【情報処理安全確保支援士】頻出用語解説①情報セキュリティ・ITの基礎

情報処理安全確保支援士

1. 情報セキュリティ及びITの基礎

1.1 特性

主な特性(JIS Q 27000ファミリー)

  • 機密性:アクセス可能な人と許可されていない人を区別し、許可の範囲内で活動可能にすること
  • 完全性:一連の処理の中でデータの欠損や矛盾がないこと
  • 可用性:必要な時に正常なサービスを受けられること

付加的な特性

  • 真正性:情報が主張通りであること
  • 責任追跡性:動作内容を追跡可能であること
  • 否認防止:起きた事象を証明できること
  • 信頼性:期待結果と整合が取れること

情報セキュリティ対策として持つべき機能

  • 抑止・抑制:主に人的要因による事象を未然に防ぐこと
  • 予防・防止:人的要因以外の面(システムとしてもサイバー攻撃の防止など)での被害を受けにくくすること
  • 検知・追跡:異常発生時に速やかに発見・通知し、必要な情報を確実に取得・保全すること
  • 回復:システムやネットワークを正常な状態に復旧すること

1.2 情報セキュリティマネジメントシステム(ISMS)

規格・制度

  • ISO 27001:2013 (JIS Q 27001:2014)
    • ISMSに対する要求事項
    • ISMSの実施・維持に対する要求に加えて、リスクアセスメント・リスク対応に関する要求も記載
  • ISO 27002:2013 (JIS Q 27002:2014)
    • ISMS実践時のガイドライン
  • ISMS適合性評価制度
    • 主管はISMS-AC
    • 実際の審査を行うのはISMS-ACから認定を受けた認証機関
    • 取得後は半年〜一年に一回は継続審査を受け、三年に一回は更新しんさ(認証前審査とステップは同じ)を受けなければならない

1.3 TCP/IPのプロトコルとネットワーク関連

IPv4

  • 予約アドレス

    • ループバックアドレス(自身):127.0.0.0/8
    • プライベートアドレス(インターネットmに直接接続しないホストに自由に割り当てることができるアドレス):10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
    • リンクローカルアドレス(同一リンク上でのみ有効なアドレス):169.254.0.0/16
    • テストネットワーク用アドレス:192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24
    • マルチキャストアドレス(ホストの集合体):224.0.0.0/4
    • “This”ネットワークアドレス(「この」ネットワークを表すアドレス):0.0.0.0/8
  • 問題点

    • IPアドレスの枯渇
    • 付加的な情報を格納するためのオプションフィールドが存在することから、ヘッダが可変長となることで、ルータに負荷がかかる

IPv6

  • 特徴
    • ヘッダは固定長(必須な情報のみを含み、その他は拡張ヘッダとして配置する)
    • IPsecを標準的に備えることでセキュリティの向上
  • 予約アドレス
    • ループバックアドレス:::1/128
    • マルチキャストアドレス(ホストの集合体):ff00::/8
    • リンクローカルユニキャストアドレス(同一リンク内のみで有効なユニキャストアドレス):fe80::/8
    • ユニークローカルユニキャストアドレス(IPv4のプライベートアドレス):fc00::/7
    • グローバルユニキャストアドレス(IPv6ネットワーク全体で有効なユニキャストアドレス):2000::/3
    • IPv6インターネットアドレス(グローバルユニキャストアドレスのうち、IANAが割り当て、インターネットで使用されているアドレス):2001::/16

TCP/UDP

  • TCPにはコードビットが含まれる

    コードビット 意味
    URG 緊急に処理する必要のあるデータが含まれる
    ACK 確認応答
    PSH 受信データをすぐに上いのアプリケーションに引き渡す必要あり
    RST TCPの強制終了、接続要求の拒否
    SYN TCPの接続開始要求
    FIN TCP接続の終了

DNS

  • リゾルバ
    • 名前解決(IP→ドメイン名、その逆)
    • スタブリゾルバ→フルリゾルバに要求を出す
  • コンテンツサーバ
    • 自身の管理するドメイン名の解決にのみ応じる
  • キャッシュサーバ
    • リゾルバからの再帰的な問い合わせに対して回答する

HTTP

  • HTTPメッセージ

    • リクエスト行/ステータス行+メッセージヘッダ+空行+メッセージボディから構成
    • リクエスト行:メソッドの種類(GET、POST、HEADなど)、URI、HTTPバージョンを指定
    • ステータスコード
    • 200:リクエストの正常終了
    • 301;ページが恒久的に移動
    • 401:認証が必要
    • 404:要求されたページが存在しない
    • 503:サービスが一時的に使用不可
    • メッセージヘッダ:リクエスト/レスポンスの内容に応じた情報
    • メッセージボディ
    • リクエスト時
      • POSTメソッドを使用した場合にサーバに送る情報
      • GETメソッドやHEADメソッドの場合はリクエスト行とメッセージヘッダのみ、メッセージボディはない
    • レスポンス時
      • リクエスト内容とその結果に応じてサーバが返す情報
  • CGI(Common Gateway Interface)

