1.情報セキュリティ、ITの基礎
情報セキュリティとは
-> ISO/IEC27000ファミリー、JIS Q 27000ファミリーによると。。。
「情報の機密性、完全性、及び可用性を維持すること」
情報セキュリティの三特性(CIA)
・機密性(Confidentiality)
・完全性(Integrity)
・可用性(Availability)
情報セキュリティの付加的特性
・真正性(authenticity)
・責任追跡性(accountability)
・否認防止(non-repudiation)
・信頼性(reliability)
情報セキュリティ対策の機能
・抑止、抑制
・予防、防止
・検知、追跡
・回復
情報セキュリティ対策の基本的な考え方
・対策する前にリスクアセスメント(分析、評価)
・守るべきもの(情報資産、システム等)を認識する
・脅威を知る
・脆弱性を知り、対処する
・情報セキュリティの方針、基準を明確にし、手順書等を整備する
・セキュリティと利便性のバランスを取る
・インシデントの未然防止に努めつつ、発生時に備えた対処を確実に行う
・実施した対策の有効性について、第三者レビューを実施する・
・最小権限の原則を徹底する
・責務の分離の原則を徹底する
・重要な情報を取り扱うシステムとインターネット接続環境を分離する
・フェールセーフを考慮してシステムを設計、構築する
-> 障害が発生した場合に安全な方向へ向かうようにすることで、被害を最小限にする方法
※フェールソフト、フォールトトレランス、フールプルーフも同時に確認
・システムの構成や機能を単純にする
・システムや設備の重要な機能を分散化する
・二重、三重の対策を施す(多重防御)
・利用者等を一意に識別し、事象の追跡、検証を可能とする
ISMSの基礎
・PDCAサイクルが重要
TCP/IPプロトコルの概要
・TCP/IPとは
-> Transmission Controll Protocol / Internet Protocol
OSI参照モデルとの関連
IPの概要
・OSI参照モデルのネットワーク層に位置付けられる
・IPv4(32bit)、IPv6(128bit)がある
・IPアドレスでやりとり
TCPとUDP(User Datagram Protocol)
・OSI参照モデルのトランスポート層に位置付けられる
・TCP:信頼性のための確認応答、順序制御などの機能を持つ
・UDP:コネクションレスのデータグラム通信
・ポート番号で識別
・TCPでは「3ウェイハンドシェイク」という方式が用いられている
-> SYN – SYN/ACK – ACK
※コードビットの各フラグ:URG, ACK, PSH, RST, SYN, FIN
ICMP(Internet Controll Message Protocol)
・OSI参照モデルのネットワーク層
・コネクションレス型
・pingコマンドが代表例、タイプコード8のエコー要求
電子メールの仕組み
・各機能概要
・MUA(Mail User Agent):メールの送信、受信
・MSA(Mail Sebmission Agent):メールの投稿受付、ユーザ認証
・MTA(Mail Transfer Agent):メールの中継
・MDA(Mail Delivery Agent):メールBoxへの格納
・MRA(Mail Retrieval Agent):ユーザ認証、メールの取り出し
・送信者の認証はSMTP(Simple Mail Transfer Protocol)-AUTH
・メールBoxからの取り出しはPOP3(Post Office Protocol version3)やIMAP4(Internet Message Access Protocol version4)が用いられる
・メールヘッダの情報 → 詐称可能、不可能箇所を理解することが必要
DNSの主な機能
・Domain Name System:ドメイン名からIPアドレス、またはその逆の名前解決を行う
・リゾルバ:名前解決を行う仕組み。スタブリゾルバとフルサービスリゾルバがある。
・コンテンツサーバ(ゾーンサーバ)
・キャッシュサーバ(フルサービスリゾルバ)
・問い合わせもとや対象ドメインの制限がないものをオープンリゾルバという。DNSキャッシュポイズニングやDNSリフレクションに対して脆弱
HTTP(HyperText Transfer Protocol)メッセージの概要
・リクエスト/レスポンス
・リクエスト行/ステータス行、メッセージヘッダ、空行、メッセージボディ
#メッセージヘッダとメッセージボディの境界は、改行コード(CR+LF)で識別
・リクエスト行:メソッド(GET/POST/HEAD等)、URI、HTTPバージョンを指定する。
・ステータス行:レスポンスの場合に、リクエストに対する処理結果を示すステータスが入る。200が正常終了、404がNot Foundなど。
・メッセージヘッダ:リクエスト/レスポンスそれぞれで様々な異なる情報が入る。Referer、Cookieなど。(リクエスト時)
・メッセージボディ:リクエスト時は、POSTメソッドの場合のみ情報が入る。GET/HEADメソッドの場合は無。レスポンス時はサーバが返す情報が入る。
・GET/POSTの違い
– GET:テキストのみ送信可能、255文字まで。URLから盗聴、改ざんの恐れがあるが、アクセスログに記録される。
– POST:バイナリも送信可能、サイズ制限なし。秘匿性が高いが、アクセスログに記録されないので、アプリケーション実装が必要。
スイッチとVLAN
・スイッチ:MACアドレスに基づいて、適切な接続ポートにのみパケットを送信する装置。
・ブリッジとスイッチ
– スイッチ:ASICというハードウェアチップなので早い、ポート数が多い(数十~数百)、フレーム転送方式が多様(カットアンドスルー、フラグメントフリー)
– ブリッジ:ソフトウェアなので遅い、ポート数が少ない(数ポート)、フレーム転送方式は「ストアアンドフォワード方式」のみ
※フレーム転送方式の違い
①信頼性
ストアアンドフォワード > フラグメントフリー > カットアンドスルー
②転送速度
ストアアンドフォワード < フラグメントフリー < カットアンドスルー
・VLANの構成方法
– ポートベースVLAN(スタティックVLAN)
– アドレスベースVLAN
– ポリシベースVLAN
– タグVLAN
・レイヤ3スイッチ(L3スイッチ):スイッチにルーティング機能を追加したもの。速い。