2006年01月29日

午後1問題(セキュリティ技術) 〜 テクニカルエンジニア(情報セキュリティ)試験対策

問題集による、午後1問題対策は、「セキュリティ技術」の章に入った。おそらく、ここの部分が試験の最重点分野になるものと思う。

今回は、VPNがテーマ。VPN装置を用いたときに、パケットのヘッダにあるIP情報がどういう変化をするか、暗号化とハッシュ値の目的、NATを使ったときの不具合の原因、などが設問として出されている。VPNの基本的な仕組みが理解できているかどうかが問われる問題だ。

通信のセキュリティについて言うと、機密性・完全性、つまり、盗聴と改竄の対策が基本になるが、実はそれだけではない。送る相手が正しい相手か、届いたデータが正しい相手からのものか、これについても検証する必要がある。NATは、簡単に言えば、相手側から自分を隠す技術であるから、これを用いると、通信内容の認証はできなくなる。あとは、それらが、どのような仕組みで隠されたり、不具合となるかを知ることだ。

サンプル問題のレベルをひとつの基準として見ると、問われる内容は、ある程度「理解」をしておかないと解答できない内容のようだ。問題集で弱点をつかんだら、教科書ではやや足りない。入門書で押さえておくことにする。ネットの知識でも間に合うとは思うが。
posted by tamaso at 20:32| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月27日

セキュアプログラミングのキモ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日はカバンが重くなるので問題集は持ち出さず、IPAの「セキュアプログラミング講座」を久々にやる。OSの対策は後回しにして、第10章、最終章の「より堅固なソフトウェア構築」である。

http://www.ipa.go.jp/security/awareness/vendor/programming/b10.html

この章、セキュアプログラミングの最も本質的な部分を語っている。テクニカルな部分は別の章になるが、「まず、ここを押さえろ」という内容だ。ポイントはふたつ

1.モジュール間のデータの受け渡し「インタフェース」のリスクに注目する
2.ソースコードは安全性の検証されたものを再利用するのが基本

インタフェースは、データの露出や意図しないデータの混入、強力な処理エンジンの副作用の危険性がある。具体的な例をあげると、URLによるデータの受け渡しや、SQL文へのパラメータの引継ぎ、open文、system関数などの取り扱い、などである。既にこれらは、他の章で詳しく解説されている。

また、ソースコードを新たに作成することは、軽く考えてはいけない、と。新たなコードはバグが混入するリスクが極めて高い。レビューは、開発者の視点での確認だけでなく、セキュアな視点での確認、バグ出しが必須である。できれば、優秀なプログラマによる安全で汎用的なモジュールを作成し、充分な検証の後、ライブラリに登録すると良い。

1.と2.は、それぞれ、データに関する脆弱性とプログラミングに関する脆弱性に関わる問題だ。受験対策として言うなら、ここの部分が与件にあれば、「要注意」ということになるのだ。
posted by tamaso at 23:24| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

電子メールシステムの運用 〜 テクニカルエンジニア(情報セキュリティ)試験対策

平成14年・NW午後1試験 問4
本試験の与件は、最初の行にテーマが書かれている。この一行、与件を読む際に重要なポイントとなることもある。

例えば、情報セキュリティの試験で、「電子メールシステムの運用に関する次の記述を読んで…」とあれば、問われるであろう内容がかなり絞れるはずだ。このあと、与件は、ざっと斜め読み(または見出しと図表のタイトルだけ読む)して、設問を読む。これで、与件の内容が予測でき、何にフォーカスして読めばよいかが決まる。

さて、今回はNW試験の過去問、それも「運用」に関する問題である。情報セキュリティの答練としては、やや焦点が外れているが、与件整理と関連知識ということで取り組む。内容は、ヘッダに関する基本的な知識、メールシステム運用の基本的な留意点、サーバに対する負荷の分散、など。運用面で言えば、実践を意識した問題という感じがする。

