第8回 内部情報漏えい対策の常識(前編)
第8回 内部情報漏えい対策の常識(前編):知ってるつもり?「セキュリティの常識」を再確認(2/3 ページ) 内部情報漏えい対策を検討するにあたり、まず初めに、守るべき電子データは何なのか明確にしておくことが望ましい。守るべき電子データを把握していない状態では、内部情報漏えいを防止するにはすべての電子データを保護する以外にないからだ。 もちろん、すべての電子データを保護するという方針も選択できるが、著しく業務効率を低下させる情報インフラができあがることは想像に難くない。まずはリスクアセスメントを実施して、自社にとって重要な電子データは何か把握するべきだ。 どう対策するか? 守るべき情報が明らかになったところで、それらの情報をどのように守るか、考えなければならない。 まず始めに実施すべき対策として考えられるのは、ファイルサーバ上でのアクセス権限(読み出し、書き込み、実行の権限)の設定だろう。そ
第7回 ウイルス・ワーム対策の常識(後編)
第7回 ウイルス・ワーム対策の常識(後編):知ってるつもり?「セキュリティの常識」を再確認(4/4 ページ) まだあまり知られていない新しい技術であるが、ウイルスの被害を最小限に抑えるためのワーム拡散防止アプライアンスについて紹介したい。 ワーム拡散防止アプライアンスは、アノーマリ型(*1)のIPSと同様に、通信の挙動からワームの攻撃を特定し、通信を遮断するものである。アノーマリ型IPSとの大きな違いは、ゲートウェイを通過するパケットを監視してパケットを遮断するのではなく、ネットワークを流れるパケットを監視して、ネットワーク上のワームに感染した個別のコンピュータの通信を遮断する。つまり、点(ゲートウェイ)で防御をするのではなく、面(ネットワーク)で防御する。 *1 RFC規格外の通信のやり取りや、正常と異常を定義したシステム規格から脱していないかを検知する方法 また、IPSが主に外から内部
第9回 内部情報漏えい対策の常識(後編)
第9回 内部情報漏えい対策の常識(後編):知ってるつもり?「セキュリティの常識」を再確認(2/3 ページ) 「秘文」と言えば、個人的には10年ほど前に発表された暗号化ソフトの印象が強いが、最近では「秘文Advanced Edition(秘文AE)」シリーズとして統合された内部情報漏えい対策製品群を意味している。2004年末で国内に50万クライアントの導入実績を誇っている。 暗号化機能に注目してみれば、基本的な機能を網羅した優秀な製品であるといえる。そのため、暗号化機能を持ち合わせていない内部情報漏えい対策製品が、暗号化機能部分を補完するために秘文を組み合わせて導入している実績もかなりあるようだ。 この製品についても、前回挙げた項目に沿って見てみよう。
第10回 仮想的に専用線環境を実現するVPNの常識
第10回 仮想的に専用線環境を実現するVPNの常識:知ってるつもり?「セキュリティの常識」を再確認(4/5 ページ) IPsecは、インターネットVPNを実現する技術として、もっとも普及している技術である。IPsecは、送受信を行う相手の認証とパケットの暗号化による盗聴の防止、パケット認証による改ざんの防止など、セキュアな通信を実現するためIETFによって標準化が行われた総合的な技術である。 IPsecでは、元パケットをヘッダを含めてカプセル化する「トネリングモード」と、もともとのパケットのヘッダを利用する「トランスポートモード」が用意されている。VPNで利用する場合はトネリングモードを利用する。また、IPsecでは、送受信相手の認証とパケットの認証のみを実現するAH(Authentification Header)と、認証に加えて暗号化も実現するESP(Encapsulation Sec
第9回 内部情報漏えい対策の常識(後編)
第9回 内部情報漏えい対策の常識(後編):知ってるつもり?「セキュリティの常識」を再確認(3/3 ページ) LanScopeや秘文は、本来別の目的を主として開発されていた製品を機能拡張して内部情報漏えい対策製品へと発展させたものだといえる。これに対して、最初から内部情報漏えい対策製品として開発された製品が、最近次々と発表されている。このタイプの製品は、まだ登場から日が浅く導入実績の面で見劣りするものの、専用に開発された製品であることの強みを生かし、多機能な設計のものが非常に多いように思える。 ここでは、このタイプの製品の一例として米Verdasysの「Digital Guardian」を紹介したい。この製品は米国の製品ではあるが、既に日本語化が行われており、比較的安心して導入できる製品だといえるのではないだろうか。
