ISMS(情報セキュリティマネジメントシステム)

組織における情報資産のセキュリティを管理するための枠組み
JIS Q 27001で規定されている
CIA：ISMSに記載されている情報セキュリティの定義の事で「機密性」「安全性」「可用性」の頭文字をとったもの
1.機密性:権限を管理し許可された人だけが情報にアクセスできるようにする
2.安全性:改ざんされず正常な状態を維持している
3.可用性:情報をいつでも使える状態を維持する
~追加の４要素~
4.真正性:主張通りのものであるという特性・本人を認証するシステムを備えている(指紋認証等)
5.責任追及性:ログを取得しておき責任を追跡できるようにしておく
6.信頼性:故障や矛盾なく意図した動作をする
7.否認防止:デジタル署名等によって文章作成者が本人であることを否定できないようにする

情報セキュリティポリシー

企業や組織において実施する情報セキュリティ対策の方針や行動指針
情報資産を脅威から守るために作成する
基本方針は社外に公表する
対策基準は何を実践するかを定める
実施手順は対策基準をどのように実施するかを記載する

情報セキュリティ関連組織

1. 情報セキュリティ委員会
   組織内部に設置される情報セキュリティに関する意思決定組織で責任者はCISO(最高情報セキュリティ責任者)という
   主に情報セキュリティポリシーのレビューを行ったり情報セキュリティに関する管理・社員教育を行う

2. CSIRT(シーサート)
   組織内に設置された発生したインシデントに迅速に対応するための組織のこと(スピード重視🙂)
   国レベルのシーサートをナショナルCSIRTという。
   日本では「内閣サイバーセキュリティセンタ」と「JPCERT/CC」がある

3. J-CRAT(ジェイクラット)・別名：サイバーレスキュー隊
   標的型サイバー攻撃に関する相談を受けた組織に対して支援

4. セキュリティオペレーションセンター(SOC)
   組織の外部に存在する情報セキュリティに関してのインシデントを検知するための組織
   常にネットワークやサーバーを監視している😏

サイバー攻撃

インターネットやネットワークを通じて、他人のPCやシステムに不正アクセスしたり、データを盗んだり、破壊したりする行為のこと。

[ 脆弱性を悪用した攻撃 ]

1. バッファオーバーフロー
   プログラムがメモリ領域を超えてデータを書き込むことで、隣接するメモリを上書きし不正なコードを実行させる手法。
   最近では、安全性が高い言語（例えばJavaやPython）ではあまり見られませんが、C言語やC++のような低レベルな言語では過去によく発生していた。

2. ディレクトリトラバーサル(トラバーサル＝横断)
   WEBアプリケーションでURLに上位ディレクトリを表す記号（例：..）を入れることで、アプリケーションがアクセスを許可していないファイルやディレクトリに不正にアクセスする攻撃手法。

[ 不正ログイン ]

1. ブルートフォース攻撃
   パスワードを片っ端から試す攻撃😅(減少傾向・凍結するから)
2. リバースブルートフォース攻撃
   ユーザー名を片っ端から試す攻撃(増加傾向・凍結しないから)
3. SQLインジェクション
   パスワード欄を使って不正なSQL文を実行して不正ログインする
   ' OR 1=1 -- をパス欄にいれると1=1が絶対に真なので通ってしまう🥺
4. パスワードリスト
   他ので入手したパスワードを使ってログインする攻撃
   セキュリティ対策が弱いサイトでパスワードが流出⇒同じユーザーで銀行とかログイン試す。
   ユーザーが複数のサービスで同じパスワードを使っている場合、攻撃者は簡単にログインすることができる可能性があります。
5. レインボー攻撃
   パスワードがハッシュ化されて保存されている場合にそのハッシュ値から元のパスワードを特定する攻撃手法。ソルトや強力なハッシュアルゴリズムを利用することで、攻撃を防げる。

[ ネットワークを使った攻撃 ]

1. DNSキャッシュポイズニング
   DNSゾーン情報(IPアドレスとFQDNｎ対応表)を偽のものに書き換えて悪意のあるサイトへ誘導する攻撃(減少傾向)
2. DoS(ﾄﾞｽ)攻撃
   サーバに大量アクセスを送りダウンさせてしまう攻撃
3. DRDos攻撃(リフレクション攻撃)
   攻撃者がDNSに問い合わせる際、送信先IPを攻撃対象に偽装し、本来自分に返る応答を攻撃対象に送ることで、大量のトラフィックを送りダウンさせる攻撃。
4. クロスサイトスクリプティング(XSS)
   掲示板などの投稿に悪意のあるスクリプト（プログラムの一部）を埋め込み、閲覧者のcookie情報や個人情報を抜き取る攻撃。

cookie情報とは？

ウェブサイトがユーザーのデバイスに保存する小さなデータのことを「クッキー」と呼び、これにはログイン情報、設定、トラッキングデータなどが含まれます。例えば、オンラインショップでログインした後、再訪問時に自動的にログイン状態を維持するために使用されます。

