MTA Security 1章 CIA 機密性 Confidentiality 完全性 Integrity 可用性 Availability UPS(Uninterruptible Power Supply。無停電電源装置) 代表的な脅威 天災・災害、故障、改ざん、不正アクセス、クラッキング、盗聴、盗難 脆弱性 + 脅威 → 被害 リスクコントロールの分類 容認 リスクを受け入れて対策を講じない(リスクが小さい、対策費用が高すぎるなど) 軽減 リスクを減らす対策を講じる(パスワード付 USBメモリを使うなど) 移転 リスクに対する責任を第三者に移す(保険に入るなど) 回避 リスクそのものを排除する(USBメモリを使用不可にするなど) 暗号化、復号化、平文 共通鍵、公開鍵 共通鍵暗号方式 処理が高速 鍵の管理、配布が難しい 公開鍵暗号方式 処理が低速 鍵の管理、配布が容易 共通鍵暗号方式 DES、3DES、RC2、RC4、AES など 公開鍵暗号方式 RSA、Diffie-Hellman、ElGamal など MD(メッセージダイジェスト。ハッシュ化された固定長のデータ、文字列) CA(Certificate Authority。認証局) PKI(Public Key Infrastructure。公開鍵基盤) 暗号化やデジタル署名で利用される公開鍵暗号方式を用いた技術、製品全般のこと SSL、S/MIME、IPsec、スマートカードなどがそれに当たる。 RAID(Redundant Arrays of Inexpensive Disks) 2章 ウィルスの定義(狭義のウィルスの定義) 自己伝染機能 潜伏機能 発病機能 広義のウィルスを「マルウェア」と呼ぶ。ウィルス全般のこと。 狭義のウィルス ファイルに寄生する ワーム ファイルとして存在し(ファイルには寄生せず)自己増殖する トロイの木馬 ファイルとして存在し(ファイルには寄生せず)自己増殖もしない 一見すると悪意ないアプリに見える。バックドアなどとして機能する パスワードクラッキング(パスワード解析攻撃) 辞書攻撃 辞書に載っている単語を組み合わせて利用する ブルートフォース攻撃 総当たり攻撃。あらゆる文字列の組み合わせを試す ソーシャルエンジニアリング トラッシング(Trashing。Trash Boxゴミ箱。ゴミをあさる行為) ショルダーハッキング(のぞき見。肩越しにのぞき見る行為。) スピア型(Splear Attack。槍型攻撃。標的攻撃。)特定の人物、組織の狙い撃ち攻撃 受動攻撃 ユーザの行動がきっかけとなって実行される攻撃 スプーフィング攻撃(Spoofing Attack。偽装(なりすまし)攻撃) スニッフィング(Sniffing。パケットを盗聴すること) Dos攻撃(Denial of Service Attack) DDos攻撃(Distributed Denial of Service Attack) 大量のパケットを送信する攻撃。 Dosは単独。DDosはゾンビ PCなどを利用した複数からの攻撃。 UTM(Unified Threat Management。統合脅威管理) ファイヤーウォールより多様な脅威に対応出来る(4章にもある) IDS(Intrusion Detection System。不正侵入検知システム) ファイヤーウォールは脅威を発見し、守る装置。 IDSは脅威を発見し管理者に通知することが主な目的。 IPS(Intrusion Prevention System。不正侵入防止システム) IDSを一歩進めた不正を検知したら自動的に遮断することまで行うシステム ファイヤーウォールと、IDS/IPSは併用して使うもの。 バッファオーバーフロー プログラム側が想定している以上の大きいデータを送信する攻撃 キャッシュポイズニング DNSサーバの仕組みを悪用してレコードの内容を書き換える攻撃 ポートスキャン 提供されているサービス、ポート番号を特定する アドレススキャン 設定されている IPアドレスを特定する バナーチェック 動作している OSの種類やバージョンを特定する Webサイトへの攻撃 ディレクトリトラバーサル攻撃 クロスサイトスクリプティング ウォードライビング 脆弱な wi-fiのアクセスポイントを探して攻撃する方法 車に機材を積んで探していたためドライビングと言う名が付く 対策として 接続を許可する端末の MACアドレスの登録 ESSIDのブロードキャスト停止 電波の強度調整 強固なセキュリティ規格や認証方式の採用 3章 AAA 認証 Authentication ユーザの身元を確認すること 承認 Authorization データに対するアクセスの権限をチェックすること アカウンティング Accounting データへのアクセスを記録すること or 監査 Audit ローカルセキュリティポリシー タスクマネージャー デバイスマネージャー Kerberos認証 Active Directoryのログオンに使用 NTLM v2認証 ローカルログオンで使用(NT LAN Manager) NTLM v1認証 もう古い形式 LM認証 もう古い形式 ※下が古い。強度が低い バイオメトリクス認証 指紋認証 メリット :安価で小型 デメリット:指をケガすると認証が難しくなる 顔認証 メリット :非接触型で歩きながらでも認証可能 デメリット:化粧や体調による影響が大きい。双子が見分けにくい 虹彩認証 メリット :非接触型。障害で変化しにくい デメリット:病歴が分かるなどプライバシーに問題がある 装置が大型で高価 筆跡認証 メリット :利用者の抵抗が少ない デメリット:変動の幅の対応をどうするかが課題 アカウントロックアウトポリシー 認証に複数回失敗したときに認証を拒否する機能の条件設定 Administratorは対象にならない ドメインコントローラー Active Directory環境でユーザアカウントの情報を一元管理するサーバ。 