第10回 仮想的に専用線環境を実現するVPNの常識
第10回 仮想的に専用線環境を実現するVPNの常識:知ってるつもり?「セキュリティの常識」を再確認(5/5 ページ) 数年前から登場してきたSSL-VPNは、名前の通りSSLを使用して実現するVPNであり、リモートアクセスやエクストラネットの構築に特化した方式である。 SSL-VPNは、標準化された技術ではなく、各ベンダーによって独自に実装された技術で、既存のSSLや各種のプロキシー技術を組み合わせて、リモートアクセスを実現している。ほとんどの製品では、Webのリバースプロキシの技術を利用することで、ブラウザのみで社内のWebサーバへアクセスが可能となっている。また、POP3やSMTPといった良く利用されるプロトコルをSSL-VPN装置においてSSL化と中継を行って、社外からPOP3 over SSL、SMTP over SSLで社内のメールサーバへアクセスできるような製品もある。また、J
第10回 仮想的に専用線環境を実現するVPNの常識
第10回 仮想的に専用線環境を実現するVPNの常識:知ってるつもり?「セキュリティの常識」を再確認(2/5 ページ) それでは、これらVPNはどのような技術で実現されているのだろうか? VPN技術には、IPsec、SSL-VPN、PPTP/L2TPなど多くの種類があるが、共通的な要素技術として、「カプセル化」「暗号化」「認証」の3つが挙げられる。 例えば、本社のネットワークと、支店のネットワークをインターネット上に構築したVPNで接続することを考えてみよう。一般的に本社や支店のネットワークは、プライベートIPアドレスを使用して構築されている。しかし、プライベートIPアドレスは、インターネット上で使用することができない。そこで、支店のPCから本社のサーバに送られるパケットを、支店のVPNゲートウェイにて、インターネット上で通信できるパケットに包み、本社のVPNゲートウェイに転送する。そして、
第11回 暗号技術の常識
公開鍵暗号方式は、暗号化に利用する鍵(公開鍵)と、復号に利用する鍵(秘密鍵)が異なり、暗号用の鍵を公開できることが大きな利点である(図2)。 例えば、別のユーザーから暗号化したデータを送ってもらいたい場合、公開鍵と秘密鍵の鍵ペアを生成し、公開鍵を相手に送ればよいだけである。その際、公開鍵は第三者に盗み見られても問題はない。なぜなら、相手が公開鍵を使用して暗号化したデータは、第三者が持っている公開鍵では復号ができないためである。復号できるのは、対応する秘密鍵を持った自分だけである。そのため、公開鍵を安全でない通信路を使って送ることができ、共通鍵暗号方式に比べ、鍵の交換に手間やコストをかける必要がない。 10人のユーザーと暗号通信を行いたい場合も、一組の鍵ペアを生成し、10人に同じ公開鍵を送るだけでよい。そのため、鍵の管理が大幅に楽になる。多数のユーザー間で暗号通信を行う場合も、各ユーザーがそ
第11回 暗号技術の常識
セキュリティのCIAの一つ「機密性」を実現するための暗号技術。共通鍵暗号方式、公開鍵暗号方式、公開鍵暗号方式を利用したPKI、および最新の暗号方式IBEについて説明しよう。 セキュリティのCIA 「セキュリティのCIA」という言葉を聞いたことがあるだろうか? CIAはそれぞれ機密性(Confidentiality)、完全性(Integrity)、および可用性(Availability)を表しており、セキュリティ対策の際に、考慮すべき3要素を示している。 秘匿性は、名称の通りデータを第三者に盗聴されないようにすることであり、対策としてはデータの暗号化がある。完全性は、データが正確で改ざんされていないことを示しており、対策としては電子署名などがある。最後の可用性は、必要なときにサービスを利用できることを示しており、サーバの冗長化などが対策として挙げられる。今回は、秘匿性と完全性の対策において重
第10回 仮想的に専用線環境を実現するVPNの常識
第10回 仮想的に専用線環境を実現するVPNの常識:知ってるつもり?「セキュリティの常識」を再確認(1/5 ページ) VPNは、さまざまな用途で利用されている。用途や目的に応じて、適切な技術/サービスを選択する必要がある。VPNを実現する技術やサービスを整理した。 Virtual Private Network(VPN)は、現在ではさまざまな用途で利用されている。VPN技術/サービスを利用する用途や目的によって、適切に選択し、利用する必要がある。今回は、いくつかのVPN技術について説明するとともに、それぞれの技術がどのような用途に向いているのか、整理する。 VPNが活躍する用途 VPNとは、複数のユーザーが利用する共有ネットワーク上に構築する「仮想的(Virtual)な専用ネットワーク(Private Network)」のことである。VPNを実現する技術やサービスには数多くの種類があり、そ
