエコーリクエスト(要求)を送り、相手はエコーリプライ(応答)を返す。攻撃者はこの仕組みを悪用し、リクエストの送信元 IP アドレスに自分ではなく標的のアドレスを設定し、標的の所属するネットワークのブロードキャストアドレス当てに大量に送りつける。すると、当該ネットワーク上のすべての機器が一斉に標的の IP アドレスに向けて大量のリプライを返す。通信回線や通信機器が ICMP パケットであふれ返って通信容量を圧迫するほか、標的のコンピュータには大量の ICMP パケットが着信し過重な負荷がかかるようになる。
ARP(Address Resolution Protocol, アドレス解決プロトコル)
IP アドレスから Ethernet の MAC アドレスの情報を取得するプロトコル。
OSI 参照モデルの第2層(データリンク層)は MAC アドレステーブルを参照して、MAC アドレスに向けてデータを送受信しており、第3層(ネットワーク層)はルーティングテーブルを参照して、IP アドレスに向けてデータを送受信している。
ARP はこの層の橋渡しをしているプロトコルで、MAC アドレス(および IP アドレス)を扱うことから分類としては第2層(データリンク層)に属している。
iSCSI と FCoE(Fiber Channel over Ethernet)
iSCSI と FCoE はどちらも LAN と SAN を統合するプロトコル。
iSCSI とは、コンピュータ本体とストレージの通信に用いられる SCSI コマンドを、IP ネットワーク経由で送受信すプロトコル。TCP/IP ベースのコンピュータネットワークにストレージ装置を直に接続することができるようになる。SCSI 接続では元来、専用の通信ケーブルとプロトコルを用いて機器間の通信を行うが、iSCSI では TCP パケットに SCSI コマンドや伝送データを搭載して、IP ネットワーク上でやり取りする。
FCoE は、イーサネット上でファイバーチャネル通信を実現するコンバージドプロトコル。イーサネット上でファイバーチャネル通信を実現し、既存の高速ネットワークをストレージトラフィックの搬送に使用することを可能にする。LAN 用の機材で SAN(Storage Area Network)を構築することができ、SAN 用にファイバーチャネルケーブルを用意するコストを削減できる。
コンバージドプロトコルは、TCP/IP などの標準的なプロトコルと、独自のプロトコルやその他の非標準なプロトコルを組み合わせることを意味する。
iSCSI はシンプルな設計となっていて導入しやすいことから小規模ネットワークに用いられることが多く、FCoE はパフォーマンスに優れているためデータセンターなどの大規模ネットワークに用いられることが多い。
イーサネット(Ethernet)
イーサネットとは、有線 LAN の物理的なケーブルやポートの規格の一つ。最も普及している。衝突検知には CSMA/CD 方式を採用している。
過去には、トークンリング、FDDI(Fiber-distributed data interface)、ATM(Asynchronous Transfer Mode)などの規格が存在したが、現在はほぼすべての有線通信規格で Ethernet が使われている。
1000Base-T
イーサネット仕様の1つで、UTP ケーブル(非シールドより対線)を利用するもの。最高通信速度 1Gbps(1000Mbps)で最長 100m までの距離を伝送することができる。
1000BASE-X
イーサネット仕様の1つで、光ファイバーケーブルを利用するもの。最短 500m から最長 5km までの距離を伝送することができる。
リピータ
電気信号の中継器であり、電気信号を受信し弱まったりノイズが入った信号を、 増幅や整形して元の信号に戻す役割を持つネットワーク機器。
マルチレイヤープロトコルによるセキュリティ懸念事項
- 隠れチャネルが隠蔽される(したがって、隠れチャネルが存在しうる)こと
- 階層化されたプロトコルに隠蔽されたトラフィックがフィルターをバイパスすることが可能であること
- ネットワークセグメントに設定した論理的な境界を、一定の条件下でバイパスすることが可能であること
ネットワークトポロジー
- バス型:1本のケーブルに複数のノードを接続しているトポロジー
- リング型:バス型の両端が繋がった形のトポロジー
- スター型:1つの集線装置(ハブやスイッチ)に複数のノードを接続しているトポロジー
- メッシュ型:各システムがほかのすべてのシステムにそれぞれ直接接続しているトポロジー
イーサネットはバス型トポロジーを使用している。
サイトサーベイ
電波調査のことで、適切な無線 LAN 機器(アクセスポイント)の設置数・設置位置・電波強度の決定、またチャネル設計のために行う。サイトサーベイでは、専用のツールを使用して電波状態を可視化する。
ISDN
ISDN(Integrated Services Digital Network、統合デジタル通信網)とは電話線を使用したデジタル回線のインターネット技術。
ISDN は、アナログ方式の固定電話網からデジタル方式への移行を促進するために開発されました。アナログ回線では1本の電話線で1つの通話しかできませんでしたが、ISDN では1本の電話線で複数の通話や高速なデータ通信が同時に行えるようになりました。また、ISDN には BRI(Basic Rate Interface)と PRI(Primary Rate Interface)という2つの形式があります。
BRI は、ISDN の中でも比較的小規模な利用を想定した形式です。BRI は「Basic Rate Interface(基本速度インタフェース)」の略称であり、家庭や小規模オフィスなどで多く利用されています。
PRI とは「Primary Rate Interface(主幹速度インタフェース)」の略称であり、BRI よりも大規模な利用を想定した形式で、一般的に中規模以上の企業や公共機関などで利用されています。高速なデータ通信やビデオ会議などもスムーズに行えるため、BRI よりも大きな規模のビジネス環境に適した性質をもっていると言えるでしょう。
ISDN ですが、実は今後、サービス終了の流れにあります。デジタル技術の進歩によって、より高速で柔軟な通信が可能となり、ISDN の需要は減少したため、将来的には廃止される見通しです。代替サービスとしては、インターネットなどデータ回線を利用した IP 電話やクラウドベースの通信サービスなどが普及しているので、これから電話環境を見直す場合は留意しておきましょう。
https://www.softbank.jp/biz/blog/business/articles/202308/what-is-isdn/
SPIT
Spam over Internet Telephony の略で、VoIP システムを標的とした IP 電話を使ったスパムを意味する。
ブルースナーフィング(Bluesnarfing)
Bluetooth を利用したハッキング手法です。
Bluesnarfing は、標的のデバイスを使うユーザーに気づかれることなく接続を行い、デバイスのデータを窃取する攻撃です。
現在の Bluetooth 対応機器の大半は、外部から Bluetooth 接続を確立する前に、そのリクエストを承認しなければならない仕組みです。しかし古い機器の場合、ユーザーが知らぬうちに Bluetooth 接続ができてしまうため、その場合知らぬうちに機器からデータが抜き取られる事象が発生します。
https://www.sompocybersecurity.com/column/glossary/bluesnarfing
ブルージャッキング(Bluejacking)
標的の Bluetooth デバイスに対して一方的にメッセージや画像、音声を送り付ける攻撃手法です。
https://www.sompocybersecurity.com/column/glossary/bluejacking
OSI 参照モデルの各層の説明とプロトコル例
- 第7層(アプリケーション層):具体的な通信サービス。
- HTTP, FTP, SMTP
- 第6層(プレゼンテーション層):データの表現方法。データのフォーマットを規定することにより、アプリケーション層からのデータを他のシステムが利用可能な形式に変換する層
- JPEG, ASCII, MIDI
- 第5層(セッション層):データのフォーマットを規定することにより、アプリケーション層からのデータを他のシステムが利用可能な形式に変換する層。
- NFS, SQL, RPC
- 第4層(トランスポート層):ネットワークの端から端までの通信管理(エラー訂正、再送制御など)。
- TCP, UDP, TLS
- 第3層(ネットワーク層):ネットワークにおける通信経路の選択(ルーティング)。
- IPv4, IPv6, IPsec, ICMP
- 第2層(データリンク層):直接的(隣接的)に接続されている通信機器間の信号の受け渡し。
- PPP
- 第1層(物理層):物理的な接続。コネクタのピンの数、コネクタ形状の規定など。
各層で扱われるデータの単位。
- 第7、6、7層:データストリーム
- 第4層(トランスポート層):セグメント(TCP)、データグラム(UDP)
- 上位層からのデータに TCP ヘッダや UDP ヘッダをつける。ポート番号が記されている。
- 第3層(ネットワーク層):パケット
- 上位層からのデータをパケットに分割してヘッダをつける。IP アドレスが記されている。
