🦆
【ST試験対策】セキュリティ
なぜ作成したのか
- ITストラテジスト合格のため、書籍の内容をまとめてみる
参考
午前Ⅱ対策
セキュリティ
セキュリティ技術
1. リスク管理における対応手段
項目 | 概要 | 具体例 |
---|---|---|
リスク回避 | リスクの原因を排除して問題を根本的に防ぐ手段。 | セキュリティ脆弱性のあるシステムを使用しない、リスクの高い取引を中止する。 |
リスク低減 | リスクの発生確率や影響を最小限に抑える対策を講じる。 | ファイアウォールやウイルス対策ソフトの導入、不正アクセス防止策を実施。 |
リスク移転(共有) | リスクを第三者に移転または分散する手段。 | サイバー保険に加入、クラウドサービスプロバイダーにシステム運用を委託。 |
リスク保有(受容) | リスクを把握し、受け入れる決定をする。 | 軽微なリスクを許容し、特別な対策を行わない。 |
2. 暗号技術と認証技術
項目 | 概要 | 特徴 |
---|---|---|
共通鍵暗号方式 | 暗号化と復号に同じ鍵を使用する方式。 | 処理が高速だが、鍵の共有が課題。 |
公開鍵暗号方式 | 暗号化と復号に異なる鍵(公開鍵と秘密鍵)を使用する方式。 | 鍵交換が安全だが、処理速度が遅い。 |
デジタル署名 | 公開鍵暗号を利用して、データの改ざん検出や送信者の認証を行う技術。 | 電子メールや電子契約の信頼性を向上。 |
認証局(CA) | デジタル証明書を発行し、公開鍵の正当性を保証する機関。 | インターネット上での安全な通信を支える基盤。 |
証明書 | 認証局が発行するデジタル署名付きの公開鍵情報。 | サーバーや個人の公開鍵が信頼できることを証明する。 |
OCSP(Online Certificate Status Protocol) | 証明書の有効性をリアルタイムで確認するプロトコル。 | 証明書が失効しているかを迅速に判断可能。 |
3. 無線通信技術
項目 | 概要 | 特徴 |
---|---|---|
ESSID | 無線LANネットワークの識別子(ネットワーク名)。 | 通常、ルーターやアクセスポイントごとに設定される。 |
MACアドレス | ネットワーク機器ごとに割り当てられた物理的な識別番号。 | ユニークな識別番号で、ネットワーク上の機器を特定。 |
IPアドレス | ネットワーク上で通信するために割り当てられる論理的な識別番号。 | グローバルIPアドレスとプライベートIPアドレスが存在。 |
4. 無線LANセキュリティ規格
項目 | 概要 | 特徴 |
---|---|---|
WEP | 初期の無線LANセキュリティ規格。 | 暗号化が弱く、セキュリティリスクが高い。 |
WPA | WEPの改良版で、強力な暗号化を提供。 | 暗号化方式にTKIP(Temporal Key Integrity Protocol)を採用。 |
WPA2 | WPAの後継規格で、セキュリティが大幅に向上。 | 暗号化方式にAES(Advanced Encryption Standard)を採用。 |
WPA3 | 最新のセキュリティ規格で、WPA2の欠点を補完。 | パスワード推測攻撃に対する防御を強化し、個別データの暗号化を提供。 |
5. ユーザー認証とシングルサインオン
項目 | 概要 | 特徴 |
---|---|---|
シングルサインオン | 一度の認証で複数のサービスやシステムにアクセス可能にする技術。 | 利便性向上とセキュリティ向上(パスワードの使い回しを防止)。 |
まとめ
カテゴリ | 項目 | 用途や特徴 |
---|---|---|
リスク管理 | リスク回避、低減、移転、保有 | セキュリティリスクへの対応戦略。 |
暗号技術 | 共通鍵暗号方式、公開鍵暗号方式 | 通信の安全性確保。 |
認証技術 | デジタル署名、認証局、証明書、OCSP | データの信頼性と送信者の認証。 |
無線LANセキュリティ | WEP、WPA、WPA2、WPA3 | 無線通信の暗号化規格。 |
ネットワーク識別 | ESSID、MACアドレス、IPアドレス | ネットワーク機器や通信相手の識別。 |
ユーザー認証 | シングルサインオン | ユーザーの利便性とセキュリティを向上。 |
攻撃手法
1. 認証情報に関連する攻撃
項目 | 概要 | 特徴 |
---|---|---|
ブルートフォース攻撃 | 全ての可能なパスワードを試行することで、正しい認証情報を特定する攻撃。 | 短いパスワードや単純な文字列に弱い。 |
