セキュリティ
セキュリティ基礎
ネットワークセキュリティ
ネットワークセキュリティに関する主な用語
・エクスプロイト
攻撃者が使用するツール(脆弱性を攻撃するプログラム)
・脆弱性
セキュリティ上の弱点
・脅威(Threat)
セキュリティ上、危険とされるもの全般を指す(ウイルス、ワーム、DoS攻撃など)
・偵察(偵察攻撃)
攻撃対象のユーザや企業の情報(IPアドレスなど)を調べる行為
・バックドア
通常のセキュリティを無視して侵入するための攻撃
攻撃者がサーバなどに侵入した際に、次回の侵入に使える裏口(バックドア)を設置する
主なマルウェア(悪意のあるプログラムの総称)
・ウイルス
他のプログラムに寄生して悪さをするプログラム
寄生されたプログラムを使用することで感染が広がる
・ワーム
単特で増殖し、自ら感染を拡大させるプログラム
・トロイの木馬
有益なプログラムを装ってコンピュータに侵入するプログラム
スプーフィング(なりすまし)を用いた主な攻撃
・DoS攻撃
一台のコンピュータからターゲットに大量のパケットを送りつけ、ターゲットのコンピュータを正常に動作させなくする攻撃
・DDoS攻撃
複数のコンピュータからターゲットに大量のパケットを送りつけ、ターゲットのコンピュータを正常に動作させなくする攻撃
・リフレクション攻撃
送信元を偽った要求をサーバに送り、ターゲットに大量の応答を返すように仕向ける攻撃(増幅攻撃やアンプ攻撃とも呼ばれる)
・中間者攻撃
正規の送信者と受信者の間に入りデータの盗聴や改変をする攻撃
・バッファオーバーフロー攻撃
バッファ領域を超えるデータを使い、悪意のある命令を実行させる攻撃
人を狙った主な攻撃
・ソーシャルエンジニアリング
人を狙った攻撃のうち、コンピュータネットワークを使わない攻撃の総称
例1)ネットワーク管理者のフリをして電話をして、ユーザ名とパスワードを聞き出す
例2)ユーザ名とパスワードを入力している画面を後ろから覗き見る
・フィッシング(phishing)
正規の業者を装ったメールを送り、偽のWEBサイトに誘導して個人情報(クレジットカード番号や暗証番号など)を入力させようとする行為
・ヴィッシング(vishing)
正規の業者を装ったメールを送り、偽のフリーダイヤルに誘導し、音声自動応答システムを通じて個人情報を入力させようとする行為
・スピアフィッシング(Spear phishing)
特定の企業や特定の人物を狙ったフィッシング攻撃
・ホエーリング(whaling:捕鯨)
社長や政治関係者など、重要な人物を狙ったフィッシング攻撃
・スミッシング(Smishing)
SMS(ショートメッセージサービス)を使ったフィッシング攻撃
・ファーミング(Pharming)
DNSを悪用して偽のWEBサイトに誘導するフィッシング攻撃
・水飲み場攻撃(Watering Hole)
攻撃対象が普段アクセスするウェブサイト(水飲み場)を改ざんしておき、ウェブサイトにアクセスするだけでマルウェアに感染させる攻撃
パスワードを狙った主な攻撃
・ブルートフォースアタック
考えられる全ての文字を総当りで試してパスワードを見破る
・辞書攻撃
辞書に載っているような単語を次々に試してパスワードを見破る攻撃
主なネットワークセキュリティ
・OSとアプリケーションの定期的な更新
OSやアプリケーションなどのソフトウェアでは、セキュリティホール(プログラムの不具合によるセキュリティ上の不具合)が見つかることがある
セキュリティホールが見つかった場合、セキュリティホールを修正するプログラムが配布されるのでセキュリティホールを塞ぐため、OSやアプリケーションを定期的に更新する
・ネットワークデバイスの物理的な保護
悪意のあるユーザが不正なデバイスを接続する危険性があるので、ネットワークデバイスを鍵付きのラック内に設置するなどして物理的に保護する
・ユーザに対するセキュリティ教育の実施
セキュリティ違反による脅威と被害を教え、情報の漏えいや内部からの攻撃などの予防を図る
利用者に対するセキュリティ対策(セキュリティプログラム)には以下の3つのものがある
トレーニング、ユーザアウェアネス(利用者の意識向上)、物理的セキュリティ対策
ユーザアウェアネスではセキュリティ部門から擬似的に作成した詐欺メールを社員に対して送り、メール内のリンクをクリックした人を再トレーニング対象者とする
物理的セキュリティ対策は利用者が権限のないエリアに立ち入れないように、IDカードや生体認証などで入退室管理を行うといったセキュリティグログラム
・FW、IDS/ IPS、ウイルス対策ソフトなどのセキュリティシステムの配置
ネットワークセキュリティの要件に応じて、以下のセキュリティシステムを適切に組み合わせて配備する
FW(FireWall)はパケットフィルタリングにより外部からの攻撃や不正なアクセスを防ぐためのセキュリティシステム
IDS(Intrusion Detection System)は侵入行為を検出して管理者に通知するセキュリティシステム
IPS(Intrusion Prevention System)は侵入行為を検出して侵入行為を防ぐセキュリティシステム
ウイルス対策ソフトは悪意のあるソフトウェアからPCを保護するためのセキュリティソフト
・簡単なパスワードを使用させない
簡単なパスワードでは類推されたり総当りで解読されてしまうため、使用すべきではない
推奨されるパスワードの基準は以下の通り
文字数は10文字以上
アルファベットの大文字と小文字、数字、特殊文字(記号や空白)を組み合わせる
辞書に載っている一般用語は使わない
・多要素認証の導入
多要素認証とは、認証の要素を複数組み合わせた認証方法
多要素認証を導入することで、認証のセキュリティレベルが向上する
認証の要素には以下がある
知識要素:自分が記憶している情報(ID、パスワード、PIN番号など)