- 第2層(データリンク層):フレーム
- 上位層からのデータにフレームヘッダをつける。MAC アドレスが記されている。
- 第1層(物理層):ビット
VLAN ホッピング
VLAN は、物理ネットワークをデバイスのグループに分割して相互接続する仮想ローカルエリアネットワーク(LAN)のこと。VLAN ホッピング攻撃は、攻撃者が接続している VLAN ネットワーク経由で別の VLAN ネットワークにへのアクセスを試みるネットワーク攻撃。
VLAN ではなく物理的にスイッチを分けることが根本的な解決策になる。
暗黙拒否
ファイヤーウォールなどで一般的なルールの考え方。ユーザが明示したどのルールに引っかからないアクセスは暗黙的に拒否するというルールのこと。
ユーザはルールを設定することで、どのような通信を ALLOW/DENY するか設定するが、それらのどのルールにも引っかからない通信はすべて DENY 扱いする。
VM エスケープ(Virtual Machine Escape, 仮想マシンエスケープ)
仮想マシン(Virtual Machine)からそのマシンをホストするハイパーバイザーに対し移動することを可能にする攻撃手法です。
仮想マシン(ゲスト)からハイパーバイザーに移行することで、ハイパーバイザーが持つ権限を獲得することができ、ホストしている他の仮想マシンに対してもアクセスが可能になります。攻撃者はホスト OS から様々な攻撃を実行します。
https://www.sompocybersecurity.com/column/glossary/vm-escape
CSMA/CD(Carrier Sense Multiple Access/Collision Detection, 多重アクセス衝突検出)
通信において単一の伝送路を複数の機器が共用する際に、中央で監視・制御する機器がなくとも伝送路の使用権を調整できる通信方式の1つ。イーサネットに採用されている。
データを送信したい端末は回線を流れる信号の状況を監視し、誰も通信していないことを確認したら送信を開始する。このとき、たまたま他の端末が同時に送信を開始した場合、信号が衝突してデータが破損する。これを検知したら両者ともに通信を一旦中止する。衝突を検知するとジャム信号(衝突信号)が送られる。そうすると、すべてのホストは送信を中止して、各ホストはランダムな時間待機したあとに再送信を開始する。
IPsec(Security Architecture for Internet Protocol)
暗号化によってパケットの秘匿や改ざん検知を実現する、OSI 参照モデルのレイヤー3(ネットワーク層)のプロトコル。
IPsec には、認証、完全性、否認防止を提供する「AH(Authentication Header, 認証ヘッダー)」と、データの暗号化により機密性を提供する「ESP(Encapsulated Security Payload, 暗号ペイロード)」の 2 つのプロトコルがある。さらに、データ部分のみを暗号化する「トランスポートモード」、ヘッダとデータの両方を暗号化する「トンネルモード」のプロトコルもある。
SSL/TLS はレイヤー4(トランスポート層)のプロトコル。
PPTP と L2TP
どちらも VPN(Virtual private network)に用いるプロトコル。PPTP(Point-to-Point Tunneling Protocol)は脆弱性が報告されているため現在使用は推奨されない。PPTP の強化版として開発されたのが L2TP(Layer 2 Tunneling Protocol)で、IPSec を使用してトラフィックを暗号化している。
ARP スプーフィング、ARP ポイズニング
ARP スプーフィングとは、LAN 内で IP アドレスと MAC アドレスの対応付けに用いる ARP の応答を偽装することにより、ネットワーク上の他の機器になりすます攻撃手法。
IP アドレスから対応する MAC アドレスを知りたい機器は、ネットワーク上にブロードキャスト(一斉配信)で当該 IP アドレスの持ち主に名乗り出るよう告知する ARP リクエストを送信する。通常であれば IP アドレスの持ち主が自分の MAC アドレスを記載した ARP レスポンスを返信し、両アドレスが対応付けられ、ARP テーブルに記録される。
ARP テーブルは、ARP(Address Resolution Protocol)によって割り出した IP アドレスと MAC アドレス(Ethernet や Wi-Fi などの物理アドレス)の対応表。
ARP スプーフィングでは、攻撃者の操作する機器が不正な ARP レスポンスを送り返し、その IP アドレスを自分に結びつけてしまう。以降はその IP アドレス向けの通信が攻撃者の機器を経由することになり、内容を覗き見したり改竄したりといった中間者攻撃が可能となる。
クロストーク
1組のワイヤーで伝送されたデータが、他の組のワイヤーに漏れた場合に生じる干渉のこと。このような干渉は、単なる磁気ではなく、電磁気によるものである。
DKIM(DomainKeys Identified Mail)
電子メールにおける送信ドメイン認証技術の一つであり、メールを送信する際に送信元が電子署名を行い、受信者がそれを検証することで、送信者のなりすましやメールの改ざんを検知できるようにするもの。
第5章:アイデンティティとアクセス管理(ドメイン5) #
ケイパビリティーテーブル
サブジェクトに焦点を当てたアクセス管理。サブジェクトに割り当てられた権限をリスト化し、サブジェクトがアクセス可能なオブジェクトを特定する。
ACL(Access Control List, アクセス・コントロール・リスト, アクセス制御リスト)
オブジェクトに焦点を当てたアクセス管理。特定のオブジェクトへのアクセスが許可されたサブジェクトをリスト化する。
強制アクセス制御 (MAC, Mandatory Access Control)
すべてのサブジェクトにクリアランスを割り当て、すべてオブジェクトにラベリングし、それぞれの組み合わせで強制的にアクセス権限を決定する方式。ラティスベースのモデル(サブジェクトとオブジェクトの組み合わせからアクセス許可を判断するモデル)に基づいている。ラティスベースのモデルは、アクセス制御マトリックスとも呼ばれる。
Bell-LaPadula Model や Biba Model もこれにあたる。
強制アクセス制御 (MAC) システムの形態は、以下の 3 つがある:
- 階層:ドメインが順序付けされて上下関係を持つ
- 区間:ドメイン間に関係がない
- ハイブリッド:階層と区間の両方が混在する
任意アクセス制御 (DAC, Discretionary Access Control)
情報の作成者が、読み取り、書き込み、実行などの権限の付与権限をもつ方式。Windows や Linux などで一般的な OS で採用されているのはこちらの方式。
MAC による一連のコントロールは強力であり安全性に優れており、拡張性や柔軟性は DAC の方が優れている。
制限されたインターフェース
ログインユーザのアクセス権限によってインターフェースを制限すること。
- メニューやシェル:ユーザには実行可能なコマンドだけが与えられる。
- データベースビュー:データベースに格納されたデータへのアクセスを制限する。
- 物理的なインターフェース:キーパッドや ATM など、特定の操作だけが行えるデバイス。なお、一般的なキーボードは物理的なインターフェースに含まれない。
Kerberos(ケルベロス)
米国マサチューセッツ工科大学で開発されたネットワーク認証プロトコルです。ネットワーク内でパスワードを送受することなくで安全に認証機能を実現するために作られました。Kerberos 認証は、各サービスに対しユーザー名とパスワードを入力する認証方式とは異なり、認証サーバーという信頼できるサードパーティーがユーザーを認証します。Windows Server Active Directory をはじめとする様々なサービスに利用されています。
Kerberos 認証は、以下のエンティティによって構成されます。
- 鍵配送センター(Key Distribution Center、KDC):チケット配布サーバーおよび認証サーバーから構成されます。ユーザーの認証およびチケットの発行を担当します。チケット配布チケット(Ticket Granting Ticket)は、KDC が発行するチケットであり、追加の認証なしに別のサービスへのアクセスを可能にします。
- 認証サーバー(Authentication Server、AS):ユーザーがサービスにアクセスするための、チケット配布サーバー(Ticket Granting Server)サービスへのアクセスを提供します。これは、鍵配送センターがチケット配布チケットを発行することで実行されます。
- チケット配布サーバー(Ticket Granting Server、TGS):サービスにアクセスするためのチケットを発行しユーザーに付与します。
Kerberos プロトコルの適用される範囲をレルム(Realm)といい、レルム内のサービスは SPN(Service Principal Name)、ユーザーは UPN(User Principal Name)というプリンシパルによって管理されます。
Kerberos 認証のプロセスは以下のとおりです。
- ユーザーがネットワークにログインした後、ユーザーのプリンシパルが鍵配送センターに送られ、認証サーバーからのチケット配布チケットを要求します。
