第11章 情報セキュリティ 11.1 11.2 11.3 11.4 セキュリティ設計 技術的セキュリティ対策 物理的セキュリティ対策 対象別セキュリティ対策と不正 11.2 技術的セキュリティ対策 11.2.1 11.2.2 11.2.3 11.2.4 11.2.5 11.2.6 11.2.7 全体像 災害・障害対策機能 故意・過失対策機能 特に分散処理システムの場合 ファイヤウォール ネットワーク型進入検知ツール 不審ファイルやプロセスの発見 11.2.1 対策の全体像 災害・障害対策機能(システム的要因) ①災害対策機能 バックアップ,代替運転,データ・プログラム復旧 ②障害対策機能 障害検知,処理継続,処理復旧 ③保守機能 障害解析,停止を伴わない活性保守,遠隔保守 ④運用支援機能 監視制御,自動運転 故意・過失対策機能(人的要因) ①アクセス制御 資源機密度区分,アクセス権限制御,ユーザ正当 性確認・アクセス監視 ②データ処理不正防止 データ不正変更,プログラム不正変更・実行検出, 異常対応処理,共用資源保護 ③情報漏洩防止 電波放射による情報漏洩防止,暗号化 情報システムへの監査機能の設定 11.2.2 災害・障害対策機能 • • • • 災害対策機能 障害対策機能 保守機能 運用支援機能 損害が発生した場合, 被害を最小限に食い 止め,いち早く機能を 回復 (1)災害対策機能 (a)バックアップ機能① ① 手作業によるバックアップ 手作業による詳細な手順書を作成し, 定期的に実施(復旧までの時間が短い場合に有効)。 ② 予備センターの設置 遠隔地に予備の計算センターを設置(コストがかかる)。 ③ バックアップセンターの利用 バックアップセンターと契約し,災害や事故が発生した場合に バックアップ設備を提供してもらう。 損害が発生した場合, 被害を最小限に食い 止め,いち早く機能を 回復 バックアップ機能② ④ 相互援助契約の締結 他企業と相互バックアップ援助に関する契約を締結する。 但し,相互互換性の保証,協定相手の事故発生時に 自社能力に余裕があるかどうか等について検討要。 現在は,実現不可能な場合が多い。 ⑤ コンピュータメーカのセンター利用 メーカの有料計算センターを利用する。 但し,確実にバックアップが保証されるわけではないので, これだけでは安全対策上は不十分。 システムの重要な構 成機器に代替運転可 能な機能を設ける (b)代替運転機能① ①デュプレックスシステム 2系列のシステムを持ち,主系に障害が発生した場合, 待機系に切り替えて処理を実行。待機系は待機中は別 の業務処理を行う。 障害発生 CPU(主系) CPU(待機系) ファイル システムの重要な構 成機器に代替運転可 能な機能を設ける 代替運転機能② ②デュアルシステム 2系列のシステムを同時に同一の処理を行う。 障害発生 CPU(正) CPU(副) 障害復旧 ファイル (正) ファイル (副) システムの重要な構 成機器に代替運転可 能な機能を設ける 代替運転機能③ ③マルチプロセッサシステム 複数の処理装置に処理負荷を分散。障害発生時の能 力低下が許される場合に有効。 障害発生 CPU(正) ファイル 共用ファイル CPU(副) ファイル 障害発生の検出と障害 個所を素早く特定化 (2)障害対策機能 (a)障害個所の検出・切り分け機能 ①スタンドアローンシステムでは,ハード及びOSで標準的 にサポートされているのが普通。 ②オンラインシステムでは折り返しテスト機能が必要。 ③ネットワークシステムでは,相手が正常に動作しているか どうかを検知する機能が必要。例えば, 相手からの応答 時間の制限で検知する方法, ネットワーク全体の監視 機能によって,各システムの障害状況を全ての接続シス テムに通知する方法等がある。 システム全体を停止すること なく,運転可能範囲内にシス テムを再構築 (b)障害時のおける縮退,再構成機能 ①ハードウェアの動的構成制御 障害発生装置を切り離して運転続行。 ②ソフトウェアによる制御 障害発生時点で,処理を打ち切って別の処理に移行す るよう,ソフトウェアで制御し,全体処理を続行。 障害停止後,データの喪 失,復旧時間の最小化 (c)処理回復(リスタート)機能 ①主記憶の内容や途中段階の状態を保存して,障害除去 後,保存情報を利用して,障害発生時点からリスタート。 ②実行の適当な処理単位毎にチェックポイントを設け,各ポ イントでの状態を保存して,チェックポイントから再開 (チェックポイントリスタート機能)。 障害個所の特定化,自 動的な部品交換等 (3)保守機能 ①障害解析・障害個所特定化 システム稼動状態,障害情報から保守に必要なデータ 抽出・分析を支援することにより,障害個所特定化を迅速 に行うための機能。 ②活性保守(オンライン保守)機能 システムを停止しないで障害発生機器・部品交換を行う 機能。機器構成のモジュール化,重要モジュールの二重 化が必要。 ③遠隔保守(リモート保守)機能 システムと保守センターを通信回線で結び,保守セン ターから直接障害状況を把握し,システム停止時間を短縮。 実稼動の予期せぬ負荷を常 時監視して,過負荷,輻輳, デッドロック等によるシステム ダウンを未然に防止。 (4)運営支援機能 (a)監視制御 ①スケジューリング制御 オペレータの処理指示に対して処理の優先順位付けを 行う。 ②デッドロック制御 データアクセスの競合状態を回避。 ③フロー制御 通信網内に情報が溜まりすぎないよう入力を制限。 ④輻輳(ふくそう)制御 通信網内の情報が特定の場所に集中しないよう制御。 (b)自動運転 ハードウェアやOS等の立ち上げ・停止, 定期的・定型的な操作等を自動的に処 理するようにして,オペレーションミスの 防止,オペレーション作業の効率向上 を図る。 ①アクセス制御機能 ②データ処理不正防止 ③情報漏洩防止 11.2.3 故意・過失対策機能 アクセス監視 ユーザ 正当性確認 利用者 アクセス 権限制御 資源 機密度区分 各種資源 (ファイル,伝送情報) プログラム プログラム データ不正 異常対応 不正変更・ 変更検出 処理 実行検出 共用 資源 保護 電波放射 による情報 漏洩防止 暗号化 機能 (1)アクセス制御機能 (a)資源機密度区分 情報の破壊,変更,漏洩時の影響度によって区分 し,保護対象を実施する程度を明確にして,機密 度区分をシステム上で保持する。 階層別区分 厳秘,部外秘,社外秘,マル秘 業務別区分 製造,販売,開発,人事,経理等 (b)ユーザ正当性確認 本人しか知らない記憶情報(パスワード) 本人のみ所持するもの(IDカード,鍵) 本人特徴によるもの(指紋,声紋等:但し,未だ実 用的とは言い難い) 通信相手の確認(コールバック等) パスワードに関する注意 • • • • • パスワードは個人別に定める。 パスワードは一定期間毎に変更。 パスワードは非表示,非印刷。 他人が容易に推定できないよう決める。 規定回数以上の誤ったパスワード入力の場合はキャン セルする。 • パスワード入力後,規定した時間以上アクセスがなけれ ば自動的にログオフ。 • パスワード桁数はできるだけ長くする。 通信相手の確認 ①コールバック 受信側で,いったん回線接続を切断し,改めて発信相手 の番号を逆コールして通信を開始。 ②端末ID自動発信 回線接続時に端末がIDを自動的に発信。 ③発信回線番号の自動検出 発信者の電話番号を検出して確認。 ④デジタル署名 暗号化機能等で,正当な発信者でなければ不可能な署 名に相当する情報を付加して送信し,受信側で正当性を 確認する。 ユーザ毎にアクセスで きる資源や操作範囲 を定める (c)アクセス権限制御 ユーザプロファイル管理 ユーザ毎にアクセス可能な資源範囲を定めた許 可テーブルを組み込み,パスワード,IDカードに よる本人確認の後,アクセスを許可。 