所有要素:自分が所有している物(電話番号を使ったSMS宛の認証コード、ワンタイムパスワード発生器、MACアドレスなど)
生体要素:自分の体(指紋や網膜など)
多要素認証の例:「パスワード」+「指紋認証」など
ネットワークデバイスのセキュリティ
・CDPの無効化
隣接するCisco機器にIPアドレスなどの情報を与えることになるので、必要のない場合は無効化しておく
【CDPを無効化するコマンド】
(config)#no cdp run
・HTTPサーバとHTTPSサーバの無効化
リモートアクセスにHTTP/HTTPSを使ったGUI操作を提供するサービス
通常、リモートアクセスにはSSHを使ったCLI操作を行うので、必要のない場合は無効化しておく
【HTTPサーバを無効化するコマンド】
(config)#no ip http server
【HTTPSサーバを無効化するコマンド】
(config)#no ip http secure-server
・セキュアなプロトコルの使用
リモートアクセスには暗号化機能の無いTelnetではなく、暗号化機能のあるSSHを使用するようにする
【Telnetを無効化し、SSH接続のみを有効化するコマンド】
(config)#line vty 0 4
(config-line)#transport input ssh
・未使用ポートの無効化
スイッチはデフォルトで全て物理ポートが有効化されている
悪意のあるユーザが不正なデバイスを接続する危険性があるので、使用していないポートは無効化しておく
【ポート(インターフェース)を無効化するコマンド】
(config)#interface FastEthernet 0/1
(config-if)#shutdown
・パスワードの暗号化
悪意のあるユーザがネットワーク管理者の操作画面をのぞき見てパスワードを入手する危険性があるので、パスワードは暗号化しておく
【パスワードを暗号化するコマンド】
(config)#service password-encryption
・簡単なパスワードを使用しない
簡単なパスワードでは類推されたり総当りで解読されてしまうため、使用すべきではない
推奨されるパスワードの基準
文字数は10文字以上
アルファベットの大文字と小文字、数字、特殊文字(記号や空白)を組み合わせる
辞書に載っている一般用語は使わない
・バナーに不必要なメッセージを載せない
バナーは、ネットワークデバイスにアクセスした際に表示されるメッセージ
バナーに載せるべきではない主なメッセージは以下の通り
歓迎するメッセージ(誰にでも表示されるメッセージなので、悪意のあるユーザも歓迎していると捉えられてしまうため)
ホスト名など、不正ログインのヒントになるような情報
ファイアウォールとIPS
ファイアウォール
・外部からの攻撃や不正なアクセスを防ぐためのセキュリティ装置
・ファイアウォールの機能はルータのアクセスリストでも実現できるが、より高度な機能や性能を求める環境では専用装置であるファイアウォールを導入する
ファイアウォールの主な機能
・パケットフィルタリング
ルールに従ってパケットの通過を許可、破棄する
アクセスリストと同様の働きをする
・ステートフルインスペクション
通信のフローを監視し、不適切な通信を拒否する
一定時間内の同一の接続元からの接続要求数を制限することで、DoS攻撃を防ぐことができる
ファイアウォールの3種類のゾーン
・内部(Inside)ゾーン
外部から守るべきネットワーク。基本的に信頼できるものとして扱う
・外部(Outside)ゾーン
攻撃元となる可能性のあるネットワーク。基本的に信頼できないものとして扱う
・DMZ(DeMilitarized Zone:非武装ゾーン)
内部と外部の中間に置かれるゾーン。基本的に外部からアクセスできるのはこのゾーンのみとなる
NGFW(NGFW:Next-Generation FireWall:次世代ファイアウォール)
従来型のファイアウォールよりも高度な機能を備えたファイアウォール
次世代ファイアウォールが持つ主な機能
・従来型ファイアウォールの機能:IPアドレスやポート番号を基にしたフィルタリング
・AVC(Application Visibility and Control:アプリケーションの識別と制御):アプリケーションの情報を基にしたフィルタリング(同じポート番号80のHTTP通信でも、Googleは許可するがTwitterは許可しないなどが可能)
・URLフィルタリング:悪意のあるWEBサイトにアクセスしてしまうことを防ぐ
NGIPS(NGIPS:Next-Generation Intrusion Prevention System:次世代の侵入防止システム)
これまで使われていた従来型のIPSよりも高度な機能を備えたIPSを「次世代IPS」と呼ぶ
次世代IPSが持つ主な機能
・従来型IPSの機能:シグネチャ(悪意の攻撃を識別するための情報)を参照し、悪意のあるパケットの受信やネットワークへの侵入行為を防ぐ
・マルウェアの防御:マルウェア(コンピュータウイルスなど)が仕組まれたファイルのダウンロードを防ぐ
・データの収集:IPSを通過するデータのIPアドレスや使用しているアプリケーションなどの情報を収集
・自動化:収集した情報を基に、検知ルールなどの設定の最適化を自動的に行う
ファイアウォールとIPS
・どちらも社内ネットワークとインターネットの間に配置するセキュリティ製品
・ファイアウォールは社内のポリシーに従ってセキュリティを行う
・IPSはセキュリティ会社などが集めた情報(シグネチャ)を基にセキュリティを行う
・現在はどちらの機能も統合されてきており、Ciscoでは「Cisco Firepower」というセキュリティ製品にNGFWとNGIPSの両方が搭載されている