- 鍵配送センターがユーザーのプリンシパルを参照した後、ユーザーの鍵で暗号化されたチケット配布チケットを生成し、ユーザーに渡します。
- ユーザーは、自身の鍵によってチケット配布チケットを復号します。
- ユーザーのコンピュータに格納されたチケット配布チケットには期限が定められており、その間は、追加のパスワード入力が発生しません。
- ユーザーがリソースへアクセスする際は、格納されたチケット配布チケットを利用し、チケット配布サーバーへ送信します。チケット配布サーバーは、該当サービスへのチケットを配布します。
- ユーザーはアクセスしたいサーバーに対してサービス・チケットを送信し、アクセスします。
- Kerberos にログインする際の流れ
- (KDC は、対象鍵暗号を使用して、すべてのプリンシパルの秘密鍵をデータベースに保持している。)
- ユーザは、Kerberos ログイン時に、ユーザ名とパスワードを AES で暗号化してから AS に送信する。
- AS による認証後 KDC は、ユーザのパスワードを利用してハッシュを生成し、そのハッシュで対象鍵を暗号化する。暗号化された対象鍵と、暗号化されてタイムスタンプが押された TGT の両方をユーザに送信する。
- ユーザは、TGT を受理して、ユーザのパスワードのハッシュを利用して自身の秘密鍵によって対象鍵を復号する。
デフォルトでは UDP/88 番ポートを利用する。
Kerberos は、クライアントとサーバの接続の両端の時刻が正しく同期していることに基づいて機能する。同期が 5 分以上外れている場合、有効な TGT は無効になり、TGS はサービスのチケットを発行しない。
AAA プロトコル
認証、認可、ログ記録(AAA:Authentication, Authorization, Accounting)を行うためのプロトコルの意。
RADIUS
AAA プロトコルを実現するためのフレームワークの1つ。IFTF が作成。ダイアルアップの利用者を認証する方法として開発され、リモートアクセスのサポートに利用されてきた。そのためモデム、無線ネットワーク、ネットワークデバイスに使用されることが多い。
デフォルトでは UDP を用いてパスワード情報のみを暗号化する。TLS over TCP モードに変えることも可能である。
RADIUS の後継として設計されたものが Diameter であり、RADIUS との後方互換性は持たない。
TACACS+(Terminal Access Controller Access-Control System Plus)
AAA プロトコルを実現するためのフレームワークの1つ。米シスコシステムズ(Cisco Systems)社の独自仕様だったが情報が公開され他社製品でも使用できる。TACACS と XTACACS がベースになっている。TCP を用いてパケット全体を暗号化する。
ティアドロップ(Teardrop)攻撃
サービス拒否(DoS)攻撃の一種。攻撃者はターゲットサーバに断片化されたパケットを送信する。そのサーバに TCP/IP の脆弱性があると、サーバがパケットを再構築できず、過負荷になる。
権限のクリープ
不要になった権限を削除されずに残っていること。これを防止するために、業務や責任が変わるたびにアカウントレビュー(権限のレビュー)を行うこと。
この状態になっていることを、集約(Aggregation)とも言う。
アカウントプロビジョニング
アカウントプロビジョニングとは、ユーザーが必要とするアカウントの生成・保守・削除などを行うこと。
LDAP(Lightweight Directory Access Protocol)
LDAP は、ディレクトリサービスにアクセスするためのプロトコル。
ディレクトリサービスとは、ネットワークに存在するさまざまな情報を一元的に管理するサービスのこと。Microsoft 社の Active Directory が有名。
LDAP は、ディレクトリサービスにアクセスする際に対象を指定する手段として LDAP 識別名を用いる。LDAP 識別名は、RDN(Relative Distinguished Name)という 1 個以上のコンマ区切り要素から構成される。
デフォルトでは、389/tcp(平文)、TLS を使った LDAPS はポート 636/tcp(暗号化)を使用する。グローバルディレクトリ(グローバルカタログ)のポートは、3268/tcp(平文)、3269/tcp(暗号化)を使用する。
LDAP の SASL(Simple Authentication and Security Layer)は、セキュアな方式を含む幅広い認証タイプをサポートする。匿名認証では、セキュリティは要求も提供もされず、簡易認証では、SSL または TLS 経由でトンネリングが可能だが、それ自体でセキュリティは提供されない。
参照プロファイル(参照テンプレート)
バイオメトリック要素の保存サンプルは、参照プロファイルまたは参照テンプレートという。
FAR と FRR
- 本人拒否率 (FRR, False Rejection Rate):許可すべき人を拒否してしまうエラー。タイプ1エラーとも呼ばれる。
- 他人受入率 (FAR, False Acceptance Rate):拒否すべき人を許可してしまうエラー。タイプ2エラーとも呼ばれる。
CER(Crossover Error Rate, 等誤り率)は、FRR と FAR が交差する(両者の確率を足して1となる)ポイントを指す。バイオメトリックデバイスの精度比較の際の標準的な指標として使われている。CER は EER(Equal Error Rate)とも呼ばれる。
SAML(Security Assertion Markup Language)
アイデンティティプロバイダー(IdP)とサービスプロバイダー(SP)の間で「認証および認可」を行うための公開標準。
3つの役割が登場する。
- ユーザエージェント:ユーザの操作しているブラウザ。
- アイデンティティプロバイダー(IdP):認証・認可を行う。
- サービスプロバイダー(SP)/リライングパーティ(RP):ユーザが利用しようとしているサービス。
手順
- IdP を起点とした場合
- ユーザ(ユーザエージェント)は、IdP へアクセスする。
- IdP はユーザエージェントに ID/パスワードの入力などを要求し、問題なければ、認証・認可のあかしである SAML レスポンス(SAML アサーション)をユーザエージェントに返信する。
- ユーザエージェントは SAML アサーションを SP に送信のうえ、サービスにログインする。
- SP を起点とした場合
- ユーザ(ユーザエージェント)は、SP へのアクセスを試みる。
- SP は HTTP レスポンスによりユーザエージェントを SSO URL(= IdP)にリダイレクトさせる。
- ユーザ(ユーザエージェント)は、IdP へアクセスする。
-
- 以降は IdP を起点とした場合と同じ -
SP に対して、偽の SAML アサーションを用いてサービス利用を可能にしようとする攻撃が、偽造アサーションである。偽造アサーションを回避するには、ユーザエージェントから送られてきた SAML レスポンスを SP が検証し、その SAML レスポンスのデジタル署名が IdP によるものであるかを確認する。
サードパーティアプリである SP を利用する場合、そのアプリが悪意を持って偽の SSO URL にリダイレクトさせる可能性がある。これを回避するには、信頼できるサードパーティだけを使用するようメンバーに意識啓発を行うほかない。
SPML(Service Provisioning Markup Language)
XML ベースのフレームワーク。ユーザー、リソース、サービスのプロビジョニング情報を組織間でやり取りするための標準規格である。SAML と同じく、OASIS という標準化団体が策定している。
フェデレーション
フェデレーションとは、複数のサービスを利用する際に、別システムで認証済みであればそれをもって認証完了とする仕組みのこと。日本語では、ID 連携や認証連携と呼ばれる。SAML や OAuth を用いることでフェデレーションが実現される。Google ログインなどがこれにあたる。
フェデレーションはシングルサインオン(SSO)の一種という関係性。SSO 1度のサインインだけで済ませるという大きな概念であって、その実現方法が何種類かに分類されている。フェデレーション方式がその1つで、認証情報の連携によりこれを実現するというもの。
X.500 Directory Access Protocol
X.500 は、ディレクトリサービスに関する標準規格のシリーズ。Kerberos、LDAP、Active Directory などは X.500 Directory Access Protocol がベースになっている。
Active Directory
Active Directory は LDAP に基づいた Microsoft 社のディレクトリサービス。認証には Kerberos を使用している。
OpenLDAP
LDAP のフリーかつオープンソースの実装であり、OpenLDAP Project が開発している。OpenLDAP はデフォルトでは userPassword 属性を平文で保存する。これは、OpenLDAP にパスワードをセキュアな形式で指定することが、プロビジョニングシステムを構築する管理者またはプログラマーの責任であることを意味している。
OAuth と OpenID
