10.セキュリティ実装技術
IPsec【Security Architecture for IP】・・・IPを拡張してセキュリティを高め、改竄の検知、通信データの暗号化、送信元の認証などの機能をネットワーク層レベルで提供するプロトコル
利用目的⇒インターネットVPNを実現するために用いられる技術であり、ESPなどのプロトコルを含むもの
暗号化をサポートしていないアプリケーションを用いても通信路の途中で通信内容を覗き見られたり改竄されることを防止
TLS【Transport Layer Security】・・・通信の暗号化、ディジタル証明書を利用した改竄検出、ノード認証を含む統合セキュアプロトコル
SSL/TLSを利用することで実現できること⇒クライアントサーバ間の通信を暗号化する
バーチャルホストのうちどのホスト名を期待しているのか判断できず、ホスト名ごとに異なるサーバ証明書を使い分けることができない
SSH【Secure Shell】・・・公開鍵暗号や認証の技術を利用して、安全にリモートコンピュータと通信させるためのプログラム
利用方法⇒リモートログインやリモートファイルのコピーのセキュリティを強化したツール及びプロトコル
SSHクライアントの利用者がサーバ鍵の指紋を確認しない場合、意図しないリモートコンピュータに接続していても気づかず、通信内容を盗聴される恐れがある
DNSSEC【DNS Security Extensions】・・・DNSに対し、データ作成元の認証やデータの完全性を確認できるように仕様を拡張するもの
確認できるもの⇒ディジタル署名によってDNS応答の正当性を確認できる
データの偽装を検知できるため、DNSキャッシュポイズニングのような攻撃を防ぐことができる
パケットフィルタリング【Packet Filtering】・・・パケットヘッダの送信元、先アドレスなどの情報を元に装置を通過するパケットを検査し、許可されたパケットのみをネットワークの内外へ通過させるセキュリティ機能
ファイアウォールのパケットフィルタリング機能を利用して実現できるもの⇒特定のTCPポート番号を持ったパケットだけに、インターネットから内部ネットワークへの通過を許可する
主にファイアウォールのフィルタリング方式として使用
MACアドレスフィルタリング・・・機器に正当なユーザのMACアドレスを登録しておき、接続してきた端末のMACアドレスと照合することで正当なユーザ以外のアクセスを拒否する機能
利用方法⇒無線LANにおいて、事前にアクセスポイントに登録した端末以外の接続を制限する
不正アクセス防止目的で無線LANのアクセスポイントやDHCPサーバ等に実装
VLAN【Virtual Local Area Network】・・・スイッチに接続された端末を物理的な構成に関係なくグループ化する機能、またはその機能で形成されたネットワークのこと
VLAN機能を持った1台のレイヤ3スイッチに複数のPCを接続している場合、スイッチのポートをグループ化して複数のセグメントに分けると、セグメントを分けない場合に比べてのセキュリティ上の効果⇒スイッチが、PCからのブロードキャストパケットの到達範囲を制限するため、アドレス情報の不要な流出のリスクを低減する
分割方式にはポートベース型、アドレスベース型、タグ型などがある
ハニーポット【Honeypot】・・・侵入者をおびき寄せるために脆弱性を含む本物そっくりのシステムを設置し、侵入者の挙動を監視する仕組み
利用方法⇒セキュリティ上、脆弱性のあるホストやシステムをあえて公開し、受けた攻撃の内容を観察するためのもの
対ハニーポット技術としてマシンのアーキテクチャ、MACアドレスなどを調べることで仮想機械で監視しているか調べることが可能
VPN【Virtual Private Network】・・・多数の加入者が共用する公衆回線で接続された拠点間の通信において、認証及び暗号化と復号の技術によって仮想的な専用回線を構築し、通信の安全性を確保するための技術
技術説明⇒インターネットなどの共用ネットワークに接続された端末同士を、暗号化や認証によってセキュリティを確保して、あたかも専用線で結んだように利用できる技術
公衆回線を利用するため、専用回線を敷設するのに比べコストを低く抑えることが可能
リバースプロキシ【Reverse Proxy】・・・インターネット上のクライアントからのリクエストをWebサーバを代理して受付、イントラネット内のWebサーバに受け渡す役割を担うプロキシサーバ
仕組み⇒Webサーバを使ったシステムにおいて、インターネットから受け取ったリクエストをWebサーバに中継する
クライアントからのリクエストは必ずリバースプロキシを経由するので、Webサーバに直接アクセスさせずにリバースプロキシにアクセス制御や認証などの機能をもたせることで、Webサーバのセキュリティ向上が期待
DKIM【Domain Keys Identified Mail】・・・送信するメールにディジタル署名を付加し、受信側で発信元のDNSサーバに登録されている公開鍵を使用しディジタル署名の確認を行うことで発信元メールサーバの正当性を検証する仕組み
スパムメール対策⇒送信側メールサーバでディジタル署名を電子メールのヘッダに付与して受信側メールサーバで検証する
署名するMTAが発信者の代わりにDKIM-Signatureヘッダを追加し、また検証するMTAがDNSを通じて発信者の公開鍵を検索することで、受信者の代わり署名の正当性を立証する
OP25B【Outbound Port 25 Blocking】・・・外向きポート25番あてパケットを遮断することでスパムメールを防ぐ仕組み
ISP管理下の動的IPアドレスを割り当てられたPCからのスパムメール送信を防止する対策⇒管理下の動的IPアドレスから、管理外のグローバルIPアドレスへのSMTP通信を拒否する
ISP管理下の動的IPアドレスからの電子メール送信について、管理外ネットワークのメールサーバへSMTP通信を禁止することで、ISPのメールサーバを介さずに送信側のメールサーバと直接コネクションを確立して送信されるスパムメールを防ぐ
サニタイジング【Sanitizing】・・・入力データ中のスクリプトやコマンドとして特別な意味を持つ文字があった場合、HTML出力やコマンド発行の直前でエスケープ処理し、無害化する操作のこと
利用方法⇒SQLインジェクション対策について行うとクス文字の無効化操作
SQLインジェクションやクロスサイトスクリプティングによる被害を防ぐために重要な処理
サンドボックス【Sandbox】・・・プログラムの影響がシステム全体に及ぶことを防止するために、プログラムが実行できる機能やアクセスできるリソースを制限して動作させる仕組みのこと
Man-in-the-Browser攻撃に該当するもの⇒PCに侵入したマルウェアが、利用者のインターネットバンキングへのログインを検知して、Webブラウザから送信される振込先のデータを改ざんする
子供を安全である砂場内だけで遊ばせるイメージで呼称される
バインド機構・・・SQLインジェクションを防ぐために、プログラムのソースコードでSQL文の雛型の中に変数の場所を示す記号(プレースホルダ)を置いた後、実際の値を割り当てる仕組み
SQLインジェクション対策について、Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策⇒実装における対策「プレースホルダを利用する」、実装以外の対策「データベースのアカウントが持つデータベースアクセス権限を必要最小限にする」
- 最終更新:2017-04-15 17:38:56