【追記3/14】追加購入
3. 要点早わかり情報処理安全確保支援士ポケット攻略本
https://amzn.asia/d/dGKYOTq

IAM(Identity and Access Management)

IAMとは

• アクセスコントロール：識別・認証された利用者が，許可されている権限の範囲内で利用できるように制御すること
• IAM：アクセスコントロールを実現するシステム

基本概念と主要機能

• 識別→ID管理
• 認証→多要素認証，リスクベース認証などを組み合わせたより高度な認証機能
• 認可→アクセスポリシに基づいたアクセス権限の付与
• アカウンティング→アクセスログの記録

特権（特権ユーザ，特権ID）

• 最小権限の原則：必要以上に1人に権限が集中しないように配慮

認証技術

＜参考＞

• 上記の参考書②
• Youtube: まさるの勉強部屋
• https://qiita.com/mkt_hanada/items/76b5aab4996700866915

①パスワード認証

ベーシック認証→平文で認証情報を送るので，盗聴に弱い

チャレンジレスポンス方式

→パスワードの情報を通信路に流さずに認証を行える

※勉強元：https://qiita.com/mkt_hanada/items/76b5aab4996700866915

②ワンタイムパスワード

→ログインするごとに毎回パスワードを変える方式。パスワードが漏洩しても安心してアクセスできる。チャレンジレスポンス方式の応用パターン

②-1: S/Key方式

• パスフレーズ（マスターパスワード）：サーバとクライアントで秘密に管理するパスワード
• シード：サーバからクライアントに送られる乱数
• シーケンス番号：サーバで管理する「ハッシュ関数を使った計算をする回数」の意味を持つ番号

②-2タイムスタンプ方式（時刻同期方式）

• トークン：パスワード計算機（カード型，ソフトウェア型，キーホルダ型）
• 同期方式に時刻を用いる

• 時刻同期ができていないと認証に失敗
  →認証サーバに時刻の幅を持たせておく

③生体認証

→人体の特徴（顔，指紋，虹彩，網膜，静脈など）を利用して個人を特定する認証方式の総称。

④IEEE 802.1X認証

• エンタープライズモード（無線LAN）：認証サーバを用意し，クライアント毎の認証情報を管理する
  →IEEE802.1xの規格で認証サーバを利用

構成要素

1. サプリカント（クライアント）：オーセンティケータとの間で認証情報をやりとりする。
2. オーセンティケータ（アクセスポイント）：サプリカントから受け取った認証情報を基に，認証の可否を認証サーバに問い合わせる。
3. 認証サーバ（RADIUSサーバ）

EAP(Extensible Authentication Protocol)

→PPPの認証部分を拡張したプロトコル

⑤ICカードによる認証

⑥FIDO(Fast IDentify Online)認証

→パスワードを使わずに高い安全性と利便性を提供する認証方式。「素早いオンライン認証」。

• パスワードレス認証とも呼ばれる。
• 生体認証は必須ではない

認可

→正当な利用者に，正当な権限を与えること

アクセス権付与の原則

• 責務の分離の原則：複数のサブジェクトに権限を分離→不正防止，過失の減少
• 最小権限の原則：サブジェクトには必要最小限の権限を与え，必要のない権限を与えない

アクセスコントロールの種類

• 任意アクセス制御：DAC。自分の所有するリソースに，自分でアクセス権を設定する方法。
• 強制アクセス制御：MAC。特定の管理者によってセットされる「セキュリティポリシ」に基づきアクセス権を設定・管理する方法。
• ロールベースアクセス制御：RBAC。権限をロール（役割）別に付与し，利用者はその時点で適した役割に参加させてマッチングさせる方法。

シングルサインオン（SSO）

①Kerberos認証＋SPNEGO認証

Kerberos（ケルベロス）認証とは

• Microsoftのアクティブディレクトリでも採用されている方式

• レルム：認証する範囲
• KDC(Key Distribution Center)：AS+TGS+KDBで構成されているケルベロス認証のサーバ
  • AS(Authentication Server)：認証サーバ
  • TGS(Ticket Granting Server)：チケット認可サーバ
  • KDB(Kerberos DataBase)：principals＋その共有鍵を保管するDB
• principal：レルム内のリソース
• TGT(Tichet Granting Ticket)：チケット認可チケット
• ST(Service Ticket)：サービスチケット