OAuth と OpenID Connect (OIDC)の違いは、認証を実現するプロトコルか認可を実現するプロトコルか。OAuth は認可のプロトコルであり、そのためにアクセストークンを発行することでアクセス権限を委譲する。OpenID は認証のプロトコルであり、そのために ID トークンを発行する。ID トークンには ID 情報が含まれており、異なるサービスでも共通のアカウント情報を使用することが可能となる。
基本的な OpenIDh はユーザーがある OpenID プロバイダにアカウントを持っていることを証明するだけである。ただし、OpenID では IdP が認可サーバーの役割を持つこともできるため、ID トークンとアクセストークンを同時に発行することも可能である。
同期トークンと非同期トークン
同期ソフトトークン(Google Authenticator など)は、絶えず変わる一連のコードを生成する時間ベースのアルゴリズムを使用する。非同期トークンは通常、レスポンスを計算できるようにトークンに入力するチャレンジを必要とする。このプロセスでは、システムがチャレンジを送信し、ユーザーは、PIN とチャレンジをもとに計算したレスポンスを応答する。サーバーは同じ計算を実行し、両方が一致するとユーザーは認証される。
OpenID のリダイレクトの脆弱性
悪意あるリライングパーティは、OpenID プロバイダにリダイレクトしたと見せかけて、プロバイダのログイン画面を模倣したフィッシングサイトにユーザーをリダイレクトする。そこでログイン情報を入力させ、盗み取られてしまう。
第6章:セキュリティの評価とテスト(ドメイン6) #
ミューテーション解析、ミューテーションテスト
アジャイル開発手法で、テストスイートの完全性を判定する手法の一つ。
この手法では、テスト対象のプログラムの一部を機械的に書き換えることで、ミュータントと呼ばれる「人工的な誤りを含むプログラム」を生成する。テストスイートをミュータントに対して実行した結果と、元のプログラムに対して実行した結果が異なれば、テストスイートにはその誤りを発見するだけの鋭敏さが備わっていると考えられるだろう(テストスイートはミュータントを kill すると表現する)。機械的に大量にミュータントを生成したとき、そのうちテストスイートが kill 出来るミュータントの割合を測定することで、テストスイートの「欠陥発見能力」の十分さを測定することが出来る。また、kill 出来なかったミュータントを kill するように追加のテストケースを作成することで、開発者はテストスイートの欠陥発見能力を高めることが出来ると期待される。
syslog(シスログ)
syslog(シスログ)は、ログメッセージを IP ネットワーク上で転送するための標準規格である。“syslog” という用語は、その通信プロトコルを指すだけでなく、syslog メッセージを送信するシステム(アプリケーションやライブラリ)syslog メッセージを受信し報告・分析するシステムに対しても使われる。
syslog は、1980 年代にエリック・オールマンによって sendmail プロジェクトの一環として開発された。以降、他のアプリケーションでも採用されるようになり、現在では Unix 系システムの標準的なログ記録方式となっている。その他の OS でも実装されており、ルータなどのネットワーク機器にもよく搭載されている。
Windows システムは、Windows ネイティブのロギングフォーマットでログを生成するため、Windows システムで syslog イベントを送信するには、ヘルパーとなるアプリケーションやツールが必要となる。
実装はさまざまだが、一般的にはメッセージに、エラー、警告、情報などの「重大度」を設けて分類に用いる。
ファジング(fuzzing)、ファザー(fuzzer)
コンピュータプログラムヘの入力として、無効なデータ、予期しないデータ、ランダムなデータを用いた自動化ないし半自動化されたソフトウェアテストの手法である。コンピュータプログラムにファズ(「予測不可能な入力データ」の意、英語: fuzz)を与えることで、意図的に例外的な状況を発生させ、その例外的な状況での挙動を確認するという方法を用いる。ファズテストを実行するツールは、ファザー(fuzzer)と呼ばれる。
ジェネレーショナルファジングは、インテリジェントファジングとも呼ばれ、検査対象の知識を利用して入力データを生成する。
SOC(System and Organization Control)レポート
SOC(System and Organization Control)は、財務報告にかかる内部コントロールが有効に機能していることを評価するフレームワーク。SOC レポートは、SOC 1、SOC 2、SOC 3 の種類があり、SOC 1 と SOC 2 には、Type 1 と Type 2 の 2 種類がある。
タイプ 1 の監査はある単一の時点を対象としたものであり、コントロールの「適合性」や「設計」を評価するもの。タイプ 2 の監査は一定期間を対象としており、コントロールの「有効性」を評価するもの。
- SOC 1 / Type 1:特定の時点における、財務諸表監査の観点から内部統制監査を実施したもの。
- SOC 1 / Type 2:特定の期間における、財務諸表監査の観点から内部統制監査を実施したもの。
- SOC 2 / Type 1:特定の時点における、セキュリティ、機密保持や可用性、事業継続コントロールといった部分に重点を置いて実施したもの。
- SOC 2 / Type 2:特定の期間における、セキュリティ、機密保持や可用性、事業継続コントロールといった部分に重点を置いて実施したもの。
- SOC 3:SOC 2 の内容に関する概要報告。インターネット等を通じて一般的に公開できる内容を規定したもの。
WEP、WPA、WPA2、WPA3
これらは無線通信の規格。1999 年に WEP が策定されてから、セキュリティ向上の改良を重ねて、最新版が 2018 年に導入された WPA3 である。
WEP では、単一の事前に定義された静的な共有鍵を用いる。
WPA(1,2,3)では、パーソナルモードとエンタープライズモードの 2 つのモードを提供している。パーソナルモードは家庭や小規模なビジネス環境向けに設計され、エンタープライズモードは大規模なビジネスや企業向けに設計されている。
- パーソナルモード:事前共有キー(PSK:Pre-Shared Key)を使用してネットワークへのアクセスを保護する。これは、ネットワークに接続するすべてのデバイスが同じパスワードを共有する方式。
- エンタープライズモード:RADIUS 認証サーバーを使用し、利用者ごとに登録された ID とパスワードにより認証を行う。
WPA(1,2,3)での通信内容を暗号化する方法は、TKIP と CCMP の2種類ある。CCMP は暗号化アルゴリズムに AES を採用していて、TKIP よりもセキュリティ強度が高い。TKIP や CCMP はデータリンク層のプロトコルであり、無線 LAN アクセスポイントとクライアント端末間の通信のみを暗号化する。
SSL/TLS(ネットワーク層)と CCMP(データリンク層)はどちらも暗号化技術だが、層が違うことに注意。SSL/TLS はクライアント端末と通信先のサーバとの通信を暗号化し、その上で、CCMP がクライアント端末とアクセスポイントとの間の通信を暗号化している関係性。つまり、最低限 SSL/TLS だけ使っていれば、通信は暗号化されていると言えるが、CCMP だけを利用し、HTTP 通信している場合は、アクセスポイントと通信先サーバ間の通信は平文となる。
ネットワークスキャン(Network Scanning)
ネットワーク・マッピング(Network Mapping)ともいわれ、ネットワーク上のアクティブなデバイスと、それぞれに割り当てられた IP アドレスを把握し、またその脆弱性などを検知する行為です。
ネットワークスキャンを実行することにより、ネットワーク内のホスト、OS 情報、Web サーバーに関する情報、脆弱性などを検知することができます。
著名なネットワークスキャンツールには nmap、SING、ICMPScan、SoftPerfect Network Scanner、LadonGO、Nessus、Acnetix、OpenVAS、Advanced IP Scanner などがあります。
また、能動的にリクエストを送信するアクティブスキャンに対して、ネットワーク上にセンサーを設置し、センサーを通過するトラフィックを解析することでデバイスを検知する仕組みをパッシブスキャンと呼びます。
https://www.sompocybersecurity.com/column/glossary/network-scanning
- Nmap はデフォルトでは、Well-known ポート(0~1024)とその他の有名なポートのみをスキャンする。
- 上記で挙がっている Nessus や OpenVAS はネットワークスキャン以外にも総合的な脆弱性診断が行える脆弱性スキャナー。
- OpenVAS は無償利用できるオープンソースソフトウェア。Nessus はクローズドソースで商用利用は有償である。
MTD(Maximum Tolerable Downtime)または MAD(Maximum Allowable Downtime)
最大許容停止時間。業務に損害を与えることなくシステム停止できる最長時間を意味する。
SIEM(Security Information and Event Management)