資源保護用ソフトウェアの利用 アクセス制御及び資源保護のための専用ソフト ウェアを用いる。 資源保護用ソフトウェアの例 RACF IBM市販ソフト。IBM MVS環境下でのアクセ ス制限,資源管理,監査用資料の提供を行う。 ACF2 SKK社開発,CSG社販売。RACFが予め指定 した資源が保護されるのに対して,ACF2はセ キュリティ管理者がアクセスルールを入力し, 誰にどのような条件でアクセスを許すかを実 行時に指定。 TOP SECRET CGAソフトウェアプロダクト社開発。上級管理 者に属する下級管理者,下級管理者に属する ユーザ,ユーザに属するデータ資源という階 層で保護管理を行う。 セキュリティ違反が発 生した場合に追跡調 査可能にする (d)アクセス監視(モニタリング) システムモニタリング 計算機システム使用料金計算や処理効率測定用に記録され たデータを不正アクセスの事後検査用のデータとして利用。 アクセスモニタリング データベース等に対するアクセス内容を記録し,不正アクセス の事後検査用データとして利用。 コンソールログ 各端末におけるコンソールメッセージやオペレータの操作履歴 を記録し,端末やオペレータの不正使用検査用のデータとして 利用。 データの不正 変更を発見 (2)データ処理不正防止機能 (a)データ不正変更検出 ①入力データとそれを処理するプログラムを関連付けるため のコードをデータ中に持つ。 ②ヘッダーレコードとトレーラレコードに,前処理と後処理の間 のデータの受け渡し確認のためのインターフェース情報を 持っておき,処理前後のレコード件数,特定カラムのハッ シュトータル結果等を照合する。 プログラムの不 正変更を監視 (b)プログラムの不正変更・実行検出 下記の点について監視 ①予定通りの実行者,実行日時に実行されたか? ②予定通りのジョブ連携によって実行されたか? ③ジョブの正常・以上処理の別 実行異常時に 処理を迂回ま たは停止 (b)異常対応処理 データ変更の異常発見への対処 ①異常状態識別のためのコードをセットし,異常発生時の情報 を記録し,異常データをファイルに出力。 ②想定されたケースの場合は,コンソール等に状況を表示し, 処理続行。 ③想定外の場合は,解析用の情報を出力し実行停止。 プログラム実行時の異常発見への対処 ①プログラム内部で異常を検出した場合は,データ変更の異 常発見の場合と同様の処理。 ②プログラム以外で異常を検出した場合は,停止コマンド等で 実行停止。 (c)共用資源保護 共用資源(データベース等)については,特に 不正利用を防止するため,アクセス制御,排他 制御等で保護機能に十分配慮する。 (3)情報漏洩防止機能 (a)電波放射による情報漏洩の防止 コンピュータ,端末機及び通信関係装置からの電波放射受信 による情報漏洩防止のためには,機器及び回線に電磁波放 射防止機能を設ける。あるいは,これらの機器を設置している 建物をシールドする等の措置をとる。 (b)暗号化 伝送データへの脅威 通信回線上のデータの盗聴 通信メッセージの改ざん 通信先ミスによるデータの漏洩 蓄積データへの脅威 データ内容の改ざん 盗聴によるデータの漏洩 権限者以外へのデータの漏洩 ①正当な相手のみに アクセスを許す。 ②外部からの交信媒 体への侵入を許 さない パスワード等アクセス制御等による 侵入者が知り得た内容を無価値化する。 暗 号 化 11.2.4 特に分散処理システムの場合 ダウンラインローディング 専用のコ ンピュータ 室での設 備的・物理 的保護が 不可能 重要なプログラムは分散コンピュータ内に保存せず, 定期的にセンター側からオンラインで 転送することによって不正変更を防ぐ。 比較チェック 分散コンピュータ内の重要なプログラムやファイルを 監視側で適宜吸い上げ,正しいプログラムやファイルと 比較チェックを行う。 