SPENGO

• Kerberosと連携するなどし，SSOを実現する

②SAML認証

→IDフェデレーション（ID連携）方式のSSO。記述言語にXML。

• SAMLに対応したWebサイトであれば異なるドメインにあるサイト間でも，安全に認証・認可情報が引き継がれる
• 最新版はSAML2.0

③OAuth

→Webサービス間での情報連携を可能にする認可プロトコル（権限を与える）

• あるWebサービスに保有しているリソースを，その利用者が別のWebサービスでも利用できるように認可して連携するためのもの
• ログイン時に利用することでSSOが可能に
• 最新バージョンはOAuth2.0

④OIDC(OpenID Connect)

⑤JWT(JSON Web Token)

デジタル証明書

• X.509で標準化
• 公開鍵，有効期限，証明書の正当性を証明する情報が含まれている

PKIの運用環境

①CA(Certification Authority)：認証局

→デジタル証明書にお墨付きを与える信頼のおける第三者機関

②RA(Registration Authority)：登録局

→利用者からデジタル証明書の登録申請を受け付けて，承認や認可を行う機関

③IA(Issuing Authority)：発行局

→デジタル証明書の正当性を確認するアプリケーション等が直接やりとりする。アプリケーションからの要求に応じてデジタル証明書やCRLの発行を行う

PKIの仕組み（デジタル証明書）

1. 登録申請にあたり，公開鍵のペアを作成
2. 秘密鍵は漏洩しないように厳重に保管。公開鍵と登録申請書に必要事項を記入し，CA（もしくはRA）に申請＜CSR＞
3. 申請→内容の審査→デジタル証明書の作成→リポジトリに登録（CAへの登録完了）
4. （必要に応じて）デジタル証明書の発行

※CSR：デジタル証明書を申請・取得するためにCAへ提出する証明書署名要求のこと

デジタル証明書のチェック方法

証明書のレベル

• DV：ドメインだけを確認
• OV：企業の実在性を確認
• EV：DVやOVよりも厳しい審査基準
• DV<OV<EVの順に厳格

常時SSL化と，その場合の通信内容の検査

TLS

→PKIを活用した，Webサーバとブラウザ間の通信を暗号化するときに使うデファクトスタンダードのプロトコル

HSTS(HTTP Strict Transport Security)

→Webサイトが，アクセスしてくるブラウザ（HSTS対応ブラウザ）に対して，HTTPSの使用を強制させる機能

1. Webサイト側でブラウザからアクセスを受けた際（HTTP要求）の応答に，Strict-Transport-Securityを指定
2. ブラウザは情報を記録
3. 一定時間（max-age=で指定した時間）自動的にHTTPSに置き換える

デジタル証明書の利用

サーバ証明書以外にも・・・

• クライアント証明書
• S/MINE証明書：電子メールにデジタル署名と暗号化を行い，電子メール送信者の身元証明と改竄検知を行う
• コードサイニング証明書：ソフトウェアの正当性を証明

時刻認証（タイムスタンプ）

電子データにタイムスタンプを付与→以下二つの事実を証明

• 存在性証明：タイムスタンプ時に，確かに，その電子データが存在していたこと
• 完全性証明：タイムスタンプ時以降に，その電子データが改ざんされていないこと

ファイアウォール

①ステートフルパケットインスペクション型

→FWを通過したパケットを管理し，それに対する正常な通信（対応している戻りパケットや，パケットの順番＝TCPヘッダのシーケンス番号の妥当性，コネクションの状況など）だけを通過させる機能を持ったタイプのファイアウォール

• 戻りパケットを偽装した攻撃に対応可

②L7ファイアウォール（次世代FW）

→アプリケーションレベルで判断するFW

• アプリケーション単位の動作を含む制御が可能
• コンテンツフィルタリング機能
• 通信内容での制御
• 認証サーバとの連携によって，ユーザやグループごとにアクセス制御の設定
• アンチウイルスゲートウェイ（HTTPS復号機能含む）

