脆弱性 解体新書・・・・・ 6

CONTENTS
特集1
6つのポイントを徹底図解
脆弱性 解体新書
・・・・・
6
脆弱性がセキュリティ上の問題であることは
よく知られている。だが、
「脆弱性があると、
どのような危険性があるのか」
「脆弱性はど
のようにして悪用されるのか」など、疑問は
尽きない。ITインフラ技術者にとって、脆
弱性に関する正しい知識は不可欠。多くの
人が抱いている疑問に答えよう。
PART1
どのような被害に遭うのか
・・・・・・・・・・
脆弱性の種類で変わる被害のシナリオ
PART2
代表的な手口を完全図解
・・・・・・・・・・・
バッファーオーバーフローや
SQLインジェクションなどを悪用
PART3
脆弱性を生じさせない体制
・・・・・・・・・
ベンダーなどが実施している脆弱性対策の最新状況
8
10
18
PART4
どうやって脆弱性を見つけるのか
・・・・・・・
ファジングやリバースエンジニアリングで調査
PART5
パッチや定義ファイルを迅速に
・・・・・・・
ウイルス対策ソフトや業界連携で被害を最小化
PART6
脆弱性があっても被害を防ぐ
20
22
・・・・・・・
24
・・・・・・・
28
「DEP」や「ASLR」などの防御機能を装備
特集2
6つの設問でみるみる理解
SSLはもう古い
TLSがおもしろい
・・・・・・・・・・・・・・・
26
▽SSLはもう古い。安全な通信プロトコルの代名詞が、
「SSL」から後継の「TLS」に変わりつつある。致命的な
脆弱性が見つかったからだ。
▽TLSがおもしろい。多くの人がSSLだと思っている通
信のほとんどはTLSだ。通信高速化とセキュリティ強化を
背景に、通信のほとんどでTLSを使う時代が早晩来る。
▽ITインフラ技術者なら今後、TLSの知識が不可欠にな
る。本特集ではTLSにまつわるあらゆる疑問を解いていく。
Q1
SSLはなぜ「もう古い」なの?
Q2
TLSが必要なのは大事な通信だけ?
Q3
なぜTLSで安全が守れるの?
Q4
TLS通信のステップを教えて!
・・・・・・・・
36
Q5
TLSの安全性はどう決まる?
・・・・・・・・・・
39
Q6
サーバー証明書は本当に安全?
Q7
TLSはWeb専用なの?
Q8
Q9
・・
32
・・・・・・・・・・
34
・・・・・・・・
42
・・・・・・・・・・・・・・・・・
44
SSLを使えなくしたい
・・・・・・・・・・・・・・・・・・
44
暗号と数学の関係は?
・・・・・・・・・・・・・・・・・・
45
IT インフラマガジン 徹底理解セキュリティ
003-005_ITinfra15a_HND_03.indd 3
3
2015/08/31 13:44
解説1
解説2
正規プログラムに挿入、感染したら隠れる
遠隔操作ウイルスの動作 46
・・・
最近話題の遠隔操作ウイルスとはどんなものなのか。代表
的な「BKDR_POISON」を実際に感染させて、感染後
のウイルスはどんな動きをするのかを詳細に調べた。
特集3
青天井のセキュリティ
・・・・・・・・
50
セキュリティ被害の規模が100億円を超える時代がやって
きた。企業やWebサイトはどこまで対策を打てばいいの
か――。本特集では、セキュリティ対策が青天井となるこ
とへの回避策として、脅威の実態把握、最新対策とそのコ
スト、適切な判断のための方法を提示する。
セキュリティ対策の最前線
・・・・・・・・・・
容赦ない攻撃、尽きない脆弱性
それでもシステムを守り切る
PART2
対策の常識が変わる
巧妙化する攻撃手口
・・・・・・・・・・・・・・・・
・・・・・・・・・・・・・・・・
標的型攻撃で重要資産が狙われる
Webサイト改竄で図らずも加害者に
PART4
・・・・・・・・・・・・
72
多くの開発・運用現場で「セキュリティ職人」が圧倒的に
不足している。社内でのセキュリティ職人の育成方法と、
高度な技術を持つ社外の人材の力を借りる方法を解説する。
52
サイバー攻撃が仕様の弱点を突く
狙われるDNS
・・・・・・・・・・・・・・・・・・・・・・
78
2014年初頭から、DNSの仕様上の弱点を狙うサイバー
攻撃が相次いでいる。ソフトウエアのバグなどに起因する
脆弱性と違って、プロトコルの仕様に原因がある場合は、
簡単には修正できない。本特集では、DNSの仕様上の弱
点を整理するとともに、DNSの弱点を狙う2つの攻撃手法
の詳細を紹介する。
PART1
概要
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
相次ぐ攻撃でプロトコルの弱点があらわに
攻撃は変異、従来対策は不十分
多層が常識、コストは青天井に
PART3
ひっぱりだこの
「セキュリティ職人」
特集4
どこまで対策すればいいのか?
