3.情報セキュリティにおける脆弱性
- 脆弱性:情報漏洩や紛失・改ざんのリスクを発生しやすくする要因となる弱点や欠陥
- 評価する仕組み:
- CVE(共通脆弱性識別子):脆弱性の識別
- CWE(共通脆弱性タイプ一覧):脆弱性の種類を識別
- CVSS(共通脆弱性評価システム):脆弱性の深刻さを評価
- 基本評価基準:脆弱性そのものの特性を評価する基準→CVSS基本値の算出
- 現状評価基準:深刻度を評価する基準→CVSS現状値の算出
- 環境評価基準:利用環境も含めた最終的な脆弱性の深刻度を評価する基準→CVSS環境値の算出
3.1 ネットワークにおける脆弱性対策
- セキュリティレベルに応じた適切なセグメント分割およびアクセス制御
- 各セグメント間は適切にファイアウォールやスイッチルータを用いて制御
- 公開サーバはDMZに設置する
- 物によっては物理的にネットワークを切り離す
- インターネット接続口の集約化
- 無線LANアクセスポイントの撤廃もしくはセキュリティ対策の強化
- スイッチの使用
- リピータをなるべく使わない
- ブロードキャストフレームの転送先を制御するためにVLANを構築する
- ハブ本体の物理的保護および空きポートのロック
3.2 TCP/IP プロトコルの脆弱性対策
- 発信源アドレス偽装への対策
- TCP/IPは仕様が公開されていることもあり、悪用されやすく、IPv4では発信源アドレスを容易に偽装可能
- 偽装自体を防ぐことは不可能だが、明らかに偽装されている発信源からのパケットはルータやファイアウォールで遮断する
- 発信源IPアドレスにプラーベートアドレスや特別な用途に使用するアドレスが設定されたインバウンドパケット
- プライベートアドレスを使用しているセグメントにおいて、発信源IPアドレスにグローバルアドレスが設定されたアウトバウンドパケット
3.3 電子メールの脆弱性対策
SMTP
- 発信源メールアドレスの制限
- 自分のサイトのドメイン名が発信元・宛先の双方に含まれない場合は配送しない
- SMTP-Authによる送信者認証
- Outbound Port25 Blockingによるメール送信制限
- メールサーバを経由せずにインターネット方向に出ていく25番ポートあてのパケットを遮断
- Inbound Port25 Blockingによるメール送信制限
- 他社ISPのネットワーク内の動的IPアドレスから、自社ISP内のメールサーバへのSMTP通信を遮断
- IPアドレス・ディジタル署名による送信ドメイン認証
- どちらも確認しているのは送信元のSMTPサーバ
- SMTP over TLSによるメールの暗号化およびユーザ認証
- 暗号化されるのはMUAから発信元のメールサーバまでで、インターネット上ではPlain
- ポートは465/TCPポートが使用される
- STARTTLSコマンドによるメールの暗号化
- 送信側のメールサーバがSTARTTLSコマンドを発行することで暗号化通信が行われる
- 25/TCPポートが使用される
POP3
- APOPによるユーザ認証情報の秘匿化
- メールサーバとMUAとの認証時にチャレンジレスポンス方式でユーザ認証を行う
- 認証プロセスの暗号化であり、メール自体はPlain
- POP3 over TLSによる認証情報およびメールの暗号化
- POP3サーバからクライアント間の通信を暗号化
- 995/TCPポートを使用
- SSHのポートフォーワーディング機能による認証情報およびメールの暗号化
- 暗号化機能を備えていないアプリの通信をSSHが中継することで暗号化
- 22/TCPポートを使用
3.4 DNSの脆弱性対策
- DNSの送信元ポート番号のランダム化(ソースポートランダマイゼーション)
- DNSSEC
- 名前解決要求に対して応答を返すDNSサーバが自身の秘密鍵を用いて応答レコードにディジタル署名を付加して送信する。応答を受け取った側は、応答を返したDNSサーバの公開鍵を用いてディジタル署名を検証することで、応答レコードの正当化、完全性を確認する。
- 外部向けゾーン情報と内部向けゾーン情報を分離
- コンテンツサーバとキャッシュサーバを分離
- 外部からのゾーン転送要求を受け付ける必要のない場合には、53/TCPポートをファイアウォールでフィルタリングする
- キャッシュサーバを使用可能なドメインを指定(組織のホストのみなど)
コメント