5. クロスサイトリクエストフォージェリ(CSRF)
   掲示板などの投稿に悪意のあるスクリプトを埋め込み別の会員サイトで意図しない操作を行わせる攻撃。攻撃者はユーザーが意図せずに他のサイトでアクション（例：アカウントの変更や送金）を実行させることができる。

[ 人の心理を悪用した攻撃 ]

1. ソーシャルエンジニアリング
   人の心理的な弱みに付け込み、信頼を悪用して機密情報を不正に取得する攻撃手法。
   攻撃者は電話やメールなどでターゲットに接近し、情報提供を促すことでパスワードや個人情報を盗み取ります。
2. フィッシング
   送信者を偽った電子メールを送り悪意のあるサイトに誘導して機密情報を盗む攻撃
   楽天や銀行など、信頼性の高い企業を装って行われることが多い。
3. ランサムウェア
   アプリケーションなどを使えなくして身代金と引き換えに解除する通知を送る

[ マルウェア ]

[ マルウェアの種類 ]

1. ウイルス🦠
   システムのファイルを削除、データ改ざん等を目的としたマルウェア
2. マクロウイルス📊
   エクセルなどに付属しているマクロ機能を悪用するマルウェア
3. ワーム(虫)🐛
   ネットワークを介して他のPCに自分自身をコピーする性質があるマルウェア
4. トロイの木馬🏛️🐎
   正常なプログラムに見せかけて裏で不正な処理を行うマルウェア
   特定の条件になるまで活動せず待機する(ノロそう)
5. スパイウェア🕵️‍♂️
   システムに入り込み個人情報を抜き取り外部に送信するマルウェア
6. ボット🤖
   感染したPCをネットワーク経由で操作するマルウェア

ネットワークセキュリティ

「不正アクセスや攻撃からネットワークを守る仕組み」のこと

1. ファイアウォール
   フィルタリング機能で通信を遮断してセキュリティを確保する仕組み
   どの通信は許可するかを書いたリストをフィルタリングテーブルという
2. DMZ(非武装地帯)
   ファイアウォールを使って作られる外部NWと内部NWの間に設けられるセグメント

[セグメント：ネットワークを小さなグループに分割したもの。例えば、大きなオフィスのネットワークを「営業部用」「開発部用」「ゲスト用」などに分けると、それぞれが独立したセグメントになります。]

3. WAF
   Webアプリケーションファイアウォールのことで、Webサーバーとユーザーの間に設置され、Webアプリケーションの脆弱性を悪用した攻撃を防御する仕組み

[例:XSS攻撃(攻撃者がウェブアプリケーションのフォームなどを通じて悪意のあるスクリプト(<script>alert('XSS攻撃');</script>など)をユーザーのブラウザに埋め込む攻撃)]

電子メール関連セキュリティ

最近メールを使った詐欺やらセキュリティ攻撃増えてきた。その為の対策

暗号化

1. 共通化暗号方式
   送受信者どちらかがカギを作り共有⇒そのカギで開く(給料明細?)
   [問題点]鍵そのものを取られたら終わり
2. 公開鍵暗号方式
   受信者が２つの鍵を作る(複合鍵・暗号化鍵)
   ⇒暗号化鍵はばれても大丈夫やから送信者に送る！複合鍵は大事に保管🥺
3. ハイブリット暗号
   共通鍵暗号と公開鍵暗号を組み合わせた方式⇒身近なものだとHTTPSの話😲🌟
   ①受信者が公開鍵を送信者に送る。
   ②送信者がその公開鍵を使い 共通鍵 を暗号化して送信。
   ③受信者が秘密鍵で共通鍵を復号し、その後の通信は共通鍵暗号で行う
   ⇒公開鍵暗号の安全性と、共通鍵暗号の高速処理を両立できる。

デジタル署名

デジタル署名では送信者が２つの鍵(複合鍵・暗号鍵)を作る
そして複合鍵を渡す(複合鍵がそもそも正しいかは認証局(CA)が認証)
データを暗号化するのではなくハッシュ値を暗号化する。
なりすましがないこと＆改ざんがないことが確かめられる。