システム内の情報とイベントを集約し分析することで、イベントをリアルタイムに監視する手法のこと。
NTP(Network Time Protocol)
コンピュータシステム間で時刻同期させるための通信プロトコルである。
ユースケーステスト、ミスユースケーステスト
- ユースケーステスト:望ましい機能が動作するかどうか検証するテスト。
- ミスユースケーステスト:誤用や悪用などの望まない振る舞いに対しての動作を検証するテスト。
シンセティックモニタリング(合成モニタリング)
ユーザが行うであろう想定されるアクションのことを、シンセティックトランザクションと呼ぶ。これはエミュレートしたり、または実際の記録された操作を利用する。
シンセティックトランザクションを使用して、応答時間、機能、またはその他のパフォーマンスモニターにおけるパフォーマンスの変化を監視・検証することをシンセティックモニタリングと呼ぶ。これは通常は自動化ツールを使用して行われ、テスト環境でアプリの性能をモニタリングする。アクティブモニタリングの手法の一種。
シンセティックモニタリングは、プロアクティブモニタリングや(単なる)アクティブモニタリングとも呼ばれる。
リアルユーザモニタリング(RUM, Real User Monitoring)
パッシブモニタリングの手法の一種。アプリケーションやシステムに対するユーザー操作を記録して、パフォーマンスと適切なアプリケーション動作を監視する。
KRI(Key Risk Indicator, 重要リスク指標)
主要リスク指標とも呼ばれる。リスクの顕在化をいち早く察知し、被害の発生や影響をできる限り抑えることを狙いとして設定するモニタリング指標。主要リスク指標を特定し、監視することによって、ライフサイクルの早い段階で高リスク領域を特定できるようになる。
ペネトレーションテストの手順
- 計画策定
- 情報収集と発見:Nmap でポートスキャンを実施するなど。
- 脆弱性スキャン:Nessus、OpenVAS や Nikto、Burp Suite、QualysGuard で脆弱性スキャンを実施するなど。
- 侵害攻撃(エクスプロイト):John the Ripper でパスワードクラッキングする、sqlmap で SQL インジェクションを試みるなど。
- 報告
Nessus と OpenVAS は(総合的な)脆弱性スキャナーで、Nikto と Burp Suite は Web アプリケーション脆弱性スキャナー(Web サーバおよび Web アプリケーションのスキャンに特化)、QualysGuard ネットワーク脆弱性スキャナーはである。
コードカバレッジ
コードカバレッジテストで最も頻繁に要求される、一般的な 4 つのカバレッジ基準は、
- 機能(Function)カバレッジ:すべての機能が呼び出されること
- ステートメント(Statement)カバレッジ:すべてのコード行が実行されること
- 分岐(Branch)カバレッジ:すべての分岐が完全に実行されること(if else のなかのすべてのルートを通ること)
- 条件(Condition)カバレッジ:各条件のすべての可能性が評価されること(if の条件判定について、AND/OR などの複雑な判定があれば、そのすべての真偽パターンを確認すること)
テストカバレッジレポート
テストカバレッジレポートは、完了したテストケースの数を示し、テストケース使用時のテストメトリックを示す方法として使われる。
クリスマスツリー攻撃
パケットにいくつものフラグ(URG、ACK、PSH、RST、SYN、FIN)を立てて送り、応答を観察する攻撃。
ISCM(Information Security Continuous Monitoring, 継続モニタリング)
情報セキュリティの継続的監視プログラムを構築することで、組織の継続的なリスク管理をサポートする。NIST SP 800-137 に定義されている ISCM のプロセスは次の 6 段階からなる。
定義 -> 確立 -> 実装 -> 分析と報告 -> 対応 -> レビューと更新
Fagan(フェイガン)テスト
計画からフォローアップまで通して詳細に実施するコードレビュー方法。プロセスは次の手順で進む。
計画 -> 概要説明 -> 準備 -> インスペクション -> コード修正(コード修正後は、計画に戻る) -> フォローアップ
CVSS(Common Vulnerability Scoring System, 共通脆弱性評価システム)
3つの基準で脆弱性の深刻さを評価する方法。脆弱性の深刻さを計測することで、最終的には脅威に対する資産の優先順位を付けることができる。
- 基本評価基準:脆弱性そのものの特性を評価する基準
- 現状評価基準:脆弱性の現在の深刻度を評価する基準
- 環境評価基準:利用者を含め、最終的な脆弱性の深刻度を評価する基準
Metasploit
ペネトレーションテスターを支援するように設計された侵害攻撃ソフトウェア。Metasploit を使用するテスターは、すでにエクスプロイトが作られている既知の脆弱性を侵害したり、ツールを使用して独自のエクスプロイトを作成したりすることができる。
インターフェーステスト
システムまたはアプリケーションコンポーネントが適切に相互作用することを確認するテスト。
CPE(Common Platform Enumeration, 共通プラットフォーム一覧)
オペレーティングシステムやその他のシステムコンポーネントを一貫した形式で表現するための仕様。
SCAP(Security Content Automation Protocol)
NIST(National Institute of Standards and Technology)において、情報セキュリティ対策の標準化のための一連の仕様。構成要素は次の通り。
- CVE(Common Vulnerabilities and Exposures):脆弱性に対する識別子。
- CCE(Common Configuration Enumeration):パスワード有効期限やパスワード長さなどシステム設定に対するセキュリティ設定の識別子。
- CPE(Common Platform Enumeration):製品に対する識別子。
- CVSS(Common Vulnerability Scoring System):脆弱性の深刻度を評価するため項目。
- XCCDF(eXtensible Configuration Checklist Description Format):セキュリティチェックリストやベンチマークなどを記述するための仕様言語。
- OVAL(Open Vulnerability and Assessment Language):コンピュータのセキュリティ設定状況を検査するための仕様。
認証スキャン
読み取り専用アカウントを使用してシステム内に入ってからスキャンをする脆弱性スキャンの方法。システム内に入っている状態のため、対象システムの構成情報などにアクセスし読み取ることができ、脆弱性のテストがより正確になる。
ユースケース図、ミスユースケース図
ユースケース図は、ユーザ(および外部システム)の要求に対するシステムの振る舞いを表現する図。
ミスユースケース図は、ユースケース図を拡張したもので、一般的なユースケース図の内容に加え、システムにとって望ましくないユースケースも表現し、脅威や低減策なども含めたもの。
第7章:セキュリティの運用(ドメイン7) #
C&C(Command and Control)サーバ
C&C サーバは、サイバー攻撃者がマルウェアに指令を出したり、盗み出した情報を受け取ったりするためボットネットワークをコントロールする指令サーバのこと。特にソーシャルメディアは、ボットネット活動の C&C として広く使われている。
ボットネットとは、攻撃者やサイバー犯罪者の制御下にある、悪性ソフトウェア(マルウェア)に感染したコンピューターのネットワークのこと。
SDN(Software Defined Networking, ソフトウェア定義ネットワーク)
ネットワーク間に中継する通信機器やネットワークデバイスの転送判断を中央のサーバーからソフトウェアでプログラミングする手法。データ転送と経路制御の機能を論理的に分離し、ソフトウェア制御による動的で柔軟なネットワークを作り上げる技術全般を指す。これにより、ネットワークデバイス自体は複雑なロジックを持たず、SDN から命令を受信するだけとなる。
ネットフロー
ネットワークフローは、2 つのエンドポイント間のセッションの開始から終了までの一連の通信で、ネットフローデータ(ネットフローレコード)には、ネットワーク上で行われた、あらゆるネットワーク通信セッションの情報(送信元、宛先、サイズなど)が含まれている。これは通常のアクティビティとして定期的に保存される。
パケットキャプチャを実施するとそれ以上の情報が得られるが、ネットフローのように自動取得・保存されるものではないため、期間を決めて意図的にキャプチャを実施する必要がある。
2人制御(デュアルカストディ)
重要なアクションを完了するために2人以上の個人が共同しなければ実施できないようにすること。
フォレンジックディスクコントローラ
フォレンジックディスクコントローラは、OS からの書き込みコマンドをインターセプトし、ドライブに到達するのを防ぐことでディスクへの書き込みを防止し、読み取り専用にするための装置。主に4つの機能を実行する。
- デバイスに送信された書き込みコマンドを阻止し、書き込み禁止する。
- 読み取り要求されたデータを通常通り返す。
- デバイスへの顕著なアクセス情報を返す