ファイルシステム exFAT 256TBまで。リムーバブルなメディアで使用 NTFS 暗号化が出来るなどの機能を持つ現行のファイルシステム FAT32 32GBまで なので、FAT、FAT32は現在はほぼ使われていない FAT 4GBまで ACL Access Control List。データにアクセスする制限情報を管理するリスト。 DACL Discretionary Access Control List。随意アクセス制御。Windowsではこう表現 ACE Access Control Entry。DACLの一つ一つのこと。 SACL System Access Control List。監査を記録するための条件を定義するリスト EFS(Encrypting File System。暗号化ファイルシステム BitLocker ボリューム単位(ドライブ単位)の暗号化システム TPM(Trusted Platform Module) TPMは OSの領域を BitLockerで暗号化する場合の鍵の保存場所。 暗号鍵は TPMか USBメモリを選択可能(HDDには保存不可) TPMにアクセスするパスワードを USBに保存し強度を高めることも可能 データボリュームを暗号化する場合はパスワード or スマートカードが選択可能 BitLocker To Go リムーバブルメディアの暗号化機能 データボリュームなので、暗号化鍵はパスワード or スマートカードを設定 パスワードの保存先に TPMを選択することは出来ない Windows Defender Windowsにデフォルトで入っているセキュリティ対策ソフト(アンチウィルスソフト) AppLocker 実行するソフトウェアをコントロールするソフト 発行元 発行元のデジタル署名がある場合に利用可能 製品名やバージョンの値を条件に指定できる パス デジタル署名がなくても利用可能 指定したパスの場所にあるフォルダ、ファイルを規制対象に出来る ファイルハッシュ デジタル署名がなくても利用可能 指定したファイルからハッシュ値を算出し、ハッシュ値が同じなら規制可能 アクセス許可 フルコントロール、変更、読み取りと実行、読み取り、書き込み 削除は、詳細な条件として設定可能 監査ポリシー アカウントログオンイベントの監査 ←認証を行った PCにログを保存 ログオンイベントの監査 ←認証の試行を行った PCにログを保存 アカウント管理の監査 オブジェクトアクセスの監査 システムイベントの監査 ディレクトリサービスのアクセスの監査 プロセス追跡の監査 ポリシー変更の監査 特権使用の監査 4章 パーソナルファイヤーウォール エンタープライズファイヤーウォール パケットフィルタ IPフレームの IPヘッダと TCP/UDPヘッダを検査対象 サーキットレベルゲートウェイ IPフレームの IPヘッダと TCP/UDPヘッダを検査対象はパケットフィルタと同じ 違いはセッション状態を判断して制御が可能 アプリケーションゲートウェイ アプリケーションデータを検査対象 プロキシ 内部ネットワークから外部に接続する際に代理サーバとして働く機能 現在はファイヤーウォールと統合されることが多い ステートフルインスペクション 行きの設定をすれば戻りの設定を自動的に設定してくれる機能 UTM(Unified Threat Management。統合脅威管理) ファイヤーウォールより多様な脅威に対応出来る(2章にもある) ウィルス検知や不正侵入、VPNなどの機能なども統合してある IDS、IPSも関連システム(2章に記載) SCM(Secure Control Management。 UTMからファイヤーウォールの機能を省いたもの(機能がやや少ない) 既存の環境に UTMの導入が難しい場合に利用することが多い DMZ(Demilitarized Zone。境界ネットワーク。非武装地帯 VLAN(Virtual Local Area Network タグ VLAN、ポートベース VLAN などがある NAT(Network Address Translation。ネットワークアドレス変換 リモートアクセスで使用する認証プロトコル(下が古い。強度が低い) EAP (Extensible Authentication Protocol。PPPの拡張 IKEv2 (Internet Key Exchange Protocol。証明書による認証。 MS-CHAP v2(Microsoft-CHAP。CHAPのマイクロソフト版 CHAP (Challenge Handshake Authentication Protocol。PPPの認証。暗号化認証 PAP (Password Authentication Protocol。平文で認証するので危険 VPN(Virtual Private Network) VPNトンネリングプロトコル PPTP (Point To Point Tunneling Protocol L2TP/IPsec(Layer-2 Tunneling Protocol/IPsec SSTP (Secure Socket Tunneling Protocol IPsec(Internet Protocol Security。 認証、暗号化による機密性、署名による改ざん検出を提供。標準プロトコル。 ネットワーク層で動作。