③FWのフィルタリングルール

• 定番の設問→ステートフルパケットインスペクション型FWのフィルタリングルールの定義

デフォルト禁止

→通常，アクセスコントロールの設定では，デフォルト全部の通信を禁止に

• 業務要件に記載されている必要な通信を読み取って，それだけを許可する

危険なポート（135，137〜139，445）を塞ぐ

→原則双方向禁止

ポートノッキング機能

• 不正アクセスやポートスキャンの対策
• 全てのポート，もしくは特定のポートを隠し，許可された通信だけを通過させることができる（ステルス化）
• SPA(Single Packet Authorization)：複雑なノックシーケンスの代わりに，暗号化された単一のパケットを送信して認証を行い，セキュリティを強化する
  →パケットは暗号化→盗聴のリスクを防ぐ

④FWの運用

• 様々な仮想敵攻撃を外部から行うテスト→ペネトレーションテスト

⑤パケットフィルタリング型のFWで防げない攻撃

• 一部のDoS
• サーバのセキュリティホールを突いてくる正常なパケット
• 電子メールに添付されてくるワームなどのウイルス
• 悪意のあるサイトへのアクセス
• なりすまし

IDSとIPS

①IDS(Instruction Detection System)

→侵入を検知するシステム。ホスト型とネットワーク型の二つに分けられる

• ホスト型：監視対象となるホストにインストールし，そのホスト自身を監視するタイプのIDS。
• ネットワーク型：監視対象のネットワークセグメントに設置し，ネットワーク上を流れるパケットを監視。プロミスキャスモード（自分宛でないパケットも全て取得するモード）とステルス（インライン）モード（IPアドレス振らない）がある。

②IPS(Instruction PreventionSystem)

→侵入される前に食い止めることを目的としたシステム。不正な通信だと判断した時に自動的に遮断する機能を持つ。

• ホスト型とネットワーク型
• ネットワーク型はインラインモードのみ
  →プロミスキャスモードはミラーポートに接続するため，防御できない
• FWよりも内部のネットワークも信用しない（ゼロトラスト）考えから，IDS・IPSを用いる

検知の仕組み

Misuse検知（シグネチャ型・不正利用検知）

• 不正アクセスの攻撃パターンをデータベース化しておき，その登録された不正アクセスパターンとの比較により，正常なアクセスか否かを判断する仕組み

Anomaly検知（異常検知）

• 正常となるパターンを登録しておき，その正常動作から離れた動きをするものを以上として検知する方法

	Misuse	Anomaly
比較対象	攻撃パターン（シグネチャ）	正常な状態
導入時	導入しやすい	運用に時間がかかる
検知	既知の攻撃が主な対象	未知の攻撃も対応が期待できる

【参考】https://www.youtube.com/watch?v=hf-ZpXWUCq0&list=PLfrpqyRFsglL3WgvYiZsBO7Al1YsE64DI&index=32

UTM(Unified Threat Management)

→コンピュータウイルスやハッキングなどの脅威から，コンピュータネットワークを効率的かつ包括的に保護する管理手法のこと。統合脅威管理。
【参考】https://www.ntt.com/business/services/rink/knowledge/archive_119.html

サーバの要塞化

→サーバを”要塞”のように仕上げて，様々な脅威への耐性を高めること

1. セキュリティ対策を施した最新バージョンの維持
2. デフォルト状態からの変更
3. 適切なアクセス権の設定
4. ログの設定

エンドポイントセキュリティの導入

• エンドポイント：ネットワークの末端や終端のこと（クライアント端末と業務サーバやファイルサーバなど）
• ゼロトラストの考え方に一致

プロキシサーバ／IAP(Identity Aware Proxy)

• プロキシサーバ：クライアント端末がインターネット上のWebサーバ等にアクセスする際に，当該端末の代わりに代理で応答してくれるサーバ

役割

①端末の隠蔽

• 社内LAN等に配置された実際のアクセス端末を隠蔽可能
• クライアント端末自体の安全性向上

②クライアントからのアクセス集中制御

• FWでプロキシサーバ経由以外のインターネット接続を遮断
  →外部との通信をプロキシサーバに集約
• アクセスログの一元管理
• URLフィルタリングソフト，アンチウイルスソフトの機能→セキュリティの向上

③標的型攻撃の出口対策

• 標的型攻撃：標的となった端末がマルウェアに感染すると，その端末がC&Cサーバに向けてコネクトバック通信を試みる
  →プロキシサーバを導入しFWで直接の通信を禁止
  →直接C&Cサーバに接続を試みるマルウェアを遮断