セキュリティに関しては、運用のミスによる情報の流出の防止、過負荷などから可用性を維持する方法、あたりだが、テクニカルとは言いがたい内容。もっとも、出題者の問題ではなく、なぜこれを掲載したか、の問題である。
posted by tamaso at 00:24| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月25日

問題集でSQLインジェクションにかかる 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験対策は、主に問題集を中心に今は取り組み中。今日は、午後1問題で、SQLに関するセキュリティだ。出版社制作のオリジナル問題である。

WEBで入力フォームを表示し、Javaプログラムを経由してデータベースにアクセスするという、ごく一般的な例である。与件にあたる問題文は、ソースコードや説明用のSQL文などもあって、異常に長い。まるで、研修用に作られたセキュリティ対策ビデオのような内容だ。上司のS課長が、担当のK君にさまざまなケースで注意を与えるというもの。

設問は逆にシンプルで、これも考えて解くというより、穴埋め問題に近い。あるいは、英語の教材に見られるような、「主語をyouからweに変えると、この文はどう変わりますか」のような感じの設問だ。どちらかというと、ガイドブックの内容を虫食いにした、というのがぴったりするかもしれない。

本試験では、ページ数のことや設問の難易度、スキルが試せる内容、というあたりを考えると、こんな感じにはならないとは思う。が、教科書を何冊が見たが、この例題に及ぶような、具体的な解説をしたものが見当たらない。強いてあげるなら、IPAの「セキュアプログラミング講座」が最も近い、というか、こちらの方が「デキ」が良い。

いずれにしても、出題の形式は「実践型」の内容になる。理論の押さえと、実践の対応力、両方のレベルアップはしておく必要がある。
posted by tamaso at 23:46| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月24日

過去問のジレンマ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

受験対策も後半になると、過去問を実際に解いてみて、弱点の認識や本試験の感覚をつかむことをする。本試験の問題に最も近いものは、過去問だからであるが、今回のように新制度の試験の場合は、同類の試験(例えばネットワーク)から関連するものを選び(と言っても、これは問題集の発行元が行う)、解答することになる。

jitecの試験、という意味では、過去問は試験の難易度、与件・設問の分量、図表の用い方などが本試験と同じレベルに揃っているため、感覚をつかむためには最適といえる。ただし、当然のことだが、試験科目が異なれば、試すスキルが異なるため、関連しない設問も含まれることになる。また、逆に不足する分野も出てくるだろう。

知識として、範囲外のものがインプットされたところで、害にはならないし、本試験でそれが解答の助けになることはよくある。あとは時間的・経済的に取り組むかどうかを判断すればいい。また、過去問による「答案練習」には、知識・スキルの定着以外に、解答技術や与件整理力(国語力といっても良い)の強化という狙いもある。

過去問に取り組むときには、なかなか意識して区別はできないが、知識・スキルの定着か、与件整理の練習か、字数どおり書く練習か、など、目的を意識したほうがよいだろう。
posted by tamaso at 23:56| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月23日

セキュアな開発環境について 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験、特に午後の試験では、もちろんセキュリティに関する技法・手法の適用スキルを試すことが中心になる。が、それだけではない。セキュアな開発環境の整備は、情報セキュリティアドミニストレータではなく、テクニカルエンジニアの担当になるとも考えられる。従って、受験対策は、念のため押さえておいたほうがよいだろう。

そんなに多くの内容を含んではいない。以下のサイトを参照する。

http://www.ipa.go.jp/security/awareness/vendor/process.html

設計、プログラミング、テスト、設定(実装時)に関する留意点を紹介している。通常、セキュリティ対策は、脅威・脆弱性の認識 → 原因の特定 → 対策(この場合基本方針のようなもの)の実施 となる。

