情報セキュリティと標準化I 第7回-公開用
Transcript of 情報セキュリティと標準化I 第7回-公開用
情報セキュリティと標準化I 第7回
WEB公開版のため
内容は大幅に抜粋・省略しています。
前期:第15回
1 情報セキュリティの概要:基本概念、実装技術と対策方法2 情報セキュリティの概要:脅威リスクの分類と評価、その対策方法3 技術的セキュリティの技術と実装4 人的・物理的セキュリティと技術的セキュリティの関係5 対称暗号技術:秘密鍵技術と実装(セキュアプログラミング)6 非対称暗号技術:公開鍵技術と実装(セキュアプログラミング)7 セキュリティ監査と管理:セキュリティ技術評価
評価方法、保証レベル
8 セキュリティ監査と標準化:セキュリティ評価基準と標準化9 リスクの分析評価と管理対策:情報資産とリスクの概要,リスク分析評価
10 情報セキュリティのマネジメントとセキュリティポリシー: IMIS、関連法規
11 デジタル認証技術と標準化: デジタル署名、メッセージ認証、認証基盤12 物理的認証技術と標準化:利用者確認、生態認証、関連標準化動向13 観測・基盤実装技術:セキュアOS,セキュアプログラミング14 観測・応用実装技術:アプリケーションセキュリティ15 情報セキュリティ技術、分析評価方法、管理対策、標準化動向まとめ
第7回
• セキュリティ監査と管理:セキュリティ技術評価、評 価方法、関連標準等
• 情報セキュリティは情報システムを構築した時点で は終わらず、対象となる組織やシステムで継続的に 維持されなればならない。そのためには、定期的な
技術評価を行う必要がある。第7回ではシステムの 安全性やセキュリティ技術評価のための手法を学
ぶ。また、システムレベルでのリスクや脆弱性の詳 細について解説する。
情報セキュリティのCIA
confidentiality
Integrity availability
機密性情報が組織や個人に
よって定められたルール
通りに保護できること。
可用性システムを必要に
応じて利用・制御ができ
ること。
完全性情報が破壊、改ざん又
は消去されていない状
態を確保すること
暗号・認証
アクセス制御・認証
暗号・アクセス制御
リスク管理
• 許容:リスクのうち、発生頻度やダメージが少ないと 予想される場合、対策を行わないこと。
• 低減:リスクの発生頻度や損害額を抑えること。
• 移転:リスクが発生する情報システムを外部に委託 すること。
• 回避:リスク発生の原因を取り除くこと。
基本情報処理技術者試験:
リスク管理①リスクの種類
投機的リスク:損もするが得する場合もある
純粋リスク:損するのみ
②リスク分析と評価
分析:守るべき複数の情報資産の価値(損失額)を決める
評価:それぞれの情報資産の許容損失額を決定する。
③リスクファイナンス:攻撃された時の損失を補填する備えをす る、会社に入るなど
④リスク分析手法
定量的分析:損失を金額などの具体的な数字で表す。
定性的分析:情報資産が失われたときの損失の大きさの順 位をつける。
リスクコントロール
高
高
低
低
低減reduction
回避avoidance
受容Acceptance
移転transference
発生頻度
被害額
リスク(脅威)対策
抑止
予防
検知
回復
許容
低減
移転
回避
発生しないよう
にする
被害を 小にする
今日をすばやく発見する
発生しないよう
にする
被害が小さけれ
ばOK
発生頻度と損害
額を小さくする
発生要因を外部に
発生要因を取る
リスク対応の種類
①リスクの低減:リスクの 適化。ウィルスソフ トをインストールする、入出室管理をする。
②リスクの回避:リスクを生じる業務内容を変更 したり、情報資産を廃棄するなどする。
③リスクの移転:契約やアウトソーシングにより、 リスクを外部の組織へ移転する。
④リスクの受容:発生しても問題ないと判断でき るリスクは許容する。
情報セキュリティ対策技術
予防機能
抑止機能 セキュリティポリシーと策定とポリシーによるネットワーク管理
防御機能 アクセス制御、認証(パスワード等)、暗号化、デジタル署名、ファイアウォール
分析・予測機能 脆弱性検査、バージョンのアップデート、パッチ適用、不要サービス削除
検知機能
検知機能 ウィルススキャナ、ログ解析、侵入検知、監視カメラの設置
回復機能
被害軽減機能 セグメント化、サーバの切り替え、ルータの冗長化
応急対応機能 インシデント対応、コンティンジェンシプラン、ファイル修復
再構築機能 新たにリリースされたセキュリティ技術の対応、情報セキュリティ監査
基本情報処理技術者試験:
情報セキュリティ対策①物理セキュリティ対策:物理的な脅威から情報資産