④認証機能

• 認証機能付きのプロキシサーバの場合，インターネットに接続できる端末に制限をかけることも可能

⑤IAP

• IAP（アイデンティティ認識型プロキシ）：クライアントとアプリケーション間の通信を仲介するプロキシで，ユーザを認証し，そのユーザに許可されているアプリケーションだけを利用させるソリューション

Webアプリケーションのセキュリティ

①HTTP通信

HTTPリクエスト

• リクエスト行，ヘッダ，ボディで構成
• リクエスト行：メソッド，リクエストURI，HTTPバージョン

HTTPレスポンス

• ステータス行，ヘッダ，ボディで構成
• ステータス行：HTTPバージョン，ステータスコード，ステータスメッセージ

②GETメソッドとPOSTメソッド

③Cookieを使用したセッション管理

④Same-OriginポリシとCORS

• Same-Origin：Web上で，プロトコル，ホスト名，ポート番号が全て一致するもの
• XSSやCORSの攻撃は，異なるオリジン間で行われる
  →Same-Originポリシはこれら攻撃を防ぐために，異なるオリジン間での不正なリソースやデータのアクセスを制限し，セキュリティを確保することを目的としている

CORS(Cross Origin Resource Sharing)

→異なるオリジンに対してアクセスが必要な場合に利用

• HTTPレスポンスヘッダで指定
• サーバがリクエストに対してどのオリジンからのアクセスを許可するかを制御する

⑤その他，Webサーバ全般の対策

DNSサーバのセキュリティ

• DNSサーバ→ドメイン名（FQDN）とIPアドレスの対応関係を管理し，ドメイン名からIPアドレスを参照する用途などで使用される重要なサーバ
• 権威DNSサーバ（コンテンツサーバ）とキャッシュサーバ

DNSサーバに対する脅威

• DNSキャッシュポイズニング
• DNSリフレクション
• DNSamp
• サブドメインテークオーバ

DHCPサーバのセキュリティ

• DHCP：各端末にIPアドレスを自動的に割り当てるプロトコル。通信はUDP。

DHCPスプーフィング

• 同一サブネット上にDHCPサーバが複数ある場合，より近くにあるサーバがより早く応答するという性質を利用し，悪意を持って不正なDHCPサーバを設置する攻撃が考えられる
  →RogueDHCP，DHCP Rogue Server Attack
• DHCP枯渇攻撃：不正なDHCPクライアントを接続し，大量のIPアドレスをDHCPサーバに要求してIPアドレスを枯渇させる攻撃

データベースサーバのセキュリティ

• 表領域暗号化機能：データベースの表領域全体を暗号化する機能。利用者側は意識する必要はない（透過的暗号化機能：TDE）
• バックアップデータの暗号化
• 通信経路の暗号化

電子メールの構造

①エンベロープ

• 封筒のようなもの
• エンベロープFROM，エンベロープTOは電子メールの通信時に使われる

②メッセージ

• ヘッダ：メールを処理するための情報を記載
• ボディ：メールの本文

電子メール関連エージェントと関連プロトコル

1. SMTP(Simple Mail Transfer Protocol)：電子メールの送信プロトコル。TCPのポート番号は25番。
2. POP3(Post Office Protocol version3)：電子メールの送信プロトコル。TCPのポート番号は110番。メールサーバに蓄積されたメールをクライアントのメールソフト（MUA）から取りに行く時に使う。
3. IMAP4(Internet Message Access Protocol version4)：電子メールの受信プロトコル。TCPポート番号は143番。POP3との相違点は，メールサーバにメールを蓄積管理できること。
4. MIME(Multipurpose Internet Mail Extensions)：マルチパートと呼ばれる仕組みを使って，各国言語，テキストデータ，画像データなど複数種類のデータを一つにまとめて，電子メールで送受信できるように考えられた仕様
5. S/MIME(Secure/MINE)：MIME仕様にセキュリティ機能を組み込んだもの。暗号化とデジタル署名を利用して安全に送受信できる。メールのヘッダ部分は暗号化されない。
6. BASE64：電子メールでバイナリデータなどを扱うために行うテキストデータへのエンコード方式。バイナリデータを64種類のキャラクタに変換して送信し，受信側で元のバイナリデータに戻す。