本件についていえば、例えば設計段階では、原因を「複雑性」としている。この視点は、他のセキュアプログラミングの書籍でも指摘されている。システムは、プログラミングによって、柔軟に機能を実装できるのだが、現在のようにチームというか、大人数で開発している場合、全体を統括する「方針」や「ルール」などが必要である。この例で言えば、「ウォーターフローモデル」や「スパイラルモデル」、「エクストリームプログラミング」などがあげられている。

システムの開発は、上記のようにいくつかのプロセスを経て導入されるのだが、それぞれのプロセスにおいて、弱点や原因、対策手法などを知る必要がある。
posted by tamaso at 22:49| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

無線LANのセキュリティ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日はほとんど時間のない日だったが、とりあえず、何かやっとく。アイタック問題集、午後1問題(問1−3)、これは過去問ではなく同社のオリジナルだ。

問題の創作は、作問者の力量がはっきりと現れる。問題の形式が午後問題になっていても、内容が午前問題の内容(要するに知識レベルを問う問題)になっていたり、対話(上司と部下、クライアントとエージェントなど)の内容が説明的であったりするのは、つまり「こなれていない」ためだと思われる。今回もその傾向は読み取れる。

しかし、だからこの模擬問題が無意味かというと、実は全然そんなことはない。知識のインプットは、主に教科書を用いて行うため、各用語、各手法が、順次頭に入っていくのだが、それぞれの関連性はゆるやかなものとなる。ネットワークやセキュリティの入門書だと、より実践的な内容になるので、知識の整理はやや煩雑になるが、用語や手法の関連性はやや強くなる。

セキュリティの手法の進化は、こういうものかと思う。やや独断的ではあるが。
脅威 → 対策 → 脆弱性の露見 → 新たな脅威 → 対策の改善 → 新たな脆弱性 → …
技術を学ぶことは、歴史を学ぶことでもあるのだが、それは技術や脅威の「流れ」をつかむことだとも言える。

さて、この例題だか、テーマは無線LANのセキュリティ技術に関する問題である。用語は選択問題になっており、やや易しく作られてあったり、やや教科書的な対話という点はあるが、知識の整理には充分役立つ。この通りに出題されることを期待してはいけないと思うが、この内容がきちんと頭に入れば、本試験では、あとは「国語力」だけで勝負できることになる。ちなみに、国語力は「本物の」過去問で鍛えるのが効率的だろう。これは、この問題集にもふんだんにある。問題を構造化するのだが、その際は時間を気にせずに、ノートなどに「構造的」にまとめることから始めると良い。
posted by tamaso at 00:47| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月21日

プロトコルを少しだけまとめてみる 〜 テクニカルエンジニア(情報セキュリティ)試験対策

ネットワーク系のセキュリティだと、多数あるプロトコルに関する知識が必要になる。聞きなれない(見慣れない)プロトコルも次々と出てくるので、とりあえずざっとインプットしてきたが、一度まとめておかねば、と思っていた。

ということで、今日はほとんど時間が取れなかったが、セキュアプロトコルを一通り書き出してみた。現実には書き出しただけでは身についた感じがしない。セキュアはセキュアで、また、階層ごとに整理して、参照しながら勉強したほうがいいかもしれない。

プロトコルは、そのほかに特徴とか目的とか、弱点、ほかのプロトコルとの組み合わせなどの関係で理解する必要があるようだ。
posted by tamaso at 23:13| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月19日

C++のセキュリティ対策はとりあえず終了 〜 テクニカルエンジニア(情報セキュリティ)試験対策

IPAのセキュリティセンターが提供している「セキュアプログラミング講座」第6章はC言語がらみ。一通り読み終えた、と言うレベルだ。

概ね、BOF攻撃と、リソースの確保と解放の仕組み、それからsytem()関数の注意点、というところ。今まではプログラミングでもネットワーク関連が中心であったが、今回のC言語からはローカル、テキストでは「製品」と書いてあるが、のセキュリティ対策ということになる。

