【情報処理安全確保支援士】頻出用語解説⑤侵入検知・防御

5. 情報セキュリティ対策技術 ①侵入検知・防御

5.1 ホストの要塞化

  • 要塞化:OS、S/Wのセキュリティホールを不先、堅牢な状態にすること
  • 実施項目
    • 最適なパーティション設計
    • 用途や更新頻度の異なるデータを同じパーティション内におかない
    • 最新バージョンのS/Wを最小構成でインストールする
    • パッチの適用
    • 不要なサービスや機能の停止 
    • 不要なユーザ・グループ、不適切やアクセス権の停止

5.2 Trusted OS

  • Trusted OS
    • 米国国防総省が定めたセキュリティ評価認証基準であるTCSECに代表されるレインボーシリーズにおいて、B DIVISION以上の要求基準をクリアしたOS
  • SELinux
    • セキュリティ機能を強化したLinux
    • 全てのプロセスやユーザが何らかの制限を受ける仕組み(最小特権)となり、rootも制限を回避することはできない
    • セキュリティアーキテクチャはFlaskと呼ばれる
    • 機能
    • セキュリティコンテキストによる強制アクセス制御
    • TE (Typpe Enforcement)
      • ファイルなど各オブジェクトに対して、アクセスベクタと呼ばれるパーミッションの集合を用意して制御
    • セキュリティサーバ
      • セキュリティポリシを一元管理する仕組み

5.3 ファイアウォール

構成

公開サーバの設置場所によりFWの構成が異なる

  • 公開サーバをバリアセグメントに接続
    • FWは内部セグメントとのNW I/Fとなり、パケットをフィルタリング
  • 公開サーバを内部NWに接続
    • 上記と同様、ファイアウォールは内部セグメントとのNW I/Fとなる
  • 2台のFWに阻まれたDMZに公開サーバを接続
    • DMZ(非武装領域):バリアセグメントと内部セグメントの緩衝的な位置にある公開サーバ
  • FWにもうけた第三のセグメントに公開サーバを設置
    • 1台のFWでDMZを構成

種類

  • パケットフィルタ型
    • パケットのヘッダにあるIPアドレス、ポート番号によって中継の可否を判断
    • データ部についてはチェックしない
    • FWはインターネット層のレベルでパケットを中継する
    • クライアントとサーバが直接コネクションを確立する
  • アプリケーションゲートウェイ型
    • パケットのアプリケーション層も含めた情報に基づいてパケットの中継可否を判断する
    • クライアントはFWとの間でコネクションを確立して通信を行う→接続時はFWが目的のサーバにアクセスしてコネクションを確立する。
  • サーキットレベルケートウェイ型
    • 接続を許可する場合には、トランスポート層レベルでコネクションを確立し、クライアントとサーバを仮想的な通信路(バーチャルサーキット)を確立する。
    • フィルタリング処理は第三層、第四層レベルの情報に基づき、ペイロードの情報についてはチェックしない
  • ダイナミックパケットフィルタ型
    • 最初にコネクションを確立する方向のみを意識した基本的なACLを登録しておき、実際に接続要求があると、個々の通信をセッション管理テーブルに登録するとともに、必要なルールが自動的に生成され、フィルタリング処理を行う。
    • 動的に生成したルールはセッションが終了すると削除される。
  • ステートフルインスペクション型
    • 基本的な仕組みはダイナミックパケットフィルタ型と同じ
    • ステートフル:個々のセッション状態を管理して、常にその情報に基づいてフィルタリングを行う
    • アプリケーションごとの通信フローなどの情報を持ち、それに基づいてレイヤを限定しない細かい制御を行う

機能

  • アドレス変換
    • グローバルアドレスとプライベートアドレスの変換
    • NAT:IPアドレスのみを変換
    • NAPT:IPアドレスとポート番号を変換(IPマスカレード)

5.4 侵入検知システム(IDS)

ネットワーク型侵入検知システム(NIDS)

  • 概要
    • 監視対象のネットワークセグメントに接続して使用する
    • 結果はマネジメントコンソールの画面に通知、あるいはメールで通知
  • 検知の仕組み
    • シグネチャとのパターンマッチング:取り込んだパケットと登録済みのシグネチャを比較し、不正アクセスを検知する
    • 異常検知:取り込んだパケットとプロトコル仕様などを比較し、大きく逸脱するものを異常として検知する
  • 検知後
    • TCPのコネクション切断機能など、一部接続を遮断する機能は持つ(インラインではないため、期待薄)
    • FWとの連携(一時的にACLを変更してアクセスを拒否するなど)

ホスト型侵入検知システム(HIDS)

  • 概要
    • 監視対象のホストにインストールして使用
    • ホストに常駐して、発生している事象をリアルタイムで監視し、ポリシに基づいて不正や操作やファイルの改ざんなどを検知する

5.5 侵入防御システム(IPS)

  • 接続方法
    • プロミスキャスモード:NIDSと同じ(防御レベルも同じ)
    • インラインモード:IPSがネットワークを一旦遮る形で接続される方式
  • 機能
    • 検知機能:NIDSと同じだが、誤検知すると遮断されるため精度は高くなっている
    • 遮断機能:最初の攻撃パケットも含めて遮断可能
    • パケットの方向に応じたポリシ設定機能
    • VLAN環境での仮想IPS機能

5.6 Webアプリケーションファイアウォール(WAF)

  • Webアプリケーションに対する攻撃を検知・排除することでセキュアなWebアプリケーション運用を実現
    • XSS、SQLインジェクション、OSコマンドインジェクション、セッションハイジャックなどに対応
  • 不正を検知した場合は、リクエストの排除・エラーコードを返す・アラートの通知・ログに記録などで対処
  • HTTPSのパケットについてもチェックするため、SSLアクセラレータ(暗号化されたパケットの複合機能)を持つ
  • クラスタ構成をとっているWebサイトにおいて、ロードバランサとして使用できる製品もある

5.7 サンドボックス

  • 概要
    • 実環境から隔離したセキュアな仮想環境(機能やアクセスできるリソースを制限したプログラム実行環境)
    • 不審なファイルを実行し、振る舞いを観察することで、マルウェアかどうかの判定を行う
  • 種類
    • メール検査:MTAとして動作させることで不審なメールを遮断することが可能
    • 暗号化されたファイル、パスワード付きのファイルの中身は確認できない
    • Web検査:通信パケットをミラーリングして仮想環境で再現することで、不審な挙動を検知する
    • 暗号化の解除機能はない
    • ファイル検査:ファイルサーバを巡回して、マルウェアを検知したら隔離する
    • 管理/連携サーバ

コメント