リバースブルートフォース攻撃 | 一つのパスワードを複数のアカウントに対して試行する攻撃。 | 共通パスワード(例:123456)を使うユーザーが多い場合に効果的。 |
パスワードリスト攻撃 | 流出したパスワードリストを用いて認証を試行する攻撃。 | 過去の漏洩データを利用。ユーザーが同じパスワードを複数のサービスで使い回す場合に効果的。 |
リプレイ攻撃 | 過去に取得した正当な通信データ(例:認証情報)を再送信して不正にアクセスする攻撃。 | 暗号化されていない通信に特に脆弱。 |
2. マルウェア関連の攻撃
項目 | 概要 | 特徴 |
---|---|---|
ウィルス | 自己複製しながらシステムに感染し、データ破壊や情報窃取を行うマルウェア。 | ファイルやプログラムを媒介として感染を広げる。 |
ドライブバイダウンロード | 悪意のあるウェブサイトを訪問した際に、ユーザーが意図せずにマルウェアをダウンロードする攻撃。 | ユーザーの操作なしで感染するため、セキュリティが弱い端末が標的。 |
ランサムウェア | システムやデータを暗号化して使用不能にし、復旧のために身代金を要求するマルウェア。 | 身代金を支払ってもデータが復元されない場合もある。 |
ウィルス対策 | ウィルスやマルウェアからシステムを保護するための対策。 | ウィルス対策ソフトの導入、定期的なスキャン、OSやソフトウェアのアップデート。 |
3. ネットワークに関連する攻撃
項目 | 概要 | 特徴 |
---|---|---|
DoS攻撃 | サーバーやネットワークに大量のリクエストを送信し、サービスを停止させる攻撃。 | 一点集中型で攻撃者1人または1つのIPから行われる。 |
DDoS攻撃 | 分散した複数のデバイスから大量のリクエストを送信してサービスを停止させる攻撃。 | ボットネットを利用することで、攻撃元の特定が難しい。 |
DNSリフレクション | DNSサーバーに偽装したリクエストを送り、攻撃対象に大量の応答を送り付ける攻撃。 | 攻撃者のIPを隠しつつ、大量のトラフィックを発生させる。 |
DNSキャッシュポイズニング | DNSサーバーのキャッシュ情報を改ざんし、悪意のあるサイトに誘導する攻撃。 | ユーザーが正規のURLにアクセスしているつもりでも、偽サイトに接続される。 |
4. 中間者攻撃(MITM)
項目 | 概要 | 特徴 |
---|---|---|
中間者攻撃(MITM) | 通信経路上に割り込み、データを盗聴したり改ざんしたりする攻撃。 | 暗号化されていない通信が特に脆弱。 |
MITB(Man-In-The-Browser) | ブラウザに潜むマルウェアが、ユーザーの操作やデータを改ざんする攻撃。 | オンラインバンキングやEコマースが主な標的。 |
5. 人的要因を利用する攻撃
項目 | 概要 | 特徴 |
---|---|---|
ソーシャルエンジニアリング | 人間の心理や行動を利用して、機密情報を詐取する手法。 | 信頼感や不注意を利用。例:偽装メール、電話での詐称。 |
標的型攻撃 | 特定の個人や組織を狙い撃ちするサイバー攻撃。 | 綿密な調査や準備が行われ、カスタマイズされた攻撃が多い。 |
ビジネスメール詐欺 | 経営者や取引先になりすまし、金銭や情報を詐取する攻撃。 | メール内容が巧妙で、信憑性が高いのが特徴。 |
フィッシング | 偽のウェブサイトやメールを使って、個人情報を詐取する攻撃。 | メールやSMSを利用して、ログイン情報やクレジットカード情報を盗む。 |
6. その他の攻撃手法
項目 | 概要 | 特徴 |
---|---|---|
第三者中継 | 他人のサーバーを中継点として利用し、不正なメールや通信を送信する攻撃。 | 攻撃者の特定が困難になる。 |
まとめ
カテゴリ | 項目 | 主な特徴 |
---|---|---|
認証攻撃 | ブルートフォース攻撃、リバースブルートフォース攻撃、パスワードリスト攻撃、リプレイ攻撃 | パスワードの強度が重要。 |
マルウェア攻撃 | ウィルス、ドライブバイダウンロード、ランサムウェア | ウィルス対策ソフトとOSアップデートで防御。 |
ネットワーク攻撃 | DoS攻撃、DDoS攻撃、DNSリフレクション、DNSキャッシュポイズニング | トラフィック監視やDNSセキュリティ設定が重要。 |
中間者攻撃 | 中間者攻撃(MITM)、MITB | 暗号化通信(HTTPSやVPN)が防御策。 |
人的要因攻撃 | ソーシャルエンジニアリング、標的型攻撃、ビジネスメール詐欺、フィッシング | ユーザー教育と認証プロセス強化が重要。 |
セキュリティ対策専門機関の情報発信