- デバイスからフォレンジックホストにエラーを通知する
フォレンジックディスクコントローラは、フォレンジックドライブコントローラや(書き込みを防止することから)ライトブロッカーと呼ばれることもある。
擬似欠陥
攻撃者を引き付けるために使用する意図的に設計された脆弱性。
ハニーポット
意図的な脆弱性を持たせて構成したシステム。
ハニーネット
意図的な脆弱性を持たせて構成した複数のハニーポットのネットワーク。
災害の定義
災害復旧計画を実施する際などに一般的に災害とみなされるのは、洪水、火災、テロだけでなく、ハッキングに伴うインシデントや機器の故障も含まれる。災害には自然によるものも人為的なものも含まれるためである。
パラレルテスト
災害復旧テストのために実際に災害復旧サイトを稼働させるが、プライマリーサイトは引き続き通常業務運用する方式。
プライマリーサイトを実際に停止させて災害復旧サイトを稼働するのは完全停止テストと呼ばれる。
バックアップ媒体のローテーション戦略
- GFS (Grandfather/Father/Son) 方式:あらかじめ設定されているローテーションのサイクルに合わせて、日、週、月の単位でバックアップを実行する。
- Six Cartridge Weekly Backup(週に6カートリッジ)方式:月曜日から木曜日に増分バックアップを取得し、金曜日にフルバックアップを取得する。
- ハノイの塔方式:古いデータは少し、新しいデータはたくさんのバックアップを残す方式。バックアップは時間が経つにつれて価値が下がることを考慮している。
クラウドコンピューティングモデル
- パブリッククラウド:複数の顧客がクラウドベンダーのコンピューティング基盤を共有するクラウドコンピューティングモデル。共有テナンシーモデルとも呼ばれる。顧客同士はお互いの身元を知ることができない。
- プライベートクラウド:単一の組織が独占的に利用する。
- コミュニティクラウド:共通の目的を持つ複数の個人や組織からなる特定のコミュニティが独占的に利用する。
- ハイブリッドクラウド:上記を2種類以上組み合わせたもの。
CSIRT(Computer Security Incident Response Team)
セキュリティインシデントが発生した際に対応するチームのこと。通常、CSIRT 代表には、少なくとも経営幹部、情報セキュリティ専門家、法定代理人、広報担当スタッフ、エンジニアリング/技術スタッフの各代表者が含まれる。
差分バックアップと増分バックアップ
- 差分バックアップ:前回のフルバックアップから変更のあったものをバックアップ
- 増分バックアップ:前回の(フル or 増分)バックアップから変更のあったものをバックアップ
資格(Entitlement)
新しいアカウントを作成する際に、ユーザに与えられるデフォルトの権限を、資格という。
フォレンジックイメージング
フォレンジックイメージングとは、物理的なストレージデバイスをビット単位、セクター単位で直接コピーすること。すべてのファイル、フォルダー、未割り当ての空き領域、スラック領域や、削除されたファイル、ファイルの断片も含まれる。
妨害行為
従業員などの内部関係者による組織への攻撃は、妨害行為と呼ばれる。
データベースバックアップ方法
- リモートミラーリング:プライマリー DB のすべてのトランザクションをバックアップサイト(リモートサイト)にミラーリングする。
- リモートジャーナリング:スケジューリングされた時間(通常は1時間ごと)にトランザクションログをバックアップサイト(リモートサイト)に自動転送する。
- 電子ボールティング:スケジューリングされた時間(通常は毎日)にプライマリー DB からバックアップサイトにデータを(リモートサイト)を自動転送する
IPS, IDS(HIDS, NIDS)
- IPS(Intrusion Prevension System)
- IDS(Intrusion Detection System)
- HIDS(Host-Based IDS):監視対象サーバ上にソフトウェアとしてインストールする。ホスト上で実行されている不正なプロセスを検知する。
- NIDS(Network-Based IDS):ネットワーク上で流れるパケットを監視する。ネットワーク上の異常な通信を検知する。
ハックバック
不正アクセスなどのサイバー攻撃元に対して、同様の攻撃で報復すること。ただのサイバー攻撃と同等の行為とみなされる違法行為である。
ソフトウェアエスクロー契約(第三者預託契約)
ソフトウェアパッケージのソースコードのコピーを独立した第三者に預託し、ベンダーが事業運営を停止した場合には、その第三者がコードを顧客に引き渡す契約。
サンプリングとクリッピング
- サンプリング : 統計的手法を用いてデータ集合全体を代表するサンプルを選択する。
- クリッピング : 事前に定義した閾値を超えるデータのみを選択する。
推移的信頼
Active Directory などのディレクトリサービスにおいて、フォレストルートドメイン同士で信頼関係を設定すると、フォレストルートドメインだけでなく、その配下にあるサブドメインも自動的に信頼する仕組み。
パブリックドメイン
目的を問わず誰でも無制限に使用できるライセンス。
均衡性
連邦民事訴訟規則では、メリットがコストを上回らない場合には、電子情報開示のために余分な時間や費用をかけないように促している。これを均衡性という。追加開示のメリットは、必要な追加費用に見合ったものでなければならない。このコンセプトにより、追加の開示要求が過度な費用を伴うものとなることが防止される。また、要求者は通常、事件を担当する裁判官に要求の正当性を示さなければならない。
SCCM(System Center Configuration Manager)
Microsoft 社が情報システム管理者向けに提供している Windows ツール「System Center」製品群の一部で、ネットワークを通じて多数のコンピュータを遠隔から管理するシステム。
各コンピュータの構成や設定などの情報収集や管理、Windows の遠隔からのインストールやアップグレード、ソフトウェア更新プログラムの配布や適用、Windows Defender と連携したウイルス対策やファイアウォールの設定、モバイル機器の管理、電力消費の監視や電源管理、ソフトウェアの使用状況の測定などを行うことができる。
System Center Operations Manager
Microsoft 社が情報システム管理者向けに提供している Windows ツール「System Center」製品群の一部で、ネットワークを通じて多数のコンピュータのイベントおよびパフォーマンスを監視するシステム。
QoS(Quality of Service)
ネットワーク製品において、データを通す順番や量を調整する技術のこと。ルーターなどのネットワークデバイスが備えており、これを使用することで特定のネットワークトラフィックを優先することができる。QoS ポリシーは、どのトラフィックを優先するかを定義するものであり、トラフィックはこれに基づいて処理される。
第8章:ソフトウェア開発セキュリティ(ドメイン8) #
SDLC(Software Development Lifecycle, ソフトウェア開発ライフサイクル)
ソフトウェア開発プロジェクトの構想から機能要件の定義・実装までの各フェーズをガイドするフレームワーク。SDLC は7つのフェーズで構成される。その順序は、
概念の定義 -> 機能要件の決定 -> コントロール仕様の策定 -> 設計レビュー -> コードレビュー -> システムテストレビュー -> 保守および変更管理
フェイルセキュア(Fail secure)
フェイルセキュアとフェイルセーフ(Fail safe)とは異なる概念である。フェイルセーフとは、デバイスが故障しても人命や財産に危険が及ばないことを意味する。フェイルセキュア(フェイルクローズドとも呼ばれる)とは、セキュリティーに障害が発生しても、アクセスやデータが悪人の手に渡ることがないことを意味する。時には、このアプローチが正反対の解決策を示唆することもある。例えば、ビルが火災に見舞われた場合、フェイルセーフ・システムはドアのロックを解除して迅速に脱出し、消防士が中に入れるようにする一方、フェイルセキュアはドアをロックしてビルへの不正アクセスを防止する。
フェイルクローズド(=フェイルセキュア)の反対はフェイルオープンと呼ばれる。
SW-CMM(Software Capability Maturity Model, ソフトウェア能力成熟度モデル)
ソフトウェア開発作業において、組織がプロセスをより適切に管理できるようにすることを目標として遵守するべき指針を体系化したものであり、ソフトウェア開発組織のプロセス成熟度を評価するためのモデル。
- レベル1:初期段階:正式なプロセスが存在しない
- レベル2:反復可能段階:基本的な管理プロセスがある
- レベル3:定義段階:文書化された一連の標準プロセスが確立されている
- レベル4:管理段階:プロセスの評価が行われている
- レベル5:最適化段階:プロセスの継続的な改善が行われている
パスアラウンドレビュー
開発者とレビュアーが非同期的にコードレビューを行うことを指す。電子メールや中央コードレビューシステム(例:GitHub)を使用して行われることが多い。
ロストアップデート
あるトランザクションがデータベースに書き込んだ値が、先行するトランザクションで必要となる値を上書きする場合に発生する。これにより、それらのトランザクションが不正確な値を読み込むようになってしまうこと。