    • GETメソッド
    • URLの後ろに入力データやパラメタを付加
    • 送信可能なデータはテキスト255文字まで
    • 改ざんの可能性あり
    • Webサーバのアクセスログに入力データが記録
    • Refererログにより入力データは漏洩する可能性あり
    • POSTメソッド
    • サーバの標準入力を介して入力データやパラメタをメッセージボディを介して渡す
    • 送信データのサイズに制限はない
    • バイナリデータも可能
    • GETメソッドより秘匿性が高い
    • Webサーバのアクセスログに入力データが記録されない
  • URLエンコード

    • スペース→「+」
    • 特殊文字→「%16進数」
    • ASCIIコードの31以下及び128以上の文字を「%16進数」
  • Referer

    • HTTPヘッダの一つ
    • Webページアクセス時にどのリンクからアクセスしたのかをログに残す
  • Cookie

    • クライアントに対してデータを書き込むことで相手の状態の識別や、セッションの管理をする
    • 主な属性
    • 有効期限:expires=
    • 有効なドメイン:domain=
    • 有効なディレクトリ:path=
    • secure属性:secure
    • HttpOnly属性:HttpOnly

スイッチとVLAN

  • スイッチ:LANの交通整理(ホストの集線を行い、各ホストがはっしんするパケットのヘッダ情報に基づいて適切な接続ポートにのみパケットを高速通信する)
    • ブリッジはS/Wで制御するのに対し、スイッチはH/Wで制御するため高速
  • VLAN:スイッチに接続されたホストをグループ分けすることで、仮想的なLANを作成する
    • ポートベースVLAN:スイッチのポート単位に物理的にVLANを作成(簡単だが、ことあるごとに設定を変える必要あり)
    • アドレスベースVLAN:機器のアドレスでVLANを設定
    • ポリシベースVLAN:通信プロトコルごとや、サブネットごとに構築可能
    • タグVLAN:パケットないの拡張タグに記載された情報からVLANを構成

1.4 クラウドコンピューティング

シンクライアント

  • クライアント端末では表示/入力などの最小限の処理のみ行い、大半の処理はサーバ側で行う
  • 実現方式
    • ネットワークブート方式:クライアントの起動ごとにNW経由でOSやアプリをサーバからダウンロードする
    • データはサーバ上にあるが、処理は端末上なのでファットクライアントと類似。
    • 起動時やディスクのアクセス時にNWに負荷がかかる
    • 画面転送方式:基本全てサーバ上で実行し、画面を端末に転送する
    • サーバとの接続が切れると使用不可になる
    • サーバベース型:サーバ上のOSやアプリはユーザで共同利用しつつ、ユーザごとのデスクトップを提供
    • ブレードPC型:ユーザごとに専用の物理PCを用意
    • VDI型:ハイパーバイザごとにユーザごとの仮想デスクトップ環境を用意
  • RBI(Remode Browser Isolation)
    • ブラウザの実行環境をPCを分離
    • クライアントはRBIサーバ上の仮想ブラウザからWebサイトにアクセスリクエスト
      →RBIサーバがWebサイトにアクセスし、結果を画面転送
      →仮想ブラウザがマルウェアに感染してもクライアントPCには影響なし
    • RBIの一種として、コンテンツ無害化によるWeb アイソレーションがある
      →スクリプトなどは仮想コンテナ上で実行され、無害な描画情報のみ転送する

1.5 ゼロトラストとSASE

ゼロトラスト

  • ゼロトラスト:全ての機器はいずれも安全ではない可能性があることを前提とする考え方
  • 実現方式
    • IDガバナンス拡張方式:ユーザがデータやアプリにログインする場合に、認証プロキシを必ず経由する構成
    • マイクロセグメンテーション方式:サービス、アプリごとにネットワークセグメントを小さくし、セグメント間の通信をファイアウォールなどで確認する
    • ソフトウェア定義境界(SDP)方式:SDPコントローラがネットワークレベルで接続を管理する方式

SASE

  • SASE(Secure Accuss Service Edge):クラウド環境におけるネットワークセキュリティモデル
  • 主な技術
    • SD-WAN (Software Defined- WAN)
      物理的なWAN上にSWで作成した仮想的なWAN
    • SWG (Secure Web Gateway)
      クラウド上のプロキシサービス
    • FWaas (Firewall as a Service)
      SaaS型のFirewall
    • ZTNA (Zero Trust Network Access)
      VPNに代わるゼロトラスト志向のネットワーク接続サービス
    • RBI (Remote Browser Isolation)
      Webブラウザ機能をクラウド上で実行
    • CASB (Cloud Access Security Broker)
      セキュリティ対策のコンセプトであり、可視化、コントロール、データ保護、脅威防御などの機能からなる
    • CSPM (Cloud Security Posture Management)
      クラウドサービス利用時のセキュリティインシデントの発生リスクを低減するための管理機能
    • DLP (Data Loss Prevention)
      データの流出防止のツール・サービス
    • UEBA (User and Entity Behavior Analysis)
      ユーザの行動解析による不正行為の発見

コメント