1. CRYPTREC暗号リスト
概要
- CRYPTREC(Cryptography Research and Evaluation Committees)は、日本政府(総務省および経済産業省)が設立した暗号技術の評価と推奨を行う機関。
- CRYPTREC暗号リストは、CRYPTRECがセキュリティ面で信頼できると判断した暗号技術を示したリスト。
リストの分類
-
電子政府推奨暗号リスト
- 日本政府が定めたリストで、現時点で電子政府システムでの使用が推奨される暗号技術を含みます。
- 例:AES(Advanced Encryption Standard)
- RSA暗号(1024ビット以上の鍵長)
- SHA-256(ハッシュ関数)
-
推奨候補暗号リスト:
- CRYPTRECが評価中または将来的に推奨する可能性がある暗号技術を含むリスト。
- 例:ポスト量子暗号(量子コンピュータに耐性を持つ暗号技術)
- SHA-3(次世代ハッシュ関数)
-
運用監視暗号リスト:
- セキュリティ上の注意が必要な暗号。
- 将来的な使用制限や置き換えが考慮される。
- 例:SHA-1(衝突耐性に問題があるとされる)。
目的
- 暗号技術の信頼性と安全性を確保。
- 政府システムや社会インフラで使用される暗号技術の標準化。
重要性
- 安全な暗号技術を選択するための基準を提供。
- 暗号アルゴリズムの脆弱性が発見された場合の迅速な対応を支援。
2. NOTICE(National Operation Towards IoT Clean Environment)
概要
- 日本の総務省が主導するプロジェクトで、IoT機器のセキュリティ向上を目的とする取り組み。
- 不正アクセスの温床となる脆弱なIoT機器(初期設定のままのパスワードを使用するなど)を特定し、注意喚起を行う。
- 「国内のグローバルIPアドレスを有するIoT機器に、容易に推測されるパスワードを入力すること等によって、サイバー攻撃に悪用される恐れのある機器を調査し、インターネットサービスプロバイダーを通じて当該機器の利用者に注意喚起を行う」と説明される。
仕組み
-
調査:
- 全国のISP(インターネットサービスプロバイダー)と連携し、インターネット上で接続可能なIoT機器をスキャン。
-
特定:
- 脆弱なパスワードや既知のセキュリティリスクを持つIoT機器を特定。
-
通知:
- 特定された機器の利用者に対し、ISPを通じてセキュリティ改善の通知を送付。
目的
- サイバー攻撃(例:DDoS攻撃)に利用されるボットネットの形成を未然に防ぐ。
- IoTデバイス利用者への啓発とセキュリティ強化。
重要性
- IoTデバイスの普及に伴い増加するサイバー脅威に対応。
- 利用者の意識向上と、セキュリティの基盤強化。
3. OSINT(Open Source Intelligence:オープンソースインテリジェンス)
概要
- 公開されている情報(オープンソース)を収集・分析し、セキュリティリスクや脅威に関するインテリジェンスを生成する手法。
- 情報源:インターネット、ニュース記事、SNS、政府機関の公開データなど。
特徴
-
合法性:
- 公に入手可能な情報のみを使用するため、情報収集が合法的。
-
リアルタイム性:
- 情報が常に更新され、最新の動向を把握可能。
活用例
-
サイバー攻撃の兆候の検知:
- SNSやフォーラムでの攻撃者の活動を監視。
-
脅威インテリジェンスの生成:
- 攻撃パターンや脆弱性情報の早期発見。
-
企業のセキュリティ改善:
- 自社に関連する潜在的リスクの特定。
メリット
- 幅広い情報を基にリスク分析が可能。
- リアルタイムでの脅威インテリジェンス提供。
課題
- 膨大な情報の中から有益なデータを抽出するための技術と知識が必要。
- データの正確性や信頼性の確認が不可欠。
まとめ
観点 | 概要 | 目的 | 重要性 |
---|---|---|---|
CRYPTREC暗号リスト | 信頼性の高い暗号技術を評価・推奨するリスト。 | 安全な暗号技術の選択と標準化。 | 政府システムや社会インフラで使用される暗号技術の信頼性確保。 |
NOTICE | IoT機器のセキュリティ強化を目的とした調査・通知プロジェクト。 | ボットネットの形成防止、利用者啓発。 | IoT機器の普及に伴うサイバー攻撃リスクの低減。 |
OSINT | 公開情報を利用したリスクや脅威の分析。 | サイバー攻撃の兆候検知、脅威インテリジェンスの生成。 | リアルタイムでの脅威情報提供により、迅速なセキュリティ対応が可能。 |
Discussion