ダーティリード
あるトランザクションが、別のトランザクションにより書き込まれたものの、コミットされていない値をデータベースから読み込む場合に生じる。
シャドウパスワード
パスワードをユーザーが見られないようにする仕組み。パスワードは通常 /etc/passwd ファイルに暗号化して記録される。このファイルはどんなユーザーでも見ることができるため、セキュリティ上好ましくない。シャドウパスワードでは、root 権限でしか参照できない /etc/shadow ファイルにパスワードが記録され、/etc/passwd のパスワード暗号部分はシャドウファイルに存在することを示す「x」という文字に置き換えられる。
ソフトウェアにおけるグレーボックステスト
ソフトウェアテストにおけるグレーボックステストとは、テスターはユーザの観点からテストを行うが、テスト中にソースコードにアクセスできる形式のテストを指す。
ソフトウェアにおける脅威モデリング
一般的にソフトウェアの脅威モデリングでは、まずアプリケーションを分解し、アプリケーション自体を理解すると同時に、アプリケーションがほかのコンポーネントやユーザーとどのように影響し合うかを把握する。次に、脅威の特定とランク付けを行うことによって、優先すべき脅威に重点を置くことができるようにする。最後に、それらの脅威を低減する方法を特定することでプロセスが終了する。完了すると、組織は適切なコントロールにより特定された脅威に対処するアクションをとることができる。
これは設計およびコーディングの欠陥数とその他の欠陥の重大度を低減するために行われる。
スパイラル開発
ソフトウェア開発手法の1つ。ウォーターフォールを何回も繰り返していくことで製品を洗練させながら作り上げていくような方法。1回のサイクルでプロトタイプを作り、それを何回ものサイクルで作り上げていく。
反復型の開発手法という意味ではアジャイル開発も同様だが、アジャイル開発では各スプリントで各々の機能を作り上げて順次リリースいくのに対して、スパイラル開発はプロトタイプを作成していってシステム全体の品質が高くなった段階でリリースする。
ポリインスタンス化
ポリインスタンス化にはビューを用いる。ポリインスタンス化とは、リレーショナルデータベース固有のテーブル単位でしか権限を付与できないという制約を回避するため、複数のテーブルを一つに見せつつ、サブジェクト(= DB へのアクセス者)の権限に沿うようなビューを構成すること。
これにより、サブジェクトに対して必要以上の情報開示を避けることができ、セキュリティ対策となる。
IDEAL モデル
プロセス改善のモデルの1つ。PDCA のようなもの。
- 開始(Initiating):目的を明確にして体制を確立する。
- 診断(Diagnosing):現状を評価し、目的とのギャップを理解する。
- 確立(Establishing):計画を作成する。
- 行動(Acting):変更を実装する。
- 学習(Learning):結果を分析して次のサイクルの準備する。
論理爆弾(ロジックボム)
マルウェアの一種で、特定の時間や時間経過を引き金として攻撃活動を実行するプログラムの総称。
DevOps
DevOps 手法は、ソフトウェア開発、運用、品質保証の 3 分野間の連携を構築するシームレスなアプローチで、それらを統合することを目指すもの。DevOps モデルは「ソフトウェア開発」「品質保証」「運用」の 3 つから構成される
MBR(Master Boot Record)ウイルス
システムブートプロセスを変更し、オペレーティングシステムの読み込みプロセス中に、ブートプロセスをリダイレクトしてマルウェアを読み込むようにするウイルス。
マルチパータイト型ウイルス
システム間における拡散の可能性を高めるために、2つ以上の伝播メカニズムを用いることを特徴とするウイルス。最初の感染メカニズムの影響を受けなかったシステムに対して別の感染メカニズムを適用し、感染の可能性を高める。
第9章:模擬試験1 #
NIST SP800-53
SP800 シリーズは NIST(National Institute of Standards and Technology, 米国国立標準技術研究所)から発行されているコンピュータセキュリティ関連のレポート。米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられたもの。
NIST SP800-53 は「連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策」であり、米国政府内の情報システムをより安全なものにし、効果的にリスク管理するためのガイドライン。元々は政府向けに作成されたものであるが、民間組織においてもこのガイドラインが活用されている。
内容としては、セキュリティ対策のリスクマネジメントの方法から、ベースライン・セキュリティ統制の考え方、セキュリティ対策管理の指定方法などからなる。それらを実現する方法としてベースラインによるアプローチ、ベースラインでどのように実現するかが記載されている。
モーション検知器
- 静電容量式モーション検知器:電磁場の変化を感知する。監視区域の電磁場をモニタリングし、動きに対応する外乱を検知する。
- 波形モーション検知器:超音波またはマイクロ波の信号を監視区域に送り、物体に跳ね返って戻ってくる信号の変化を見る。
ステートフルパケットインスペクションファイアウォール
ステートフルパケットインスペクションとは、ルータやファイアウォールなどのセキュリティ機能の一つで、内外を出入りするパケットの情報を継続的に読み取って通信状態を把握し、外部から送信されたパケットの通過の可否を動的に判断すること。
一般的なパケットフィルタリング機能では、送信元アドレスや宛先ポート番号など、管理者が事前に設定した可否判断の条件に基づいて、個々のパケットを条件に適合するか否かだけで静的に判断する方式がよく用いられる。
これに対し、SPI では自身を通過するパケットを監視して一定の範囲で過去の通信履歴を記録しておき、そこから導き出される現在の通信状態に矛盾するパケットが届いた場合、設定された条件に適合するか否かに関わらず不審なパケットとみなして破棄する。通信の何を監視し、どのような一貫性を求めるかは管理者が設定できるようになっている。
例えば、TCP 接続を開始するには接続元から接続先に SYN パケットを送信し、接続を受け付ける場合は接続先が SYN+ACK パケットを返信、最後に接続元が ACK パケットを送信という 3 段階の手順(スリーウェイハンドシェイク)を踏むが、過去に SYN や SYN+ACK を送受信した形跡のないホストから唐突に ACK パケットが送られてきたら、相手方の動作の不具合か何らかの攻撃の一部であることが疑われる。
キャプティブポータル
キャプティブポータルとは、端末がネットワークに接続した際に、ユーザー認証や利用者登録などを行うまで外部との通信を禁止あるいは制限する仕組み。Web ブラウザなどで外部に接続しようとすると自動的に認証画面へ誘導される。この認証ページのことを指すこともある。
店舗や宿泊施設、交通機関などで提供されるインターネット接続サービスや Wi-Fi スポットなどで用いられるシステムで、利用条件や料金体系(有料の場合)などを案内したり、利用者のメールアドレスなど連絡先、身元情報を登録するために行われる。
プライベート IP アドレス
プライベート IP アドレス(ローカル IP アドレス)は特定のネットワーク内で割り当てられる IP アドレス。プライベート IP アドレスの範囲は RFC 1918 で規定されている。最終的にどのような IP アドレスを割り当てるかは組織の判断となるが、普通は RFC 1918 で定められている以下の範囲で割り当てる。
- 10.x.x.x
- = 10.0.0.0 ~ 10.255.255.255
- = 10.0.0.0/8
- 172.16.x.x ~ 172.31.x.x
- = 172.16.0.0 ~ 172.31.255.255
- = 172.16.0.0/12
- 192.168.x.x
- = 192.168.0.0 ~ 192.168.255.255
- = 192.168.0.0/16
Trusted Foundry(信頼できる工場)プログラム
軍にハードウェアを提供する情報技術ベンダーの製造インフラを保護するために設計された米国国防総省のプログラム。プログラムに参加している会社が供給する機器が安全であることを保証することで、サプライチェーンの保護に役立つ。
マスカレード
マスカレード(仮装)攻撃は、盗み出した、または偽りの認証資格情報を利用して認証メカニズムをバイパスする攻撃。
(スプーフィングは、IP アドレスやホスト名などを偽る。資格情報なしのなりすまし攻撃。)
最良証拠ルールと口頭証拠ルールと伝聞証拠ルール
- 最良証拠ルール:原本が利用できる場合、文書の写しは証拠として認められないことを示すルール。
- 口頭証拠ルール:契約が書面にされている場合、書面で修正されない限りはそれがすべてであり、口頭での修正は証拠として認定されないというルール。
- 伝聞証拠ルール:証言者は非常に特殊な例外を除き、他人が話したことについて証言することはできないというルール。必ず当事者本人が証言する必要がある。
NAT (ネットワークアドレス変換)
内部の LAN のプライベート IP アドレスとインターネットのパブリック IP アドレスなど、二つのネットワークの間で特定のアドレス同士を対応付け、転送時に自動的に書き換える技術。