第10回 仮想的に専用線環境を実現するVPNの常識
第10回 仮想的に専用線環境を実現するVPNの常識:知ってるつもり?「セキュリティの常識」を再確認(3/5 ページ) IP-VPNは、通信事業者によって提供されるVPNサービスの1つである。IP層での接続機能を提供し、主に拠点間通信で利用される。 IP-VPNでは、インターネットではなく、各通信事業者が独自に構築したネットワーク上に、MPLS(Multi Protocol Label Switching)と呼ばれる技術を利用して、IPレベルでのVPNを構築する。MPLSは、パケットにラベルを付けることで、高速にルーティングを行うことを目的として開発された。名前が示すとおり、IPだけではなく、ほかのプロトコルでも利用できる技術である。しかし、IP-VPNでは、企業ごとに異なるラベルを付けることによってIPのパケットをカプセル化し、VPNを構築するためにMPLSを利用している(図5)。 IP-
第13回 マネジメントから見た情報セキュリティ
また、BS7799-2:2002へ規格改定された際、「経営層のマネジメントシステムへの積極的関与」「情報セキュリティの確保・向上に関する責任の明確化」「マネジメントシステムの継続的改善」の3点を意識した改定がなされており、組織全体が関与する形で1つのマネジメントシステムを構築していくのが特徴といえる。ISMSでは、以下の9ステップを通じてマネジメントシステムのフレームワーク構築することが一般的である。 資格の取得を目的としていない組織でも、これらマネジメント規格を用いて自組織の体制・対策に不足している事を見出すことは非常に有用だ。一度JIS Q15001(日本工業標準調査会の「JIS検索」を選択して検索を行ってほしい)、ISMS認証基準Ver2.0に目を通しておくことをお勧めしたい。 マネジメントの新動向 ここからはマネジメントシステム規格の動向について触れたい。 現在、ISO/IEC17
第12回 イベントログ集中管理ツール「SIM」の常識
第12回 イベントログ集中管理ツール「SIM」の常識:知ってるつもり?「セキュリティの常識」を再確認(1/2 ページ) 多くのセキュリティ機器を導入した結果、イベントログの山に埋もれていないだろうか? これらログを相関的に解析できたら、重要なインシデントの兆候を見逃すことは減る。SIMはそれを支援してくれるツールだ。 SIMとは何か? SIM(SEM)という言葉を聴いたことがあるだろうか? SIMとはSecurity Information Manager (SEM:Security Event Manager)の略で、一言でいうならば、セキュリティデバイスが発生するイベントログの集中管理を行うシステムである。2001年頃からこれに分類されるセキュリティ製品が市場へ現われた。 「今までのイベントログ管理システムとどこが違うの? 」という疑問を持たれた人もいるかもしれない。確かに、今までセキ
第12回 イベントログ集中管理ツール「SIM」の常識
第12回 イベントログ集中管理ツール「SIM」の常識:知ってるつもり?「セキュリティの常識」を再確認(2/2 ページ) SIMが前述した動作を行うために3つの重要な機能が存在する。(1)正規化(Normalization)機能、(2)集約化(Aggregation)機能、(3)相関分析(Correlation)機能である。 まず、正規化機能であるが、これはさまざまなセキュリティデバイスが生成するイベントログをSIMが扱える形式に整形し直す機能である。ご存知の通り、例えばファイアウォールとIDSではイベントログの形式、大きさは異なる。また同じIDSでもA社の製品とB社の製品でもイベントログの形式が異なり、同じ攻撃を検知した場合でも一見まったく異なる記述のイベントログが生成される。正規化機能は、こうしたイベントログに対してSIM自身が持つイベントカテゴリーに従った共通IDを付与したり、イベント
第11回 暗号技術の常識
