charter(JJ1PID)

情報セキュリティの要点まとめ(電気通信主任技術者試験「システム」「設備管理」)

電気通信主任技術者試験(伝送交換)の「電気通信システム」、「伝送交換設備及び設備管理」で出題される情報セキュリティについてまとめました


専門科目で出されるほどの応用的な内容はここでは扱っていません


過去問を解きながら参考書にコピペしたものをもとに書いたものなので、怪しいところがあるかもしれませんが、参考程度に使用して下さい


試験の過去問の他、NTTラーニングシステムズのテキストからも引用しました

電気通信教科書 電気通信主任技術者 伝送交換設備及び設備管理・法規編 第2版

電気通信教科書 電気通信主任技術者 伝送交換設備及び設備管理・法規編 第2版


三要素

JIS X5080では、情報セキュリティとは、機密性、安全性、可用性を維持するものと定義されている




JIS Q27001:2006では、情報セキュリティは次の3要素を維持することと定義されている

  • 権限のある者のみが情報システムにアクセスでき、盗聴、不正アクセスなどにより情報が漏えいしない機密性を保持すること
  • 情報システムが正確かつ、完全であり、それらが適正に維持されている完全性を保証すること
  • 権限のある者が情報システムに適時アクセスできる可用性を維持すること

不正行為

キーボードからの入力を記録するソフトウェア

  • スプーフィング

他人のユーザになりすまして行動すること
IPスプーフィング: 偽のIPアドレスを使用して不正侵入やパケットを送りつける行為
Webスプーフィング: 本来のWebサイトになりすまして不正行為を行う行為

  • 踏み台

不正アクセスや迷惑メール配信の中継などに利用されるコンピュータ

  • ポートスキャン

サーバに連続してアクセスし、サーバ内で動作しているアプリケーションソフトやOSの種類を調べ、侵入口となるポートを探す行為

データベースと連携したWebアプリケーションにおいて、ユーザから入力情報のチェックが適切でないと、データベースが不正に利用される攻撃

  • OSコマンドインジェクション

URLのパラメータにOSコマンドを挿入して実行させる攻撃


不正プログラム

  • コンピュータウイルス

他のプログラム内に寄生して増殖や不正行為を行うプログラム

  • コンピュータワーム

自己増殖する独立した不正プログラム
ネットワークを通って感染し、増殖するもの

ネットワークを介さずに感染し、コンピュータ内でしか増殖しないもの

有益な機能を持っているように見せかけ、実際には不正行為を行うプログラム

  • ボット

コンピュータに感染した後、 ハーダーといわれる攻撃者からの指示に従って動作し、あらゆる攻撃に利用される危険性がある



攻撃

ICMPプロトコルを用いて攻撃する
送信元を偽装し、大量のエコーリクエストを送信することで、攻撃目標に大量のエコーリプライを送りつける

  • POD (Ping of Death)

ネットワーク上での疎通確認に用いる「ping」と呼ばれるプログラムを悪用し、相手方の受信不可能なサイズのデータを送りつける攻撃手法

攻撃者が大量のSYN要求パケットを送出し、意図的にACKパケットを送らず 放置することによって多数のTCPコネクションの確立中状態を作り出し、サーバ の負荷を増大させる攻撃


コンピュータプログラムのセキュリティ上の脆弱性が公表される前、又はセキュリティパッチが無い状態で行われる攻撃


DOS攻撃の種類(一部)を紹介し、わかりやすく解説します。 | Time is money


情報セキュリティ対策

ファイアウォールの方式

  • パケットフィルタリング

指定した宛先、送信元IPアドレスのパケットのみ通す
偽装かどうかの判断はしない


ネットワーク層及びトランスポート層レベルで動作し、DoS攻撃、コンピュータウイルス及びメールの不正中継に対する防御機能などを有していない



ルータによるパケットフィルタリングでは、ACLに設定されているルールに従って、ポート単位で処理する。

コネクション上のデータをそのまま中継するだけではなく、アプリケーションレイヤのプロトコルを解釈しながら転送するプロキシを用いる

無線LANのセキュリティ対策

アクセス制御
  • SSID (Service Set Identifier)

