情報セキュリティ読本 三訂版 情報セキュリティ読本 三訂版 - IT時代の危機管理入門 - (第5章 もっと知りたいセキュリティ技術) 出典: 情報セキュリティ読本 三訂版 1 第5章 もっと知りたいセキュリティ技術 1. アカウント、ID、パスワード 2. 攻撃手法 3. 脆弱性を悪用する攻撃 4. ファイアウォール 5. 暗号とディジタル署名 出典: 情報セキュリティ読本 三訂版 2 第5章 1. アカウント、ID、パスワード 1) パスワードの重要性 2) パスワードクラッキング 3) パスワードを保護するための対策 4) さまざまな認証方式 出典: 情報セキュリティ読本 三訂版 3 第5章 > 1. アカウント、ID、パスワード 1) パスワードの重要性 • • • • • ID: ユーザが誰であるかを識別 パスワード: 本人であることを確認 大原則「パスワードは本人しか知らない」 パスワードが漏えいした瞬間から、システ ムやネットワークが脅威にさらされる パスワードは、ユーザが思っている以上 に重要なもの 出典: 情報セキュリティ読本 三訂版 4 第5章 > 1. アカウント、ID、パスワード 2) パスワードクラッキング • パスワードクラッキングの種類 – 本人から入手(ソーシャルエンジニアリング) – パスワードを推測 – パスワードファイルを解析する(不正なツール を使用) • 辞書攻撃 、ブルートフォース攻撃など ⇔用語集p.127(辞書攻撃)、p.131 (ブルートフォース攻撃) 参照 – 盗聴する 出典: 情報セキュリティ読本 三訂版 5 第5章 > 1. アカウント、ID、パスワード 3) パスワードを保護するための対策 • 強度が高い(推測しにくい)パスワードを使用する – – • 定期的にパスワードを変更する – • 長くする、生年月日・電話番号・愛称などは避ける 大文字・小文字・数字・記号を組み合わせる 初期パスワードをそのまま使わない 絶対に人に教えない – – 管理者などから問われることはない アカウントの貸し借りはしない 例:パスフレーズによる設計(好きなフレーズをもとに変換) パスフレーズ「JINSEI IROIRO」 パスワード 「J#NS2R&R」 母音を抜き記号や数字を挿入 出典: 情報セキュリティ読本 三訂版 6 第5章 > 1. アカウント、ID、パスワード 4) さまざまな認証方式 • 本人しか知らない情報を入力 – パスワード • 本人固有の持ち物を使用 – トークン(ワンタイムパスワード生成装置) – スマートカード等 • 本人の身体的特徴で識別 – バイオメトリック認証(指紋など) ⇔用語集p.133(ワンタイムパスワード)、p.128 (スマートカード) p.129(バイオメトリック認証)参照 出典: 情報セキュリティ読本 三訂版 7 第5章 2. 攻撃手法 • 外部からの攻撃(侵入)の流れ 事前調査 権限取得 ポートスキャン 様々な 攻撃 特権ユー ザ獲得 システムの 情報収集 アカウント名の 調査 (結果) 不正実行 ファイル 奪取 後処理 裏口作成 証拠の隠滅 資源利用 不正プログ ラム埋込 パスワード 推測 一般ユーザ 権限獲得 踏み台 出典: 情報セキュリティ読本 三訂版 8 第5章 > 2. 攻撃手法 1) 事前調査 • システム情報の収集 – – – – – – IPアドレス サーバ名 サーバソフトウェア OSの種類、バージョン 提供されているサービス 侵入検知システム • Webサイトの調査やポートスキャンを実行 ポートスキャンとは? 攻撃・侵入の前段階として、標的のコンピュータの各ポートにおけるサービスの 状態を調査すること。(ポートと脆弱性については、第5章 p.84-85 参照) 出典: 情報セキュリティ読本 三訂版 9 第5章 > 2. 攻撃手法 2) 権限取得 • ツールなどを使用し、パスワードを強引に 解読して権限を取得 = パスワードクラッキング • パスワードクラッキングの手法 – ブルートフォース攻撃 ⇔用語集p.131 参照 • 総当り的に調べる – 辞書攻撃 ⇔用語集p.127 参照 • 特殊な辞書を使用して照合 出典: 情報セキュリティ読本 三訂版 10 第5章 > 2. 