そのため使用するアプリには依存しない 実際に使用する認証、暗号化、署名のアルゴリズムは多様なものを利用可能 認証メカニズム(下の方が強度が低い) Kerberos 証明書 通信機器に証明書をインストールし、証明書の交換で認証 事前共有キー キーワードを設定し一致しているか否かで認証 暗号化アルゴリズム AES-CBC CBCモードと呼ばれるブロック暗号処理を行うアルゴリズム AES-GCM 整合性と暗号化を両方サポートするアルゴリズム 3DES 3つの DESキーを利用した対象キーアルゴリズム DES 56ビット対象キーアルゴリズム なし 暗号化しない 署名用ハッシュアルゴリズム AES-GMAC 128~256ビットの長さを選択してハッシュを生成するアルゴリズム SHA-1 160ビットのハッシュを生成するアルゴリズム MD5 128ビットのハッシュを生成するアルゴリズム Windowsで IPsecを利用するには IPセキュリティポリシーを設定 「ローカルセキュリティポリシー」or「グループポリシー」を使用して構成 接続セキュリティの規則を設定 「セキュリティが強化されたWindowsファイヤーウォール」の管理ツールを 使用して構成 RADIUS(Remote Authentication Dial In User Server) リモートアクセスの認証要求をひとまとめに引き受けるサーバー Wi-Fiの暗号化技術(下が古い。強度が低い) WPA2(AESと呼ばれる暗号化の仕組みを使う WPA (Wi-Fi Protected Access WEP (Wired Equivalent Privacy 802.1x認証(有線、無線LANで使用する認証。 EAP-MS-CHAP v2 パスワードを利用した認証。PEAPと併用する時のみ利用可能 EAP-TLS 証明書 or スマートカードを利用して認証。 PEAP TLSを利用して他の EAP認証プロトコルの強度を高める認証方法 (Protected Extensible Authentication Protocol) NAP(Network Access Protection) 適切なセキュリティ設定をしている PCのみ接続許可する機能 Windows Server2008以降。クライアントは XP以降。 ネットワークポリシーサーバーの役割を追加することで機能を利用できる ネットワークポリシーサーバーでは Windowsセキュリティ正常性検証ツールを使い、 NAPで必要なセキュリティ項目を定義 ESSID(Extended Service Set ID。Extended SSID DNSSEC(Domain Name System Security Extentions DNSのリソースレコードにデジタル署名を行う DNSキャッシュポイズニングの脅威から保護できる 5章 Windows Updateを管理するソリューション Windows Update サーバ構成不要。無償。結果レポートや配布管理は出来ない WSUS(Windows Server Update Services サーバ構成必要。無償。配布管理が可能。だが、簡易的な機能に留まる SCCM(System Center Configuration Manager サーバ構成必要。有償。結果レポートや配布管理を高度に行える。 WSUS、SCCMを利用すると更新プログラムの配布制御ができる。 ダウンロードしたファイルを保持するためネットワーク上のトラフィックを低減可能 WSUSを利用する際はグループポリシーの設定を変更する Hyper-V Server マイクロソフトが提供する仮想化サーバ専用 OS。 Windowsのデフォルトのユーザは下記 2つ Administrator 管理権限ユーザ Guest ゲストユーザ。デフォルトでは無効になっている セカンダリログオン 一般ユーザ権限でログイン時に一時的に管理権限ユーザでログインすること コマンドでログオンするときは「runas」 UAC(User Account Control。ユーザアカウント制御) 意図せず設定を変更しないよう、変更を加える際に確認するダイアログを表示させる サービス用のアカウント ローカルシステムアカウント Administrator権限と同等の権限を持つ Network Service Usersと同等。ネットワークアクセス時は匿名アカウントとして動作 Local Service Usersと同等。ネットワークアクセス時はローカルのアカウントとして動作 MBSA(Microsoft Baseline Security Analyzer セキュリティ構成に問題がないかを検査するツール 更新プログラムの適用状況 OSのセキュリティ設定 ISS(Internet Information Service)のセキュリティ構成 SQLのセキュリティ構成 アプリケーションのセキュリティ構成 SMB(Server message Block。ファイル共有へアクセスするためのプロトコル メールの暗号化プロトコル S/MIME(Secure Multipurpose Internet Mail Extensions 公開鍵暗号方式を利用した暗号とデジタル署名を利用する 公的な証明機関から発行された証明書が必要 PGP(Pretty Good Privacy S/MIMEと同様の暗号、署名を利用する しかし、公的な証明書を使わず第三者の秘密鍵で署名して利用する モバイルコード Webサイトを閲覧時などにクライアント側にダウンロードされて実行されるプログラム SmartScreenフィルター フィッシング詐欺などの悪意あるサイトへのアクセスや、悪意あるファイルなどの ダウンロードを遮断する機能。Microsoftが管理するデータベースを参照して判断 InPrivateブラウズ 閲覧履歴を残さずにブラウザを利用するための機能 「コンテンツアドバイザー[規制]」タブで設定 ハニーポット 侵入や攻撃を察知するために用意したわざと侵入しやすい環境にしたサーバなどのこと