アクセスポイントの識別子

許可した無線LAN端末だけをアクセスポイントに接続できるようにする

MACアドレスなど、通信機器に固定的に割り当てられた識別子を用いてその機 器を確認する方法は、機器認証といわれる。

暗号化

IEEE802.11iでは、通信の暗号化にTKIPやAESを用いることや、端末の認証にIEEE802.1xを用いることを定めている。

  • WEP (Wired Equivalent Privacy )

共通鍵暗号方式RC4を用いる
脆弱性が指摘されている

IEEE802.11iの策定に先立ち制定された
WPA-PSK(TKIP)では、TKIP (Temporal Key Integrity Protocol)を用いる
TKIPでは秘密鍵定期的に更新する
暗号化方式はWEPと同じくRC4


WPA-PSK(AES)では暗号化方式にAESを用いている


  • WPA2-PSK (WiFi Protected Access 2 Pre-Shared Key)

IEEE802.11iの策定に先立ち制定された
一般的にAESが使われるが、TKIPも使用できる
通信機器側でWPA-PSK(TKIP)を使用不能にしている場合もある


通常のパーソナルモードに加え、エンタープライズモード(EAPモード)としてRADIUS認証サーバを使った認証方式(IEEE802.1x)がオプションとして加わった


※参考: 無線LANの規格・速度とセキュリティ | WEP・WPA・WPA2・TKIP・AESの違い

ユーザ認証プロトコル

PPP (Point to Point Protocol)のユーザ認証機能として、PAPとCHAPがある


PAPは、ユーザ側の端末からユーザIDとパスワードを送り、サーバでそれを確認するもので、送られるユーザIDとパスワードは暗号化されていないため、盗聴により第三者にこれらの情報を取得される恐れがある


CHAP: チャレンジ・レスポンス認証方式で、平文のIDやパスワードをネットワークに流さないようにする
CHAPは、チャレンジ・レスポンス認証方式を採っており、ハッシュアルゴリズムはSHA-1を用いている。SHA-1は、160ビットのハッシュ値を生成し、IPsecなどに使用されている


チャレンジレスポンス方式

ワンタイムワスワード、CHAPWiFiアクセスポイントの認証で用いられる


  • CHAP

インターネットなどへのダイヤルアップ接続に利用されるPPPプロトコルで用いられるユーザ 認証プロトコルのうち、毎回パスワードが変更されるOTP(One Time Password)方式を使用し、 コネクション確立後も定期的にパスワードを交換することにより、盗聴などに対するセキュリティを高めたプロトコル

チャレンジ レスポンス方式では、認証を受ける側(クライアント)が、認証する側(サーバ)に対して、ユーザID等を使用した認証要求を行います。これに対してサーバは、ランダムに生成したチャレンジという情報をクライアントに送信すると共に、自分自身もクライアントが生成するはずのレスポンスを生成しておきます。クライアントは、このチャレンジと自分のパスワードからハッシュ値を計算することでレスポンスを生成し、サーバに送信します。サーバはこのレスポンスを自分自身が生成したレスポンスと比較し、同一であれば認証を成功させます。

引用:
https://www.f5.com/ja_jp/services/resources/glossary/challenge-response-authentication


※参考: チャレンジ/レスポンス認証とは - IT用語辞典 e-Words


侵入検知システム

ネットワーク又はコンピュータシステム上での事象を監視し、 不正なアクセスの兆候を検知して、管理者に警報などにより通知するとともに、調 査、分析などに必要な情報を保存、提供する機能を持つ


ネットワーク型IDSは、一般に、ネットワークを流れる全てのパケットのモニ タリングを行い、ヘッダやデータの内容が、不正侵入や攻撃につながるものでない か検査する機能を持つ


ホスト型IDSは、一般に、OSやアプリケーションが生成するログデータやコ マンドヒストリなど、ホスト上で生成されるイベント情報から不正侵入を検知する 機能を持つ


IDSの検出アルゴリズムは、一般に、不正検出異常検出に大別される
この うち異常検出は、過去の統計やユーザが行う通常の行動の傾向を記録しておき、そのデータから大きく外れた行動を検出するため、未知の手法による攻撃も検出できる場合がある。