攻撃手法 3) 不正実行 • さまざまな不正行為を実行する – 盗聴 – 改ざん – なりすまし – 破壊 – 不正プログラムの埋め込み – 踏み台 ⇔詳細については、第2章 > 2. 外部のリスク要因 > 2) 外部からの 侵入(不正アクセス)のスライド、または 第5章 p.82-83 を参照 出典: 情報セキュリティ読本 三訂版 11 第5章 > 2. 攻撃手法 4) 後処理 • 証拠隠滅 ログの消去などにより侵入の形跡を消す • バックドアの作成 次回の侵入を容易にするための裏口を設置 出典: 情報セキュリティ読本 三訂版 12 第5章 3. 脆弱性を悪用する攻撃 1) ポートと脆弱性 2) 脆弱性を悪用する攻撃例 – – – – バッファオーバーフロー攻撃 クロスサイトスクリプティング攻撃 SQLインジェクション攻撃 DNSキャッシュポイズニング攻撃 出典: 情報セキュリティ読本 三訂版 13 第5章 > 3. 脆弱性を悪用する攻撃 1) ポートと脆弱性 (1) • ポート(80番、25番、110番など) – インターネットで特定のサービスを通信させる ための識別番号 • プロトコル(HTTP、SMTP、POP3など) – サービスを提供するための約束ごと • 例:サービスと使用するポート番号 – WWWプロトコル(HTTP)→ポート80番 – メール送信プロトコル(SMTP)→ポート25番 – メール受信プロトコル(POP3)→ポート110番 出典: 情報セキュリティ読本 三訂版 14 第5章 > 3. 脆弱性を悪用する攻撃 1) ポートと脆弱性 (2) ポートとプロトコル 出典: 情報セキュリティ読本 三訂版 15 第5章 > 3. 脆弱性を悪用する攻撃 1) ポートと脆弱性 (3) • ポートが開いていると・・・ – 提供しているサービスがわかる – 開いているポートを悪用して侵入・攻撃 – 脆弱性があると、さまざまな被害を受ける(ウ イルス感染、操作権限の奪取、DoS攻撃を仕 掛けるプログラムの埋め込みなど) 対策: • 使わないポートは閉じる • パッチを適用し脆弱性をふさぐ 出典: 情報セキュリティ読本 三訂版 16 第5章 > 3. 脆弱性を悪用する攻撃 バッファオーバーフロー攻撃 • 大量のデータを送り込んでバッファをあふれさせ、プログラ ムの誤作動を招く。 • これにより、不正なプログラムを実行させたり、権限を不正 に取得する。 出典: 情報セキュリティ読本 三訂版 17 第5章 > 3. 脆弱性を悪用する攻撃 クロスサイトスクリプティング攻撃 ①スクリプトと呼ばれるプログラムを仕込む ②罠が仕掛けられたサイトで、ユーザがリンクをうっかりクリックすると。。 ③ターゲットのサイトへジャンプ ④仕込まれたスクリプトがターゲットのサイトで無害化されずにPCに当該サイ トからの指示のごとく返してしまう。 ⑤個人情報の漏えい、不正な買い物などの被害にあう 出典: 情報セキュリティ読本 三訂版 18 第5章 > 3. 脆弱性を悪用する攻撃 SQLインジェクション攻撃 WebアプリケーションにSQLインジェクションの脆弱性があると • データベースに問い合わせをするSQL文に不正なコマンドを埋め込むことにより、 データベース内のレコードを不正に操作 • 情報の改ざん、消去、漏えいなどの被害 出典: 情報セキュリティ読本 三訂版 19 第5章 > 3. 脆弱性を悪用する攻撃 DNSキャッシュポイズニング攻撃 (1) • • • DNSサーバのキャッシュを不正に書き換え、IP アドレスとドメイン名の対応を誤ったものにする ユーザは別の送信先にメールを送信してしまっ たり、偽のWebページに誘導され、個人情報や 機密情報が盗まれる DNS amp攻撃などがある DNS: Domain Name System DNS サーバ: ドメイン名をIPアドレスに変換するサービスを提供 するサーバ 出典: 情報セキュリティ読本 三訂版 20 第5章 > 3. 脆弱性を悪用する攻撃 DNSキャッシュポイズニング攻撃 (2) 出典: 情報セキュリティ読本 三訂版 21 第5章 4. ファイアウォール 1) ファイアウォールとは? 