モニタリング 分散コンピュータで処理するアプリケーションに モニタリング機能を設け,監視側で不正データ入力や トランザクションの検出を行う。 11.2.5 ファイヤウォール (1)ファイヤウォールの設置方法 ファイヤウォール(防火壁)とは,文字どおりシステムを守る 防火壁である。 通常,インターネットと保護したいネットワークの間に配置する。 ファイヤウォールの設置方法には,大きく分けて以下の2種類がある。 ① 全てのサーバをファイヤウォール内に設置する方法 ② 社内LANをファイヤウォール内に, 公開サーバをファイヤウォール外に設置する方法 ③ 異なるファイヤウォールに社内LANと公開サーバを 接続する方法 (a)すべてのサーバをファイヤウォール内に設置 すべてのサーバをファイヤウォールで守る。 社内からWebを自由に変更することができる反面, 公開Webサーバに不正侵入された場合, 社内システム全体に被害が広がる。 なお,ファイヤウォールでは,アプリケーションに潜んでいるバグを 突いた攻撃には対処できないことが多い。 攻撃者 公開サーバ ファイルサーバ データベース ……… ファイヤ ウォール (b)社内LANをファイヤウォール内に 公開サーバをファイヤウォール外に設置 公開サーバをスケープゴートにする方法。 公開サーバに不正侵入されても,被害は公開サーバだけで, 社内LANまで被害が及ぶ危険性は低くなる。 公開サーバはファイヤウォールによって保護されないので, 公開サーバ側で十分なセキュリティ対策を講じる。 攻撃者 公開サーバ ファイルサーバ データベース ……… (b)異なるファイヤウォールに 社内LANと公開サーバを接続 異なる2つのファイヤウォールを用意し, ひとつは公開サーバ,もうひとつは社内LANに設置し, 2つのネットワークセグメントを管理する方法。 公開サーバを設置するセグメントはLANよりもアクセス制限を 少なくすることになるので,DMZ(De-Militarized Zone:非武装地帯)と 呼ばれる。 公開サーバ ファイルサーバ データベース ……… DMZ 攻撃者 DMZを用意する方法の特徴 公開サーバに不正侵入されても社内LANへの影響が少なく, 社内からWebサーバを変更できるほか, 社内の無権限者による勝手なWeb変更や 社外からのリモートアクセスによる攻撃も防ぐことができる。 公開サーバ ファイルサーバ データベース ……… DMZ 攻撃者 (2)パケットフィルタリングとプロクシ(代理) 最も単純なファイヤウォールの処理方式には, 次の2通りの方法がある。 ① パケットフィルタリング ② プロクシ(代理) (a)パケットフィルタリング パケットの内容を見て,許可して良いパケットか, 拒否すべきパケットかをふるい分ける(フィルタリング)方法である。 この許可/拒否の関係を定義するのが アクセス制御リストACL(Access Control リスト)である。 ルール番号 送信元アドレス 送信元ポート 1 * 1024以上 2 12.1.1.123 25 3 12.1.1.123 * 4 * * 5 12.1.1.121 1024以上 宛先アドレス 宛先ポート 許可/拒否 12.1.1.123 25 許可 * 1024以上 許可 * * 拒否 12.1.1.123 * 拒否 * 80 許可 (b)プロクシ(代理) プロクシとは,クライアントからサーバへのアクセス要求を プロクシ(代理)と呼ばれるファイヤウォールが代行することによって, 社内LANのIPアドレス等を外部から隠蔽する方法。 ① 通信単位でのチェックができるため,柔軟なチェック項目を設定できる。 ② パケットフィルタリングと異なり,通信の往路/復路を 意識する必要がないので,ACLを簡潔に定義できる。 ③ 性能面では,パケットフィルタリングに劣る。 プロクシのレベル ① サーキットレベル アドレスとポート番号等のヘッダ情報だけで制御する。 