レイテンシーとジッター
- レイテンシー:送信元から宛先へのパケット配信にかかる時間。より短い時間で通信が完了することを、低レイテンシと呼ぶ。
- ジッター:異なるパケットのレイテンシーの変動。
NAC システム
ネットワークアクセス制御(Network Access Control)システムは、ネットワークに参加を希望するデバイスについて、ユーザを認証し、ポリシーの要件を満たしているときのみ接続できる仕組み。
XST(クロスサイトトレーシング)
クロスサイトトレーシングとは、TRACE メソッドの HTTP 通信を Web ページに埋め込むことで、認証情報を取得する攻撃です。
TRACE メソッドとは
HTTP 通信のメソッドには、よく聞く GET や POST の他に TRACE というメソッドもあります。TRACE メソッドは、『今送ったものそのまま返して 』とことを意味します。
クロスサイトスクリプティング(XSS)とは
クロスサイトスクリプティング(XSS)攻撃とは、掲示板から脆弱なサイトに誘導をかけつつ、脆弱なサイトでのスクリプトを実行文も送付することで、ユーザーに本来存在しないはずのスクリプトを実行させる攻撃です。
ログイン画面に XSS で TRACE メソッドを埋め込まれてしまったとしましょう。ログインするためのパスワードが送信された後、TRACE で返却されて戻ってきてしまいます。送ったきりのパスワードがブラウザに戻ってくることで、漏洩につながっていきます。
防ぐには、XSS を実行させないこととサーバー側で TRACE メソッドを受け付けないことです。ただ、最近のメジャーなブラウザは TRACE メソッド自体を実行できないようになっています。
第10章:模擬試験2 #
ルーター、スイッチ/ブリッジ、リピーター、ゲートウェイ
- ルーター:OSI 参照モデルのネットワーク層で動作するネットワーク機器。ネットワーク中のデータの IP アドレスを元にルーティングする。
- スイッチ/ブリッジ:OSI 参照モデルのデータリンク層で動作するネットワーク機器。ネットワーク中のデータの MAC アドレスを元にルーティングする。スイッチはこの機能をハードウェアの仕組みで実現し、ブリッジはソフトウェアの仕組みで実現する。
- リピーター:OSI 参照モデルの物理層で動作するネットワーク機器。弱まったりノイズが入った電気信号を、増幅や整形して元の形に戻す。
もともとのスイッチは、上記の通りレイヤー2で稼働するもの(L2 スイッチ)だったが、ルーターと同じ働き(性能はルーター以上)するレイヤー3スイッチ(L3 スイッチ)と呼ばれるものが作られた。ルーターはソフトウェアの仕組みによって機能を提供しているが、L3 スイッチはハードウェアの仕組みを使っており高速な処理が可能となっている。そのため単にスイッチといったときに何を指しているかは曖昧である。
ゲートウェイは、異なるネットワーク同士を中継する仕組みの総称。ルーターやスイッチ/ブリッジはゲートウェイの一種と言える。ただし、異なるプロトコルの通信を繋げる際に、プロトコルを変換する仕組みを持った機器のことを特にゲートウェイと呼ぶことが多い。
FERPA(Family Educational Rights and Privacy Act)
いかなる形に関わらず、連邦資金を受け入れているすべての教育機関の学生のプライバシーを保護するための法律。
マルチタスクとマルチスレッド
- マルチタスク:複数のプロセスを1つのプロセッサー上で切り替えて処理すること。
- マルチスレッド:複数のスレッドを単一のプロセスで処理すること。
オープンリレー(第三者中継)
送信依頼を受け付ける際に、ユーザ認証をせず誰でも自由にメールを送信できるよう開放されているメール送信サーバ(SMTP サーバ)のこと。スパムに悪用されるため好ましくない。
NAPT、PAT
NAPT(Network Address Port Translation)とは、LAN とインターネットなど 2 つの TCP/IP ネットワークの境界にあるルータやゲートウェイが、双方の IP アドレスとポート番号を自動的に変換してデータを中継する技術。内部ネットワークからインターネットへ透過的にアクセスできるようになる。
別名:PAT(Port Address Translation)、IP マスカレード
Land 攻撃
標的に、送信元と宛先の IP アドレスが同じパケットを送信することで、このような通常仕様外のトラフィックを処理できないシステムをクラッシュさせようとする攻撃。
標的は受け取ったパケットに応答を送ろうとするが、送信元が自身に設定されているため、自身に向かって応答パケットを送信してしまう。その応答パケットへの応答も自身へ送り返そうとするため、無限ループ状態に陥ってしまい、過負荷で正常に応答できなくなり機能停止してしまう。
第11章:模擬試験3 #
コグニティブパスワード(Cognitive password)
知っている質問に対する回答に基づいてユーザを認証する認証。母親の旧姓やペットの名前などが使われやすい。ただし、これらの情報はソーシャルメディアなどで発見・予測できる可能性も高いことに注意が必要である。より優れたコブニティブパスワード とするためには、質問をユーザ自身に決定させるという方法がある。
APIPA アドレス(Automatic Private IP Addressing, 自己割り当て IP アドレス)
コンピュータやネットワーク機器が自身の IP アドレスを自動的に設定する機能。固定アドレスの設定がなく DHCP サーバにも接続できない場合などに使われ、設定されたアドレスはその機器が直接繋がれているネットワークでのみ利用することができる。
169.254.x.x(169.254.0.0 から 169.254.255.255)が使用される。
上記のアドレスの中からランダムに一つを選び、ネットワーク内で別の機器が利用していないか調べる。アドレスが空いている場合はそのアドレスを設定し、別の機器がすでに利用していた場合は空きが見つかるまでランダム選択を繰り返す。
ECPA(Electronic Communications Privacy Act, 電子通信プライバシー法)
電子通信経由での違法な傍受(電子メールなどの盗聴など)や電子的に保存されたデータへの意図的な不正アクセスも範囲とするもの法律。
認証局を介した鍵のやり取りの流れ
前提:Mike は Renee に機密メッセージを送りたい。
- 認証局が Renee のデジタル証明書を作成する。証明書本体には Renee の公開鍵が含まれている。
- 上記で作成したデジタル証明書について、認証局は自分の秘密鍵(=認証局の秘密鍵)でデジタル署名する。
- Mike は認証局から Renee のデジタル証明書を取得する。その後、認証局の公開鍵を使用して証明書の真正性を検証する。
- Mike は上記で得た正当な Renee の公開鍵を用いてメッセージを暗号化し、Renee に送信する。
- Renee は自身の秘密鍵を用いて、Mike からのメッセージを複合する。
テストカバレッジ
テストカバレッジ = テストされたユースケースの数 / ユースケースの総数
第12章:模擬試験4 #
データセンターの位置
データセンターは建物の中核に位置する必要がある。下層階に配置すると洪水や物理的侵入の影響を受けやすくなり、最上階に設置すると風邪や屋上の損傷の影響を受けやすくなる。例えば3階建の建物の場合、データセンターを配置するのは2階が最適である。
証拠の基準
- 犯罪調査:「合理的な疑いの余地のない」という証拠基準
- 民事調査:「証拠の優越性」という証拠基準
犯罪調査は収監を含む重大な刑の利害が絡むため、最も厳しい証拠の基準を使用する。
アーカイブビット
ファイルやフォルダに付与される属性の一つで、バックアップソフトなどに複製が必要であることを伝えるもの。ファイルやフォルダを作成したり更新するとオンになる。基本的にバックアップが取られるとビットはオフにされ、その後更新があるとまたオンになる。
- フルバックアップと増分バックアップにおいては、バックアップ時にビットはオフへ変更される。
- 差分バックアップにおいては、バックアップ時にビットは変更されない(オンのままとなる)。
スパイク、サージ、サグとブラウンアウト
- スパイク:瞬間的に高電圧が流れる時間のこと
- サージ:長期的に高電圧が流れる時間のこと
- サグまたはブラウンアウト:低電圧になっている時間のこと
Windows のログの種類
- システムログ:再起動、シャットダウン、サービス状態の変化などが記録される
- アプリケーションログ:各プログラムによって発生するイベントが記録される
- セキュリティログ:ログインや権利の使用などのイベントが記録される
自動復旧、過度のデータ損失が発生しない自動復旧、機能復旧、手動復旧
- 自動復旧:システムは1つまたは複数の障害に対して自己復旧できる。
- 過度のデータ損失が発生しない自動復旧:システムは自動復旧でき、さらにデータを損失から保護することもできる。
- 機能復旧:システムは自動的に機能プロセスを復旧できる。
- 手動復旧:管理者により手動で動作を復元するが、システムはセキュアな状態になり損ねることはない。
HIPPA の BAA(ビジネスアソシエイツ契約)
HIPPA は、HIPPA の対象団体に代わって個人の健康情報を扱うものに、ビジネスアソシエイツ契約(BAA)の条項に従うことを要求している。例えば、病院の医療記録システム開発を運用する受託会社は、病院とこの契約を締結する必要がある。