2) パケットフィルタリング、アプリケーション ゲートウェイ、プライベートアドレス 3) ネットワークアドレス変換技術(NAT) 4) DMZ(非武装地帯) 5) ファイアウォールの落とし穴 6) パーソナルファイアウォール 出典: 情報セキュリティ読本 三訂版 22 第5章 > 4. ファイアウォール 1) ファイアウォールとは? • インターネットと内部ネットワーク(LAN)の 境界線上で、アクセス制御を行う装置 【ファイアウォールの主な機能】 – – – – 外部との出入口を絞る 内部ネットワーク(LAN)の構造を外部に見せない 外部からの不正なアクセスを排除 必要なアクセスだけを通過させる 出典: 情報セキュリティ読本 三訂版 23 第5章 > 4. ファイアウォール 2) パケットフィルタリング、アプリケーションゲートウェイ、 プライベートアドレス • パケットフィルタリング – パケットの選別 • アプリケーションゲートウェイ – アプリケーションプロトコルに基づくアクセス制御 • プライベートアドレスの割り当て – グローバルアドレスとプライベートアドレス 出典: 情報セキュリティ読本 三訂版 24 第5章 > 4. ファイアウォール > 2)パケットフィルタリング、アプリケーションゲートウェイ、 プライベートアドレス パケットフィルタリング パケットの情報に基づいて、通過させるパケットと通過させない パケットを選別。通常は「通過を許可するパケットだけを指定」。 出典: 情報セキュリティ読本 三訂版 25 第5章 > 4. ファイアウォール > 2)パケットフィルタリング、アプリケーションゲートウェイ、 プライベートアドレス アプリケーションゲートウェイ • アプリケーションプロトコルに基づいてアクセ スを制御する – 例: HTTP(Webアクセス)、FTP(ファイル転送)、 POP(メール受信)、SMTP(メール送信)など • アプリケーションプロトコルごとに許可/禁止を 制御可能 出典: 情報セキュリティ読本 三訂版 26 第5章 > 4. ファイアウォール > 2) パケットフィルタリング、アプリケーションゲートウェイ、 プライベートアドレス プライベートアドレスの割り当て • グローバルアドレス – インターネットに接続する各機器に一意に割り当 てられたIPアドレス • プライベートアドレス – 組織や会社内の閉じられた空間で独自に割り当 てられたIPアドレス – そのままではインターネットにアクセスできない – 外部からアクセスされない利点もある 出典: 情報セキュリティ読本 三訂版 27 第5章 > 4. ファイアウォール 3) ネットワークアドレス変換技術(NAT) (1) • • 内部のプライベートアドレスをグローバル アドレスに変換し、インターネットへのアク セスを可能にする技術 利点 – 限られたグローバルアドレスの有効活用 – 内部情報を隠す – 外部からの不正アクセスを防ぐ 出典: 情報セキュリティ読本 三訂版 28 第5章 > 4. ファイアウォール 3) ネットワークアドレス変換技術(NAT) (2) ネットワークアドレス変換(NAT:Network Address Translation) 出典: 情報セキュリティ読本 三訂版 29 第5章 > 4. ファイアウォール 4) DMZ (DeMilitarized Zone:非武装地帯) 外部のインターネットと内部のLANの間に緩衝地帯を設け、 公開サーバを設置 出典: 情報セキュリティ読本 三訂版 30 第5章 > 4. ファイアウォール 5) ファイアウォールの落とし穴 • ファイアウォールも万全ではない – 例: DoS攻撃やウイルスは防げないこともある • 過信せずにあらゆるセキュリティ対策を行う ことが肝要 出典: 情報セキュリティ読本 三訂版 31 第5章 > 4. ファイアウォール 6) パーソナルファイアウォール(1) • インターネットに常時接続する個人ユーザ に効果的 • さまざまな製品が発売されている – ウイルス対策ソフトウェアと組合せたもの等 • Windows XPの簡易ファイアウォール機能 出典: 情報セキュリティ読本 三訂版 32 第5章 > 4. ファイアウォール 6) パーソナルファイアウォール(2) 自分が攻撃して しまう場合 通常利用 インターネット 利用者 侵入者 攻撃や不正な アクセスを制限 パーソナル ファイアウォール 出典: 情報セキュリティ読本 三訂版 33 第5章 5. 