パケットフィルタリングとほぼ同様の制御を行う ② アプリケーションレベル 特定アプリケーションの特定コマンドレベルで制御することができる。 例えば,FTPに関する外部からの特定コマンドの通過を 不許可に設定することで, Webページの外部アクセスによる 書き換えを拒否するような制御が可能となる。 (3)ステートフルインスペクション イスラエルのCheck Point Software Technologies社が開発した手法。 同社が販売するファイヤウォールに組み込まれている。 現在では,数多くのパケットフィルタリング型製品が この手法を適用している。 ステートフルインスペクションの考え方 単純なパケットスキャン方式では,外部から送られてきたパケットのうち, ACKフラグがONになっているものだけを通過させることによって, 外部から内部へのコネクション要求を拒否し, 内部から外部へのコネクション要求だけを許可することができる。 この方法では,外部からACKフラグを立てたパケットを受け取ると, 必ず通過させてしまうため,ACKスキャンと呼ばれる ポートスキャン攻撃を受ける可能性がある。 例えば,社内LAN上のクライアントがWebページにアクセスした際, 戻りパケットだけを許可するようにする。 これが,ステートフルインスペクションである。 ただし,ステートフルインスペクションにしても, セキュリティホールを狙った攻撃,Webサーバが認めていないデータ, 送信元IPアドレスを偽造した不正パケットの送信(IPスプーフィング攻撃) 等には対応できない。 11.2.6 ネットワーク型侵入検知ツール (1)侵入検知ツールIDS(Intrusion Detection System)とは IDSとは,不正侵入があったことを調べるためのツール。 IDSの目的は,あくまで不正アクセスや不正データの侵入監視である。 すなわち,万一,攻撃に遭ってしまった際の素早い対応を 補助するツールである。 (2)IDSの種類 ① ネット型IDS(NIDS) ネットワーク上のパケットを監視して,不正アクセスの有無を検知する。 シグネチャと呼ばれる不正なデータや攻撃方法に関するパターンを 持つことにより,パケットとシグネチャをパターンマッチングして 不正を検出する。 ② ホスト型IDS(HIDS) 対象となるホストにインストールされ,ホスト上のファイルを監視する。 OSやアプリケーションのログファイルを監視するタイプと, ファイルの不正改ざんを見つけるタイプがある。 ログファイルを監視するタイプは, ログ内の文字列のパターンマッチングにより異常を検出するもので, 人手によるログ監視の作業を自動化したものと考えれば良い。 (3)シグネチャ NIDSでは,ウィルス対策ソフトのパターン定義ファイルと同様, シグネチャで定義する。 一般に販売されている商用NIDSでは,様々な攻撃に対応できるように, 数百パターンのシグネチャを用意している。 NIDSで,いろいろなパターンに対応できる方が望ましいが, 以下の点について注意する必要がある。 ① 古い攻撃方法に対応するための陳腐化したシグネチャ ② 正常であるにも関わらず異常だと判断(False Positive)したり, 異常にも関わらず正常だと判断(False Negative)し, 異常を検知できないケース。 ③ ウィルス対策ソフトにおけるパターン定義ファイルと同様, 新たな攻撃方法に対して対応するシグネチャがないと検知不可である。 シグネチャにおける留意点 シグネチャによる検知は,あくまでパターンマッチングである。 ① 送信元IPと宛先IPが同一のパケットを送ってOSをフリーズさせる Land攻撃等に対して有効である。 ② DoS 攻撃のように,短時間に多量の接続要求を送る攻撃の場合, 問題はパターンではなく,その量である。 