※参考: 侵入検知システムとは何? Weblio辞書


ヒューリスティック探索

マルウェアが引き起こす特徴的な動作を検知するもので、一般に、未知のマル ウェアを検知できる可能性がある反面、誤検知率が高いという欠点があるとされている。

アクセス制御

ユーザの役割に応じてアクセス権限を設定することにより、必要なオブジェクトへのアクセスを可能とするよう制御する方式は、一般に、ロールベースアクセス制御といわれる

任意アクセス制御

オブジェクトの所有者が、そのオブジェクトに誰がアクセス制御できるか任意に設定できる

強制アクセス制御

システムのセキュリティポリシーに従い、オブジェクトへのアクセス権限が制限される


電子認証技術とデジタル署名技術

鍵共有の仕組みとして、DH(Diffie-Hellman)鍵共有方式や公開鍵暗号を利用した方法がある

認証局PKI

認証局は、申請者の公開鍵と申請者の情報を認証局秘密鍵で暗号化し、デジタル証明書を作成する


秘密鍵の漏洩やデジタル証明書に記載された内容に変更があった場合、又はデ ジタル証明書の所有者から失効の申し出があった場合は、登録局から発行局に失 効が要求され、該当するデジタル証明書を証明書失効リストに登録し、証明書失効リストはリポジトリで公開される


利用者は、受け取ったデジタル証明書が失効していないかどうか、認証局のリ ポジトリから情報を入手してチェックする

共通鍵暗号方式

ブロック暗号にはDES(Data Encryption Standard)、トリプルDES、AES(Advanced Encryption Standard)などが、ストリーム暗号にはRC4
などがある


WiFiでは
RC4: WEP、WPA-PSK(TKIP)、WPA2-PSK(TKIP)
AES: WPA-PSK(AES)、WPS2-PSK(AES)


参考
無線LANの暗号化方式について整理してみた - トリコロールな猫/セキュリティ



暗号の解読法には、差分解読法や線形解読法等がある
公開鍵暗号の解読法ではない
参考:
線形解読法 - Wikipedia
差分解読法 - Wikipedia



ストリーム暗号方式

入力となる平文のストリームに対し、鍵系列発生器により発生させた鍵のストリームとの排他的論理和を求めることにより行われる

ブロック暗号

平文のビット列を固定長のブロックに分割してブロック単位 かえ のビット列とし、このブロック単位のビット列と鍵のビット列で換字と転置を複数 回繰り返すことにより暗号化、復号を行う

公開鍵暗号方式

SSH1で利用される
RSA暗号は、楕円曲線暗号と比較して、公開鍵から秘密鍵を求めるのに必要な計算量が少ない→危険!

  • DSA (Digital Signature Algorithm)

SSH2で利用される


バイオメトリクス認証

本人認証の実現方法は、一般に、所有物による認証、本人が持つ知識による認証及び本人の身体的・行動的特徴による認証の三つのカテゴリに大別される


バイオメトリクス認証は、 身体的・行動的特徴を用いて本人認証する方法であり、身体的・行動的特徴の普遍性、唯一性及び永久性の三つの性質を利用している
バイオメトリクス認証の一つである指紋による認証では、万人不同、終生不変などといわれ ている指紋で本人を識別する


指紋照合には、あらかじめ登録された画像と読み込んだ画像を 比較して認証する方式のほか、指紋の特徴(分岐点や切れている点など)の位置関係と隆線を抽出するマニューシャマッチング方式があり、パーソナルコンピュータの利用時の本人確認などに利用されている


バイオメトリクス認証では、パスワードや磁気カードなどを用いた本人認証技術と異なり、 照合結果を用いた判定基準には一定の許容範囲を持たせる必要があり、一般に、本人拒否率他人受け入れ率を考慮して判定しきい値を設定する。



ICカードチップのセキュリティ対策

ICカードチップ内の機密データを、ICカードを分解するなどして外部から読み取られるといったことを防ぐ能力は、一般に、耐タンパ技術といわれる


ICカードチップに対する攻撃の一つに、プロービングがある
これは、チップの配線パターンに直接プローブを当てて信号を読み取るものである
この対策として、チップの配線を多層化し重要な情報の流れるパターンを下層に配置することが有効である


ICカードチップに対する非破壊・受動攻撃の一つにDPA(Differential Power Analysis)がある
これは、ICカードチップの消費電流波形を解析・処理することでチップ内部の動作を推定するものである
この対策として、消費電流の変動を極力小さく抑えることがチップの回路設計段階で求められる









セキュリティプロトコルの記事はこちら
www.charter-blog.com


カテゴリー「電気通信主任技術者試験」の記事一覧はこちら
www.charter-blog.com