基本の基本としては、情報セキュリティのCIA、すなわち、機密性・完全性・可用性を守る、という視点で考えるわけで、システムの機密性・完全性については、攻撃を介して管理者権限を奪われたり、データの破壊や書き換え、などに対応する。また、可用性については、予期せぬ障害というか、リソースの解放がうまく行われずにシステムが停止するということもあるようだ。このあたりは、プログラミングのテクニックとして対策の手法が紹介されていた。

大意はつかめたが、CやC++の構文・関数などは再度テキストで押さえておこうと思う。
posted by tamaso at 23:18| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月18日

引き続き、BOFなど 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験対策ということで、少々散漫になっているが、以下のメニューに並行して取り組んでいる。


・午前対策 数と回数が勝負。傾向的にできない部分は教科書で補強。
・午後対策 知識がスキルとして定着しているかを確認。終盤には、時間を計測して解答技能も磨く。
・知識補充 セキュアプログラミングはまだインプット段階を抜けていない。書いて憶える。

まあ、こんな感じだが、今週は忙しい。今日も、なんとか1時間を確保したが、なかなかはかどらない。BOFの仕組みとか実際の攻撃手法などを知る。C言語は不慣れではあるが、テキストの解説は意味として理解はできる。Javaと感じが似ているからだろうか、イタリア語とスペイン語、みたいな感じだ。

今週末は、これもまた予定がびっしりで、まとまった時間がとれない。隙間時間を捻出する、というのも方法なので、とりあえず「ここまでやる」ぐらいの目標が必要だろう。
posted by tamaso at 23:54| Comment(3) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月17日

バッファオーバーフロー 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は、時間がなくて15分だけ。セキュアプログラミング講座の「バッファオーバーフロー」を読み始める。

使われている言語はC++ということだが、いまのところ構文というより、上記の攻撃のメカニズムを説明するための手段、という感じだ。とはいえ、この手の脅威・脆弱性を語る場合、JavaではなくCが使われているようだ。プログラミングに対する脅威は、これだけではなく、コードインスペクションやリバースエンジニアリングもある、とのこと。また、Web上のアプリケーションの弱点を巧みに悪用すると、データベースの不正アクセスはもとより、システムの乗っ取りも可能になる。概ね、ネットワークから侵入、あるいは、ネットワーク経由で攻撃することが多いのだが、そのなかで、BOFに関しては、そもそもCの性質上の脆弱性ともいえるようだ。

試験対策というスタンスで考えるのなら、まず、BOFの仕組み、特徴、対策方法などをおさえるというのがセオリーかと思う。明日も出張なので、時間の捻出には少々苦労することになりそうだ。
posted by tamaso at 23:36| Comment(2) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月15日

「知識だけじゃ受かりません」の意味 〜 テクニカルエンジニア(情報セキュリティ)試験

IPA・情報処理技術者試験センター長 澁谷隆氏が下記のインタビューで答えた言葉である。また、情報処理技術者試験委員 杉野隆氏は「合格には幅広い知識に加え、経験と実践能力が必要。教科書のみの学習で受かってほしくない。実際の技術力を持っている人に受かってほしい」とも言う。

http://www.atmarkit.co.jp/news/200601/14/ipa.html

しかし、新設になるこの試験だけではない。現実には過去の試験においてもこれはあった。例えば、平成14年秋・SS午後1問4の設問3は、R主任が営業部P部長に電話でパスワードを伝えるという問題行動に関する問題だ。

「電話でパスワードを教えてはいけない」というような記述は、教科書には書かれていない。R主任は、まず、P部長のメールアドレスと内線電話の番号を尋ね、これを本人の照会手段としている。この部分がどうであったか、をセキュリティの担当者として見る。第三者に、メールアドレスと内線番号を知る手段があるかどうか。社内の人間ということも想定できなくはないが、この場合は、第三者で考える。