暗号とディジタル署名 1) 暗号技術とは 2) ディジタル署名とは 3) 認証局とは 4) 身近に使われている暗号技術 出典: 情報セキュリティ読本 三訂版 34 第5章 > 5. 暗号とディジタル署名 1) 暗号技術とは • • • • 暗号化、復号、鍵 共通鍵暗号方式 公開鍵暗号方式 共通鍵方式と公開鍵方式の組み合わせ (ハイブリッド暗号方式) 出典: 情報セキュリティ読本 三訂版 35 第5章 > 5. 暗号とディジタル署名 > 1)暗号技術とは 暗号化、復号、鍵 (1) • • • 暗号化: 特定の法則に基づいてデータを 変換し、第三者に内容を知られないように すること 暗号化、復号、平文、暗号文、アルゴリズ ム、鍵などの用語を理解したい ⇔用語集p.131(復号) 共通鍵暗号方式と公開鍵暗号方式の2つ が使用されている 出典: 情報セキュリティ読本 三訂版 36 第5章 > 5. 暗号とディジタル署名 > 1)暗号技術とは 暗号化、復号、鍵 (2) 例 ひらがな(あいうえお・・・)の各文字を3文字後ろにずらす 暗号化 あした 平文 えそて 復号 暗号文 3文字後ろにずらす アルゴリズム 鍵 出典: 情報セキュリティ読本 三訂版 37 第5章 > 5. 暗号化とディジタル署名 > 1)暗号技術とは 共通鍵暗号方式 • 共通鍵暗号方式 – – 暗号化と復号(元の状態に戻すこと)に「同じ鍵」を 使用する 暗号化 同じ鍵=共通鍵 Password is AAA Y/K0pQ n]*+1?.. A さん 同じ鍵を使用=共通鍵 B さん Password is AAA Y/K0pQ n]*+1?.. 復号 例: DES、トリプルDES、AES、MISTY1、Camellia など ⇔用語集p.122(DES)、p.129 (トリプルDES)、p.122(AES) p.124(MISTY1)、p.122 (Camellia)参照 出典: 情報セキュリティ読本 三訂版 38 第5章 > 5. 暗号化とディジタル署名> 1)暗号技術とは 公開鍵暗号方式 (1) • • • 秘密鍵と公開鍵の2本の鍵(ペア)を使用 公開鍵を使用して暗号化し、秘密鍵で復 号する 「公開鍵と対になっている秘密鍵を使用し ないと復号できない」ことがポイント ↓ その秘密鍵を持つ人だけが復号可能 出典: 情報セキュリティ読本 三訂版 39 第5章 > 5. 暗号化とディジタル署名> 1)暗号技術とは 公開鍵暗号方式 (2) 秘密鍵と公開鍵 公開鍵で 暗号化 Password is BBB12345 秘密鍵で 暗号化 iID?Y2cO4/ VD2=Yx4o.. 秘密鍵だけで 復号可能 Password is BBB12345 D1pr5/GG?t YjTb$a4Kv.. 公開鍵だけで 復号可能 秘密鍵と公開鍵のペア (他のどの鍵ともマッチ ングしない一意のペア) 秘密鍵 公開鍵 出典: 情報セキュリティ読本 三訂版 40 第5章 > 5. 暗号化とディジタル署名 > 1)暗号技術とは 公開鍵暗号方式 (3) 公開鍵暗号方式による通信 B さん B さん 復号 Password is AAA 秘密鍵と公開鍵を作成し、 公開鍵を送信 A さん 秘密鍵を使用して復号する A さん Password is AAA 公開鍵を受け取る Y/K0pQ n]*+1?.. 暗号化 Y/K0pQ n]*+1?.. 公開鍵を使用して暗号化し、送信 例: RSA、Diffie-Hellmanなど(一般的にRSAが使用される) 出典: 情報セキュリティ読本 三訂版 41 第5章 > 5. 暗号化とディジタル署名 > 1)暗号技術とは 共通鍵方式と公開鍵方式の組み合わせ • 共通鍵暗号方式 – 最初の鍵の受け渡しが弱点 • 公開鍵暗号方式 – 暗号化と復号に時間がかかる • 2つを組み合わせることで弱点を克服 – 最初に公開鍵暗号方式で共通鍵を送り、以 降は共通鍵で暗号化/復号 出典: 情報セキュリティ読本 三訂版 42 第5章 > 5. 