を保護する。耐震設備、電源設備、入退室管理(IDカード)
②技術的セキュリティ管理:技術的な脅威から情報資 産をまもる。
コンピュータウィルス対策、WEB認証、アクセス制 御など
③人的セキュリティ対策:人的な脅威から情報資産を 保護する。
従業員、組織の人員の管理、セキュリティポリシー を守らせる(周知させる)。
セキュリティ対策の実行上の
基本原則プリベント(回避)
プロテクト(防御・防止)
レスポンド(対応)
リカバリー(復旧)
サイバーセキュリティ
リスク
脆弱性
脅威
何かしらの損失を発生さ
せる事態や状況への可能
性のこと。また、考えられ
る脅威を分析した結果と
して認識される損失可能
性(リスク因子)を示すこと
もある。
脆弱性:リスクを発生
させる原因のこと。プログラムを間違って
書くと発生する。
脆弱性を利用して、リ
スクを現実化させる
手段のこと。特に、脆
弱性を利用する事は
Exploitすると表現す
ることが多い。
クラウドコンピューティング
従来は手元のコンピュータで管理・利用していたようなソフトウェアやデータなどを、インターネットなどのネットワークを通じてサービスの形で必要に応じて利用する方式。IT業界ではシステム構成図でネットワークの向こう側を雲(cloud:クラウド)のマークで表す慣習があることから、このように呼ばれる。
クラウド・コンピューティングとは、インターネットの先にあるサーバーに処理をしてもらうシステム形態を指す言葉である。ユーザーが何らかの作業を行う ときに、自分の目の前にあるパソコ
ンや会社のネットワーク上にあるサーバーではなく、インターネット上のサーバーを利用して処理してもらう。
クラウドコンピューティング
クラウドコンピューティングとは、ネットワーク、サーバー、ストレージ、アプリケーション、サービスなどの構成可能なコンピューティングリソースの共用プールに対して、便利かつオンデマンドにアクセスでき、 小の管理労力またはサービスプロバイダ間の相互動作によって迅速に提供され利用できるという、モデルのひとつである。このクラウドモデルは可用性を促進し、5つの基本特性と、3つのサービスモデルと、4つの配置モデルによって構成される. アメリカ国立標準技術研究所 (NIST)による定義
従来の利用形態
クラウドコンピューティング
ユーザの手元に記憶媒体、CPU入出力デバイス
がある。
CPUと記憶媒体はイン
ターネット越しに利用する。
情報セキュリティへの脅威の分類
とクラウドコンピューティング①データセキュリティ大事なデータ(個人情報など)が守られること。
②システムセキュリティ個人のコンピュータやデバイスが守られること。
③ネットワークセキュリティ複数の人が使うネットワークやサービスが安全に利用できること。
④人的セキュリティ悪意のある人が大事な情報やシステムにアクセスできないようにすること。
物理マシンは外部のクラウド
事業者が防御する。
アクセス制御は基本的にクラウド事業者が行う。
クラウドのサービスタイプの分類
アプリケーション
ミドルウェア
OS
ハードウェア
サービス提供範囲 サービス
提供範囲サービス提供範囲
ITリソース SaaS PaaS IaaS
基本情報処理技術者試験 SaaSのアプリケーション:CRM
• SaaSの採用により、利用者はコスト削減と付加価 値を実現することができる。
• ドキュメント、カレンダーの共有
• テレビ会議
• CRM (customer relationship management):IT技 術を利用して、顧客関係の改善を図るためための
仕組み、顧客関連の情報を一元管理するデータ ベースを構築し、これを用いることで、顧客一人ひと
りに特化したマーケティングを実践する。
クラウド環境での機密性
• 自分の組織内のクラウドコンピューティングのシステ ムをクラウドに移すと、自社のクライアントとサーバ
でやり取りしていたデータはすべてインターネット上 を流れるため、盗聴や中間者攻撃などによりデータ の機密性が損なわれる。
• クラウドコンピューティングではマルチテナントを介し てサービスを提供するため、共用している物理マシ
ンの設定ミスなどにより、自社のデータが外部に漏 れるなどの機密性の損失の可能性がある。
クラウドコンピューティングとWEB アプリケーション
クラウドコンピューティングではデータの読み書きはWEBブラウザを
使ってインターネット越しに行うため、
WEBブラウザでの
暗号化と認証は必須
中間者攻撃
通信している送信者Aと受信者Bの間に攻撃者Xが介入する。
Bの公開鍵を盗用しAと通信する。Xは秘密鍵を生成し、Aのものだと偽ってXに送信し、Aと通信