名刺には、少なくともメールアドレスが書かれている。どこかで渡せば、管理の目からは離れる。さて、内線電話はどうか。書かれているとも言えるし、書かれていないとも言える。が、知る手段がまったくないわけではないだろう。パスワードが聞きだせるぐらいだから、内線番号は、容易である。従って、認証の手段としては不十分だったのだ。

セキュリティ担当者として、こうしたケース、それに、さまざまなトラブルや相談、課題解決などの仕事が、日々存在する。そうした業務を一つずつ片付けることで、テキストにない経験が積まれるわけで、その実力を問いたい、とIPAは言っているように思える。

それでも、過去問を数多く解けば、経験に相当するノウハウは蓄えられる。用語はより多く知っていて悪いことではない。が、過去問の傾向から言うと、専門的というほど詳しくなくとも、現場力があれば解答できる、そういう問題が出題されるものと思われる。

posted by tamaso at 23:23| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月14日

過去問の意義 〜 テクニカルエンジニア(情報セキュリティ)午後問題演習

テクニカルエンジニア(情報セキュリティ)の問題集だが、問題の数に思い違いがあった。午前の共通にはネットワーク関連を含めて80問。セキュリティに170問ほど。

今日は、このうちの共通知識の80問を片付けた。ネットワークの、特にプロトコルに関する知識がまだまだ足りていない。憶えるだけでなんとかなるので、まとめて一度片付けることにする。

さて、午後1。平成15年秋・NW午後1問4より。「webを利用したシステム」に関する問題。例として設問2をあげてみる。

設問2 GETリクエストよりPOSTリクエストが情報漏洩に対して安全である理由を二つ,それぞ35字以内で述べよ。

現場の経験があれば、何ということもない設問に見える。が、解答には、HTTPで何がサーバとクライアント間でやり取りされているかとか、ブラウザの挙動とか、ログの記録内容など、知識とスキルの幅と深さが問われる。また、複数の技術の関連性も理解している必要がある。

平成17年秋の情報セキュリティアドミニストレータ試験・午後2問題でも、純粋に技術的な知識だけではなく、情報漏洩のリスクの高さを理解したうえで、どこから個人情報が漏れる可能性があるかを問う問題が出題された。テキストには解答は載っていない、経験がものをいう設問であったかも知れない。
posted by tamaso at 23:10| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

午後の演習は明日ぐらいから 〜 テクニカルエンジニア(情報セキュリティ)試験

1時間ほど時間がとれたので、先日購入した問題集の「午前」にかかる。試験全科目に関連する問題は70問、残りはネットワークとセキュリティを中心に専門的な「午前的」問題が約200問ほどあるようだ。これぐらいの量なら、一回り3日ほどという見当になる。

さて、午後もそろそろ掛かる必要があるのだが、テクニカルエンジニアと称するだけに、システム監査やシステムアナリストとは出題の傾向がやや異なる。

システム監査、システムアナリストの午後問題は、時間をかければ解けるものが多い。さすがに30分で「読んで、理解して、考えて、書く」というのは、訓練が必要なのだが、これを2時間とか、翌日まで考えるとかにすると、作文の上手・下手はともかく、なんとか解答らしい方向性は出せるものだ。

が、テクニカルエンジニアの午後には「穴埋め」のようなものとか、技法・手法の「短所」を問うもの、「代案」を求めるものなどがある。午前の問題なら、正解は問題用紙に書いてあるから、それを選べば良いのだが、午後はどこにも書いてない。頭の中になければ、これは考えても出てくるはずがない。

知っていれば解答は簡単、知らないと部分点もない、という問題が(全問それではないが)かなり出題される。実は、この手の試験対策は、まず「知らないものが何かを知ること」で、方法は、とにかく問題に取り組んでみる、ということになるだろう。知らないことが判明したら、テキストや入門書で知識と知識の使い方を補充する。これの繰り返しだ。

