トップ > 情報処理安全確保支援士 > セキュリティ実装技術

セキュリティ実装技術

情報処理安全確保支援士 セキュリティ実装技術

ブロックチェーン

ハッシュ関数が必須の技術であり,参加者がデータの改ざんを検出するために利用する

cookie

Secure属性

cookieの動作を制御する属性の一つ。 Secure属性が設定されたcookieは、HTTPS通信の場合のみブラウザからサーバに送信される。

Domain属性

cookieを送信するドメインを指定する属性

Path属性

cookieを送信するURLディレクトリを指定する属性

Expires属性

cookieの有効期限を指定出来る属性。指定しない場合の期限はブラウザの終了時までとなる。

HttpOnly属性

この属性が設定されたcookieは、JavaScriptからアクセスできない

IPsec

カプセル化したパケットをAHやESPなどの認証・暗号化プロトコルを用いてIPsecプロトコル上で安全にやり取りすることが出来る。

SMTP

対策

OP25B(Outbound Port 25 Blocking)

三者中継を悪用することなく、送信先のメールサーバと直接TCPコネクションを確立してスパムメールを送る手法を防ぐための対策。 ISPのメールサーバを経由せず、外向き(インターネット方向)に発信されるSMTP通信(ポート25番)を遮断することでスパムメールの投稿制限を行う。 動的IPアドレスを割り当てたネットワークからISP管理外のネットワークへの直接の通信を遮断する。 ISP管理外のNWに向けて、ISP管理下のNWから送信されるスパムメールを制限する。

SPF(Sender Policy Framework)

電子メールのヘッダ配送経路の情報から得られる送信元情報を用いて、メール送信元のIPアドレスを検証する仕組み。

検証を行う手順

  1. 送信側は、送信側ドメインDNSサーバのSPFレコード(or TXTレコード)に正答なメールサーバのIPアドレスやホスト名を登録し公開しておく。
  2. 送信側から受信側へ、SMTPメールが送信される。
  3. 受信側メールサーバは、受信側ドメインDNSサーバを通じて、MAIL FROMコマンドに記載された送信者メールアドレスのドメインを管理するDNSサーバに問い合わせ、SPF情報を取得する。
  4. SPF情報との照合でSMTP接続してきたメールサーバのIPアドレスの確認に成功すれば、正当なドメインから送信されたと判断する。

HTTPS

WebブラウザとWebサーバとの間の通信の暗号化。 さらに、TLSにはサーバ認証や改ざん防止の機能。

HSTS(HTTP Strict Transport Security)

WebサイトにHTTPS接続することをWebブラウザに強制するHTTPレスポンスヘッダーです。 Webサイトにアクセスすると、Webブラウザは以降の指定された機関、当該サイトには全てHTTPSによって接続する。

TLS(Transport Layer Security)

トランスポート層において、通信の暗号化、ディジタル証明書を利用した改ざん検出、ノード認証などの機能を提供する統合セキュアプロトコル。主にWebブラウザとWebサーバ間でデータを安全にやり取りするための業界標準プロトコルとして使用されている。

EAP

EAP-TLS

ディジタル証明書を用いた相互認証。 認証にTLSの機構を用いる方式。サーバクライアント間でディジタル証明書を用いた相互認証を行う。

SMTP over TLSSMTP over Transport Layer Security)

TLSによって確立された安全な伝送路上で電子メールを送信・転送するプロトコル

PGP, S/MIMEは、電子メール自体を暗号化し、送信者ー受信者間でエンドツーエンドの暗号化通信を行うためメールアドレスごとの証明書を使用する。 SMTP over TLSは、メールソフトと送信元メールサーバ、送信元メールサーバと送信先メールサーバのそれぞれの安全なセッションを確立し、

DKIMDomainKeys Identified Mail)

送信する電子メールにディジタル署名を付加し、受信側で発信元DNSサーバに登録されている公開鍵を使用し、ディジタル署名の確認を行うことで発信元メールサーバの正当性を検証する仕組み。

DNS

DNSSEC(DNS Security Extentions)

DNSにおける応答の正当性を保証するための拡張仕様。 DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証。 ディジタル署名によってDNS応答の正当性を確認できる。

手順 1. DNSキャッシュサーバは、DNSコンテンツ(権威)サーバに対してドメイン問い合わせを行う 2. DNSコンテンツ(権威)サーバは、ドメイン応答に自身のディジタル署名を付加してDNSキャッシュサーバに送信する 3. 応答を受け取っったDNSキャッシュサーバは、DNSコンテンツサーバの公開が来を使用してディジタル署名を検証し、内容の正当性を確認する

無線。IEEE 802.1X

アクセスポイントに、オーセンティケータ&RADIUSクライアントの機能をもたせる。

WPA2-Enterpriseは、認証にIEEE802.1Xを用いる方式です。IEEE802.1Xでは、クライアント-アクセスポイント-認証サーバの3者間で認証情報がやり取りされます。認証に成功すると、認証サーバはPMK(Pairwise Master Key)と呼ばれる暗号化鍵の種を動的に生成し、アクセスポイントと認証された端末に配布します。暗号化鍵は、このPMKから生成されるのでセッションごとに異なる仕組みになっています。 ちなみにWPA2-personalは、個人や小規模企業などの認証サーバを用意できないネットワーク向けの方式で、端末に設定された事前共通鍵(PSK)を用いて認証を行います。

クロスサイトスクリプティングXSS

動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃社が仕込んだ操作を実行させたり、別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法。

対策

WebブラウザからのリクエストをWebサーバで受け付けた際に,リクエストに含まれる"<"や">"などの特殊文字を,タグとして認識されない"<"や">" などの文字列に置き換える。

クロスサイトリクエストフォージェリCSRF

悪意のあるスプリントを埋め込んだWebページを訪問者に閲覧させて、利用者認証やセッション管理の脆弱性のある別のWebサイトで訪問者が意図しない操作を行わせる攻撃。

対策

  1. 秘密情報(ページトークン)による認証
  2. パスワードの再入力
  3. 参照元情報(リファラ)の検証