話が変わるが、電子署名について説明する前に、「ハッシュ関数」に関して説明しておこう。 ハッシュ関数は「一方向関数」とも呼ばれ、任意の長さのデータをハッシュ関数に通すと、特定の長さ(128bitや160bit)のデータ(ハッシュ値)に変換される。ハッシュ関数の特徴としては、データからハッシュ関数を通してハッシュ値を生成することは簡単であるが、ハッシュ値から元データを生成することが不可能な点である。また、元のデータを1bitでも変えると、生成されるハッシュ値が大きく変化し、同じハッシュ値を生成する別のデータを作り出すことが事実上不可能なのである。このような特徴から、元データの特徴を現す値として、ハッシュ値が利用される。ちなみに、ハッシュ値を「Finger-Print(指紋)」と呼ぶこともある。 ハッシュ関数としてはMD5やSHA-1が広く利用されているが、つい最近の暗号学会でSHA-1の脆弱性
第14回 Webアプリケーションセキュリティの常識
手動による検査のポイント では、具体的にどのような観点で検査を行えばよいのだろうか?データを書き換えると簡単に書いたが、Webアプリケーションの規模が大きい場合、すべてのページのすべてのパラメータに対して、全部の検査パターンを試すのには膨大な時間がかかる。その上、実際には対象となるページの機能によって、試す意味がないパターンも多い。 そこで、あらかじめページ巡回しておいて全体を把握する。どこでどういった処理がなされているかに注目しておき、検査パターンと対象個所を絞っておく。例えば、 データベース(DB)にアクセスしていそうな個所 ブラウザから渡される値をそのまま表示する個所 といった部分に注目して巡回を行う。 例えば、ログインやユーザー情報照会などのDBにアクセスしていそうな個所には、SQLインジェクションの危険性が潜んでいる場合が多く、ブラウザから渡される値をそのまま表示する個所にはクロ
第11回 暗号技術の常識
PKIを利用した暗号通信を行う場合、暗号データの受信者が事前に鍵ペアを生成し、生成した公開鍵に対する公開鍵証明書をTTPから発行してもらう必要がある。公開鍵は単なる数字の羅列であり、それを見ただけでは、その公開鍵が誰のものかわからないため、第三者に証明してもらう必要があるのである。 しかし、例えばそのユーザーが持っている一意のID(例えばメールアドレスなど)がそのまま公開鍵になれば、このように第三者に証明してもらう必要がないため、より便利になるのではないだろうか? 実は、このような疑問は1980年頃に、RSAの開発者の1人であるシャミア博士によって提起されていたのである。その後約20年間、多くの暗号学者がこのアイデアを実現する暗号アルゴリズムの開発を行ってきたが、実用的なアルゴリズムは開発されなかった。そして、ようやく2001年にスタンフォード大学のDan Boneh教授が、このアイデアを
第14回 Webアプリケーションセキュリティの常識
となる。 これにより、パスワードがわからなくとも、'1'='1'が真であるために認証を回避できてしまう。さらに、認証の回避だけでなく、別のSQLを続けて実行させることも可能となってしまう場合もある。 この場合、システム的に特殊な意味を持つ記号(この場合は「'」(シングルクウォート))をサニタイジング(無効化)していれば攻撃を回避できたはずである。しかし、実際にはこのような攻撃が成立してしまう場合が少なくない。 Webアプリケーション検査 このようなWebアプリケーションに対する攻撃を回避するためには、サービスをリリースする前に、脆弱性がないかをチェックする必要がある。検査の手法としては、「BlackBoxテスト」「WhiteBoxテスト」「GlassBoxテスト」の3種類がある。どの手法を用いるかは、Webアプリケーションの用途や重要性に応じて選定を行う。 BlackBoxテスト Blac
第14回 Webアプリケーションセキュリティの常識
第14回 Webアプリケーションセキュリティの常識:知ってるつもり?「セキュリティの常識」を再確認(3/4 ページ) ここでは、よく行われる検査手法としてBlackBoxテストについて詳細な説明をしていく。 前述した通り、BlackBoxテストによるWebアプリケーションの検査は、基本的に不正な文字列をアプリケーションに渡して、その反応を見る作業である。これらの不正入力が内部で正しくフィルタリングされていない場合、アプリケーションは何らかの想定外の動作をすることになる。この結果から、どの不正文字列に対しては安全であるか、どの不正文字列に対して脆弱であるかを判定することができる。 もちろん、ソースコードを見ない検査であるため、「脆弱性は100%存在しない」と断言することはできない。しかし、攻撃者の立場から考えられる入力を数多く試してみることにより、検査対象アプリケーションの安全性は確かなもの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ITmedia エンタープライズ:第14回 Webアプリケーションセキュリティの常識 (1/4)