PART1
社内で育成するか、外部の力を借りるか
56
58
PART2
弱点
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
悪用される5つの弱点
管理権限の偽称も可能
PART3
攻撃手法
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
仕様の弱点を突く2種類の攻撃
手法と対抗策を詳しく解説
78
80
86
拡大するセキュリティ対策と費用 62
・・
事故後の対策が重要視される
CSIRTやログ分析の現場適用が進む
PART5
セキュリティ要件の決め方
・・・・・・・・・
セキュリティフレームワークを活用
「どこまでやるか」や「いつやるか」も検討
67
4
003-005_ITinfra15a_HND_03.indd 4
2015/08/31 13:44
特集5
100
50
25
25
50
セキュリティ攻撃
狙われた現場
100
第4回
・・・・・・・・・・・・・・・・・・・・・・・・
95
セキュリティ攻撃の手口が巧妙化し、あらゆるシステムが
いつ外部から狙われてもおかしくない状況になっている。
どのような対策を講じ、どんな備えをすべきか。実際に攻
撃に遭った現場の証言を基に、考えてほしい。
PART1
攻撃に遭うと現場はこうなる
・・・・・・
担当者は動揺し対処遅れる
すぐにシステム復旧できない
PART2
96
ユーザーに聞く、注目製品の導入効果 103
迅速に攻撃を検知
侵入ウイルス封じ込める
PART3
標的型攻撃への対処法
・・・・・・・・・・・・・
バックドア通信を遮断し
ウイルスの活動抑え込む
108
特集6
6つの攻撃手法と対策
セキュリティを強化せよ 115
・・・
セキュリティ攻撃対策のためには、その手口を知るのが何
よりも重要だ。不正アクセスに関するセキュリティ事件で
実際に使われた6つの代表的な攻撃の手口や防御策につい
て解説する。
第1回
アカウントハッキング
・・・・・・・・・・・・・
振り込み被害が続発
認証強化策を検討しよう
第2回
クロスサイトスクリプティング
・・・
122
・・・・・・・・・・・・・・・・・・・・・・・・・・
128
なりすまし被害が発生
入出力値を制限して防御する
第3回
標的型攻撃
116
ウイルス付きメールが発端
社内ネットが支配される
スマートフォンを狙った攻撃
・・・・・・
134
・・・・・・・・・・・・・
140
外出中に紛失事故が発生
講じた対策が機能しない
第5回
SQLインジェクション
サイトから機密情報が漏洩
入力値チェックでは守れない
第6回
DDoS
146
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
アクセス急増でサイト停止
ISPと連携して対処する
特集7
鴨志田昭輝の
セキュリティ事件簿 152
本特集では、セキュリティの専門家である鴨志田昭輝氏が
毎月1つのセキュリティ事件を取り上げて解説した連載記
事2年分(2013年3月∼2015年3月)を一気に収録した。
被害を未然に防ぐために、過去のセキュリティ事件を教訓
として生かそう。
2013年
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
「アカウントリスト攻撃事件」など
2014年
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
「Shellshock事件」など
2015年
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
「個人情報漏洩事件」など
153
163
175
本書は「日経NETWORK」および「日経SYSTEMS」に掲載した記事を抜粋して再編集し、加筆・修正したものです。記事内容は掲載
当時のものであり、現時点では変わっている可能性があります。会社名や製品名、取材協力者や執筆者の社名や肩書きについても、
掲載当時のものを掲載しています。ご了承ください。
IT インフラマガジン 徹底理解セキュリティ
003-005_ITinfra15a_HND_F1.indd 5
5
2015/09/02 10:41