する。
中間者攻撃を防ぐには正しく認証を行う必要がある。
クラウドコンピューティングとWEB シングルサインオン
①始めのアクセス
②クッキー(認証情報)を預ける
認証サーバ
認証サーバ
①始めのアクセスでクッキーを預ける
②認証サーバを経由してアクセス
エージェント型
リバースプロキシ型
WEBアプリケーションの 脆弱性の例
• Injection: データベースに不正な命令を入力する。
• Cross Site Scripting: 悪意のあるWEBスクリプトを ダウンロード・実行させる。
• アクセスフィルタなどの設定の不備。
• 認証やセッション管理をしていない。
• 有効期限の切れた証明書や脆弱なアルゴリズム。
• ディレクトリトラバーサルが可能。
• 適切な認証・アクセス制御の不備によるリダイレクト や転送が可能になっている。
基本情報処理技術者試験 WEBアプリケーションのセキュリティ
①クロスサイトスクリプティング(Cross Site Scripting)
:他の正規WEBサイトの脆弱性を利用し
て、悪意のあるプログラムを埋め込み、クライアント にダウンロードさせて利用すること。
②SQLインジェクション(SQL Injection)悪意のあるデータベース操作命令(SQL命令)を
WEBを通じて入力することで、WEBサーバに接続 されているデータベースの情報を不正に入手するこ と。
③フィッシング
(phishing) :ショッピングサイトや金融 機関のサイトを偽装し、利用者を誘導することで、ク
レジットカードなどの個人情報を不正に入手すること。
従来の利用形態とクラウドの利用形態
従来の利用形態 クラウドの利用形態
ファイアウォール内部のサーバは、知っている人間しか使わない。
境界(ファイアウォール)がない。
セキュリティを共同で管理
内部ネットワークやサーバの構成を
外部や他人に公開しない。
複数のユーザがマルチテナントで
同居することを想定した管理
ハードディスクやキャッシュ、メモリ上の、データの
適切な消去が可能
削除されたデータが消えない、
削除できないことがある。
データのバックアップ先や、
情報セキュリティ監査の対象が明確
データのバックアップ先や監査が
ユーザ側から把握できない場合もある。
複数のサービス事業者を利用できる。特定クラウドサービス業者に
ロックインされる。
回線の二重化や冗長化によって
可用性を向上できる。
インターネット回線の可用性の限界は超えられない。
クラウドのデータのライフサイクル
①生成 ②利用 ③転送 ④変換
⑤保管 ⑥管理 ⑦破棄
データは組織
外で使われる
か?
データはいつ
どのように転
送されるか?暗号化は?
データ変換により
プライバシーはど
うなるか?
データは誰が
管理するの
か?
アクセスコント
ロールは適切
か?
データの保存
期間と形態は
適切か?
データは完全
に消去される
か?
リスク評価(アセスメント)
①組織内の情報資産の価値を求める
②組織内の情報資産への脅威を分析
③内在する脆弱性を分析
①価値、②脅威、③脆弱性からリスク値を算出
公開、社外秘、秘密、極秘改ざんされると業務に
支障が出るなど
公開、社外秘、秘密、極秘改ざんされると業務に
支障が出るなど
WEBサーバの不備
攻撃難易度管理レベルなど
ISO/IEC 27005
リスクの評価
リスクの特定
リスクの算定
状況の設定
リスクの対応
リスクの受容
リスク分析
リスク評価対応は充分?
評価は充分?
ISO/IEC 15408
• 概説と一般モデル
• セキュリティ機能要件
• セキュリティ保証要件
1 セキュリティ監査2 通信3
暗号サポート
4
利用者データ保護
5
識別と認証
6 セキュリティ管理7
プライバシー
8
TOEセキュリティ機能の保護
9資源アクセス10
TOEアクセス
11
高信頼バス・チャネル
1
PP評価
2
ST評価
3
構成管理
4
配布と運用
5 開発6 ガイダンス文書7
ライフサイクルサポート
8 テスト9脆弱性評定10
保証維持
作り方構築の仕方
評価の仕方 TOE: Target of Evaluation
第8回
• セキュリティ監査と標準化:セキュリティ評価基準と 標準化 ISO/IEC 15408
• 情報セキュリティには達成状態に高低があり、組織 の性質やシステムの稼働環境に即した評価基準の 設定が必要である。また現実的な情報セキュリティ 管理には標準化による他組織との比較検討や連携 が不可欠である。第8回ではこれらの評価基準の策 定方法について解説する。ISO/IECの情報セキュリ ティ関連標準と、国内外の標準化団体の体系等を
紹介する。