したがって,ある量(しきい値)を超えた場合に攻撃と 判断せざるをえない (本当にアクセスが集中したケースとの区別はつかない)。 (4)悪用検知と異常検知 ① 悪用(Misuse)検知 過去の攻撃パターンをパターンマッチング等の手法で検知する方法. ② 異常(Anomaly)検知 標準的なアクセスに比べて,かけ離れている状態を しきい値や基準値によって検知する方法。 ⅰ) DoS攻撃のような接続要求の異常な量をアクセス数の しきい値で判定する方法 ⅱ) アクセスルールの基準に従っていないパケットが 存在した場合「不正である」と判定する方法 (注)異常検知は,あくまで通常でないことを基準にした判断である。 通常でないことは,不正アクセスの存在を意味するとは限らない。 (5)NIDの配置 NIDSの役割によって,以下のようにNIDSの配置形態が異なる。 ① ファイヤウォールの外側に設置 ファイヤウォールの外側からくる攻撃の検査。 ② 公開セグメントに配置 フィルタリングルールで通過を許可したパケットだけを検査。 ③ 内部LAN上に配置 内部LANからの不正アクセスを監視。 NIDの配置上の留意点 ① 配置に当たっては,ネットワーク上に存在するスイッチングハブ等の 通信制御機器が全てのパケットを流すかどうかを確認し, NIDSに全てのパケットが流れるように配置にする。 ② 基幹情報システムにおけるネットワークでは, 主として不正アクセスの統計情報を収集する目的で, ネットワークセグメントの間に配置する場合がある。 ③ 昨今の基幹情報システムでは,広帯域イーサネット等を 使用する場合もあるが,広帯域に対応したNIDSが少ないので, 導入にあたっての注意が必要である。 (6)NIDの弱点 ① NIDSも所詮,人間が作成したソフトウェアである。 不正のための手口が今後とも巧妙化していく中で, 今後とも弱点が見つかるものと思われる。 ② 不正監視から検知,そして警告通知までをNIDSで自動化しているが, その後の分析や対策は,やはり人間自身で行わなければならない。 自動化ツールだけに依存するのではなく, 手作業で行う人間自身の分析能力を支援するツールに対する 取り組みも必要である。 11.2.7 不審ファイルやプロセスの発見 (1)整合性チェックツール(Integrity Checker) システム上にあるファイルに変更・削除・追加がないかを 確認するためのツールの総称であり,以下のように様々である。 ① ファイルのハッシュ値を比較する単純なソフト。 ② 監視対象ファイルやディレクトに対してどのように監視するかを 記述したルールをポリシーファイルとしてデータベース化しているソフト。 ③ 複数のハッシュ値を使うことができるツール ④ ハッシュ値による変更チェックだけでなくアクセス権等についても 監視したり,ディレクトリ単位でルールを定義することもできるツール。 (2)その他のツール ① NTFS用ファイル属性検索ツール NTFSにおけるストリーム機構を使うと,先頭のファイル以外のストリームは, エクスプローラや Dir コマンド等では見えないので, 悪意のあるファイルをストリーム中に隠すために使われる危険性が高い。 これらの属性を検索する。 ② 不審プロセス発見のためのツール 実行中のプロセス名やプロセスID,ユーザ権限等,特定のポートを使用してい るプロセス,ネットワーク上のデータ送受信状態等を確認する。 ③ ログ解析ツール ログ解析等を簡単に行うためのツール。 ④ 消されたファイルのチェック用ツール ファイルを消去しても,ディスク内では未使用領域として扱われているだけで,何 らかのデータで上書きしているわけではない。侵入者によってログファイル等を 消された場合に利用する。 ⑤ バックドア検査用ツール システムにバックドアが仕掛けられているかどうかを検査する。 11.2 技術的セキュリティ対策 完
© Copyright 2024 ExpyDoc