英語のレッスンとよく似ているような感じもする。単語と構文をまず憶えて(テキストによるインプット)、ある場面を想定して会話練習をし(問題集で答練)、間違いを修正する(解答と解説を確認)。そういうことだろう。
posted by tamaso at 01:09| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月07日

暗号化技術など 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日でテキストが1冊分修了。最終章は暗号化のほか、可用性対策も含まれていた。

さて、暗号だが、以前にも書いたように「アルゴリズム」と「かぎ」の組み合わせがポイントになる。鍵のおかげでアルゴリズムが使いまわしできるというわけだが、そのためには鍵の管理が必要になる。優れたアルゴリズムでも、鍵の内容が知られたら暗号は解読というか、復号化できるからだ。

公開鍵暗号方式は、ネットでの通信内容の暗号化に大きな変化を与えた。PKIのもと、単に通信文を暗号化するだけでなく、「認証」という仕組みが可能になったわけだ。

暗号化に限らず、ネットでは多数のプロトコルが存在する。試験には、おそらくその中のいくつかが取り上げられるのだが、プロトコルの名前とか内容を知ることが重要なのではない。どういうときに、どの技術がを適用するのがいいのか、また、留意点はどこにあるのか、情報セキュリティを受け持つテクニカルエンジニアということであれば、自分自身が実装するだけではなく、すでにあるシステムのチェックも必要となる。

試験でよくある「〜君と〜氏」のうち、〜氏の見識があるかどうか、それを作問者は探ろうとするのだろう。
posted by tamaso at 21:13| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月06日

認証について学ぶ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験の午後対策は、今のところ標準的な受験テキストで進めている。今回は「認証」。残るは「暗号」のみとなり、明日にはこのテキストも一旦仕上げとなる。

さて、認証だが、一般には「本人認証」とか「ユーザ認証」と呼ばれる、クライアントの認証がよく知られているが、他にも「サーバ認証」や「メッセージ認証」がある。また、サーバとクライアント間だけで認証の手続きを行う「2者間」や認証局を介した「3者間認証」というものもある。また、プロトコルも多数ある。この多数のプロトコルは、それなりに厄介なのだが…。

これらがなぜあるのか。目的や長所・短所、特徴を知るというのが、受験の準備には必要だが、知識のみのインプットであったり、技術論に終始したのでは、本試験では間に合わない場合もある。サンプル問題や、他の情報処理技術者試験の論述・記述問題でも見られるように、現場にそれらの技術が「適用」できるか、あるいは「環境」をセキュアな状態に保てるか、などが本来のエンジニアに求められるスキルであり、試験でもそれが試されるわけだ。

午後の与件(問題文)は、長文ではあるが背景やディティールにも配慮された文章になっている。それは、現場への「技術の適用力」を試すために、擬似的な現場を作り出そうとしているからだろう。
posted by tamaso at 23:40| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月05日

年が明けて、午前対策にも取り組む 〜 テクニカルエンジニア(情報セキュリティ)試験

情報処理技術者試験は、どの試験でも、午前は多肢選択式というやつで、主に「知識」を問う問題だ。ただし、計算問題はスキルも必要。

午前の対策の基本は「繰り返し」。できるだけ多くの種類の問題を、繰り返し解くのが基本だといえる。初級シスアド受験から始まって、いくつも受験をしてきたが、過去問がそのまま出題される場合も多いし、少し変えただけ、というのももっと多い。過去問は「ほぼ完璧」に解答できるようになれば、ハードでもソフトでも開発手法でも、基礎知識がそれほどなくても受験対策で何とかなる。要するに、回数でなんとかなるものだ。

ただし、てこずる分野というものはある。何度も間違う分野、なかなか頭に入らない分野、などだ。これだけは、別にテキストで知識の強化をする必要はある。しかし、これも受験対策。苦手の克服も当然含まれる。
posted by tamaso at 22:30| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月04日