メールヘッダの解析

迷惑メールへの対応

送信者認証

• SMTP-AUTH：SMTPの拡張機能の一つで，ユーザアカウントとパスワードで利用者を認証する方式。主流の方式（2024年現在）
• POP before SMTP：当初普及。POPで受信者がログインした時にユーザの正当性が認証されることを利用して，その後一定の時間に同一のIPアドレスだけからSMTP接続を受け付ける方式。

OP25B

→ISP（インターネットサービスプロバイダ）が，自分の管理下にある契約者から”外部に”迷惑メールを送信できないようにする対策。

IP25B

→自ISP管理下のネットワークに外部から入ってくる迷惑メールを遮断。送信元IPアドレスが動的IPアドレスのメールをブロックする。

送信ドメインの認証

• SPF(Sender Policy Framework)：IPアドレスで認証
• DKIM(DomainKeys Identified Mail)：デジタル署名で認証
• DMARC：SPFやDKIMによる認証を補強する技術。認証結果を受けてそのメールをどう取り扱うかを，送信者側がDNSで”ポリシ”として公開しておくことで，送信者側で決めることができる。

電子メールの情報漏洩防止対策

クライアントセキュリティ

TPM(Teusted Platform Module)

→PCなどに内蔵される（マザーボードに取り付けられている）セキュリティチップ。

• 耐タンパ性をもつ
• 鍵ペアの生成と格納，ハッシュ値の計算，乱数生成などを行う

持ち出し管理規定

エンドポイントセキュリティ

EMM(Enterprise Mobility Management)

SWG(Secure Web Gateway)

BYOD(Bring Your Own Device)

VPN(Virtual Private Network)

→セキュアなプロトコルを利用し，三つの機能によって”仮想的な専用ネットワーク”を構築する

①PPTP(Point to Point Tunneling Protocol)

• Microsoft社が開発した，第2レイヤでVPNを構築するプロトコル
• 家庭用の低価格ルータでは標準的なVPN実現プロトコル
• 主にインターネットVPNで使用

②IPsec(IP security protocol)

• IPレベルでVPNを実現するためのプロトコル
• インターネットVPNを構築する時の主要技術（IPv6では標準仕様）

③SSL-VPN

• 各種サーバ群にある本社側にSSL-VPNゲートウェイを設置し，クライアントとSSL-VPNゲートウェイとの間でSSL(https)通信を行う仕組みのVPN
• 暗号化区間→クライアントとSSL-VPNゲートウェイの間

方式	特徴
リバースプロキシ方式 （Webブラウザのみ）	SSL-VPN装置はリバースプロキシとしてのみ
ポートフォワーディング方式 （Webブラウザ＋専用モジュール）	SSL-VPN装置と各種サーバの間に設定が必要。それに従って振り分けるので，設定したアプリケーションは利用できる。
L2フォワーディング方式 （Webブラウザ＋専用モジュール）	クライアント側に仮想NICを設定し，サーバ側のネットワークに属する形になる。全てのアプリケーションを投下的に利用できる。

④SSH(Secure SHell)

• SSHサーバとSHHクライアントを設置し，SSHプロトコルを使ってVPNを構築することも可能
• 情報システムの運用管理者が遠隔アクセスするときに利用するケースが多い
• SSHクライアントがSSHサーバに接続する時の認証方式
  →パスワード認証方式と公開鍵認証方式

⑤IPsecの仕組み

通信モード（暗号モード）

• トンネルモード：IPパケットをヘッダごとに暗号化するため，透過的で安全。現在の主流。
• トランスポートモード：IPパケットのデータ部（TCPヘッダとデータ部）だけを暗号化。

プロトコル

• ESP(Encapsulating Security Payload)：暗号化と認証が可能。現在の主流。
• AH(Authentication Header)：認証のみ。あまり利用されていない。

認証モード

• メインモード：相互認証に固定IPを使う→LAN間接続に向く
• アグレッシブモード：相互認証にIPアドレスを含めなくて良い→動的IPアドレス可能
  →リモートアクセスに向く

3つのフェーズ（トンネルモード＋ESP）

1. IKE SA（制御用トンネル）を作成
2. IPsec SA（通信用トンネル）（二つ）を作成
3. 暗号通信を開始

シンクライアント

RADIUS

IoTのセキュリティ