暗号化とディジタル署名 2) ディジタル署名 • • 送信者が本人であり、送信内容が改ざん されていないことを証明する仕組み 公開鍵暗号方式に基づいて本人を識別 – 公開鍵で復号できる → 対応する秘密鍵を 持つ本人から送られたことが証明される • ハッシュ関数によるメッセージダイジェスト で改ざんを検証 出典: 情報セキュリティ読本 三訂版 43 第5章 > 5. 暗号化とディジタル署名 3) 認証局とは (1) • • 公開鍵暗号方式は優れた仕組みだが、なりす ましを防げない 第三の機関を設け、公開鍵の正当性を証明す る=認証局 出典: 情報セキュリティ読本 三訂版 44 第5章 > 5. 暗号化とディジタル署名 3) 認証局とは (2) 公開鍵証明書の利用 B さん A さん 認証局に申請し ディジタル署名を発行してもらい 公開鍵証明書を取得し、送信 Aさんに送信 B さん Password is AAA 認証機関の公開鍵を使用して確認 の上、公開鍵を取り出す A さん 復号 Y/K0pQ n]*+1?.. 秘密鍵を使用して復号する 暗号化 Y/K0pQ n]*+1?.. Password is AAA 公開鍵を使用して暗号化し、送信 出典: 情報セキュリティ読本 三訂版 45 第5章 > 5. 暗号とディジタル署名 4) 身近に使われている暗号技術 • • WWWでの暗号化 暗号化メール – PGP – S/MIME • 携帯電話やICカードで利用される 暗号技術 出典: 情報セキュリティ読本 三訂版 46 第5章 > 5. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 WWWでの暗号化(SSL) • HTTPプロトコルではデータが暗号化され ずそのまま流れる – 盗聴などデータ漏えいの危険性 • • データを暗号化して送受信=SSL SSLでの通信は Webブラウザで 確認できる http:// → https:// 鍵のつながったアイコンが現れる EV-SSLに対応しているブラウザで表示をすると,アドレスバーが緑色になり,サイトの運営者が表示されます 出典: 情報セキュリティ読本 三訂版 47 第5章 > 5. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 暗号化メール • 暗号化メールにより、電子メールの安全 性が高まる – 盗聴の防止 – 改ざんの検証 – なりすましの防止 • 幅広く使用されている方式 – PGP – S/MIME 出典: 情報セキュリティ読本 三訂版 48 第5章 > 5. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 携帯電話やICカードで利用される暗号技術 • SSL対応のWWWサーバへアクセスでき る携帯電話 – 高度な暗号技術を使用したWWWサーバの 認証やディジタル署名の利用が可能 – セキュリティ面での信頼性が向上 • ICカード – 暗号鍵を搭載できるので安全性が高い – クレジットカード、住民基本台帳カードなど 出典: 情報セキュリティ読本 三訂版 49 本資料の利用条件 1. 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい ただいても結構です。 3. 営利目的の使用はご遠慮下さい。 4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは 行っていただいて結構です。 5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は ありません。 なお、参考までに、 [email protected] まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。 出典: 情報セキュリティ読本 三訂版 50
© Copyright 2024 ExpyDoc