不正侵入の検知・防御のしくみ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

正月も4日になると少し人出が減る。今日はコーヒーショップをはしごしつつ、情報セキュリティ技術の1回目、不正侵入の検知と防御のシステムについて勉強した。

基本は「セグメント」ということになる。攻撃からシステムを守るには、その重要度に応じたセグメント分けをする。仮にサーバが攻撃されても、他に影響がないように守るわけだ。Webサーバは、社内の、例えば個人情報や仕事のデータベースと、しっかりセグメントを分け、アクセスをコントロールするとともに、ファイアウォールなどで不正なパケットの攻撃から守る。ファイアウォールは、基本的にパケット単位で、ポートやIPアドレスを根拠に通過・破棄を制御するため、ウイルスやワーム、メールや正規のポートを使ったアクセスはガードできない。それでもファイアウォールで、相当の攻撃は防げる。要するに、仕組みの特徴や長所・短所を知る必要があるというわけである。

さて、そのほかにも検知や防御のシステムはいくつかある。IDSはネットワークやサーバに実装して監視する仕組みだ。基本的には「既知」の攻撃に有効なため、自社でオリジナルなアプリケーションを用意している場合、このままでは防げない。ホストの監視についても同じだ。IPSとなると、さらに検知とともに遮断などの防御機能もある。ただし、これらは、ファイアウォールやアプリケーションそのもののセキュリティ強化も併せて実施するのがよい。

不正侵入やこの後の攻撃は、そもそもOSやサーバ、アプリケーションの脆弱性をターゲットとするのだから、本来はこれらシステム(ソフトウェア)のセキュリティ強化が前提である。システムのバージョンアップやパッチを漏れなく行って、最新の状態にするのは、クライアントだけのことではない。
posted by tamaso at 20:55| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月03日

情報セキュリティに関する脆弱性 〜 テクニカルエンジニア(情報セキュリティ)試験対策

昨年暮れに「情報セキュリティの脅威」を、今年最初には「情報セキュリティの脆弱性」を勉強した。

そもそも、システムに対する攻撃は、基本的に「弱点」を狙うのが正攻法。従って、脅威と脆弱性は表裏一体といえる。実際、システムの弱点をそのままにしている場合も多数あるという。単に、インターネット上のサイトだけでなく、リモートアクセスの接続点、社内であっても、無線LANのアクセスポイントやむき出しのハブというのもある。また、こうした侵入路だけでなく、システムそのものにも弱点が多くある。WebアプリケーションやOSそのもののセキュリティホールのほかに、暗号化されていないパケットにも弱点はある。もう少し基本的な部分では、さまざまなプロトコルの弱点というのもある。

インターネットが普及し始めて、既に10年以上になる。古い技術がそのまま残っているものも多いため、それらが今では脆弱性と呼ばれるようになっている。だからといって、すぐには変更できないほど、普及は進んでいる。
posted by tamaso at 00:05| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月31日

情報セキュリティに対する脅威と攻撃手法

テクニカルエンジニア(情報セキュリティ)でも、情報セキュリティアドミニストレータでも、この「脅威」とか「攻撃手法」については、概要ぐらいは知っておく必要がある。

そもそも、情報セキュリティが必要なのは、この「攻撃」があるからだ。ただし、内部から情報が漏れたりすることもあるから、これだけでは充分ではない。

さて、攻撃のパターンだが、これにはいろいろある。一言で「不正侵入」といっても、これそのものが攻撃ということではなく、結果として、機密性・完全性・可用性が損なわれるから、攻撃ということになる。情報が漏洩するだけではなく、破壊されたり改竄されたりもする。また、大量のリクエストを送り込み、サーバの機能を殺してしまうこともあるし、ウイルスの活動により、ネットワークが機能不全になることもある。

攻撃には、対策があるわけで、これも、特定の攻撃に有効なのではなく、複数の攻撃に対応するし、また、一つの攻撃パターンに複数の対策で対応することもある。要するに、縦糸と横糸のようなものだ。
posted by tamaso at 23:27| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。