4月 15, 2013 0

セキュリティ 認証のセキュリティ

Categories:  MCA Security

1.認証のセキュリティ

コンピュータシステムでの情報セキュリティでは情報の機密性と完全性、可用性の保護が必要です。

可用性の保護に関しては適切なアクセスコントロールにより実現されますが、適切なアクセスコントロールの前提になるのは認証の機能です。

コンピュータセキュリティの世界で認証という言葉は以下の2種類の意味でつかわれています。

  1. システム利用ユーザーの権利の正当性の検証
  2. データの改ざん、差出人の詐称行為がされていないことの確認

そのうち前者に対しての認証は多くはアカウント名とパスワードによるパスワード認証が用いられています。そのほか、より高度な認証方法として現在はバイオメトリクス認証(生体認証)などの生態的特徴を用い個人を認証する方法もあります。ここではパスワード認証による脆弱性、脅威について記述いたします。

 

2.認証の脅威

パスワードによる認証による脅威としてパスワード解析とパスワード推測の二つの脅威があります。

(1)パスワード施行攻撃

  1. 単語辞書を用意し辞書内の単語をパスワードとしてログオンを試みる辞書攻撃
  2. すべての文字の組み合わせをパスワードとしてログオンを試みる、ブルートフォース攻撃、総当り攻撃と呼ばれる攻撃

(2)パスワードの盗聴

パスワードの盗聴はスニファングやリプレイ攻撃という手口でネットワークを盗聴することにより実行されますスニファニングとは英語のsuniffingのことで「クンクン嗅ぎまわる」を意味し認証にかんするパケットを盗聴しそこに含まれるユーザーアカウント、パスワードを盗聴します。

リプレイ攻撃とは正規の認証操作でやり取りされたパケットを攻撃者が盗聴してそれをそっくりそのまま送り付けることで認証の突破を図ろうとするものです。

こういったリプレイ攻撃への対抗策としてパケットに通し番号(シーケンスID)を割り当てる方法があります。その場合リプレイ攻撃によって過去に送信されたパケットの場合、同じ通し番号が使用されるため、リプレイ攻撃であるいと認識し認証を防ぐことができます。

[脅威への対策]

  1. IPSecなどの暗号化プロトコルを認証に使用
  2. CHAPなどのパスワード暗号化のプロトコルを用いネットワーク上に流さない認証方式の使用
  3. セッションごとに固有の暗号キーを使用
  4. セッションの有効期間情報を使用
  5. ワンタイムパスワードを用い毎回使用するパスワードの変更を実施

(3)ソーシャルエンジニアリング

ソーシャルエンジニアリングは物理的手段によりユーザーの盲点をついて様々な情報を入手する攻撃でパスワード推測にも用いられることがあります。これは人間に対して人的、心理的な手段を用いて情報を搾取する方法がソーシャルエンジニアリングと分類されています。

①ショルダーハック
パスワードやユーザーIDを入力している様子を背後から覗き見て攻撃に必要な情報を入手します。
②ゴミ箱あさり
ゴミ箱から物理的に情報を収集する方法です。
③管理者を装った聞き出し
システム管理者を装い虚偽の情報をねつ造して情報を搾取します。システム障害が発生してデータ復旧のため、パスワードが必要といった方法で情報の入手を行うため、警戒意識を持ち注意を払うことが必要です。
④個人情報からの推測
ターゲットとなるアカウントの個人情報を様々な方法で入手し設定されているパスワードを推測する手法です。社員名簿、名簿業者から氏名、住所、生年月日、家族構成、趣味の情報を入手しプロファイリングによりパスワードを推測します。対策としては個人情報やユーザー認証に必要な情報の推測が可能になるような手掛かりを第三者に与えない、あるいは個人情報と関連性のあるユーザーIDやパスワードを使用しないことが必要です。
 

3.パスワードの管理

(1)パスワードの強度

パスワードが第三者に推測や解析が行われるかどうかの指標としてパスワードの強度があります。強度は無関係の数値を使用していれば推測が困難になるため強度が高いといえます。

◆パスワード推測が困難なケース
・個人情報と無関係
・ランダムな文字列
◆パスワード解析が困難なケース
・長い文字列
・多くの文字種を含む
・単語として意味

(2)パスワードの管理

パスワード認証については本人以外は知りえないパスワードの入力が原則です。その為、メモ用紙、付箋などにパスワードを書き留めることはできる限りしない方法で管理する必要があります。

またパスワードを伝える場合は電話や口頭など盗聴が可能な伝達方法はせずシステム管理によって定められた方法で伝達する必要があります。

(3)ポリシー設定によるパスワードの強化

強固な認証システムの構築には強力なパスワードを適切に管理することが重要ですがこのルールをシステム側の設定により強制することが可能です。

①パスワードのポリシー設定
・パスワードの長さと変更禁止期間
・パスワードの有効期限
・パスワードに使用する文字
②アカウントのロックポリシー

アカウントロックポリシー設定はパスワード推測やオンラインでのブルートフォース攻撃に対して有効です。ロックアウトとは入力されたパスワードが間違っていることによるログオンの失敗があらかじめ設定された回数以上になった場合にそのアカウントでのログオンを拒否する機能のことです。

・アカウントトックアウトのしきい値
・ロックアウトカウンタのリセット
・ロックアウト期間
 

4.認証技術

(1)認証方式

ネットワークを通じて情報を送信する場合、パスワードの情報がそのままネットワークに送信された場合、第三者に盗聴される可能性が高くなります。そのためユーザーID、パスワードなどを使用し認証を行いドメイン、ワークグループへのログオンを行い情報のやりとりを行った方が安全です。windowsドメインやコンピュータにログインする際に以下に示すように複数の認証プロトコルを利用できるようになっています。

認証プロトコルとして次の4種類があります。

■Kerberos 認証
Active Directory ドメインへのログオン
■NTLMv.2 認証
Active Directory ドメインへのログオン/ドメイン/ワークグループ
■NTLMv1 認証
Active Directory ドメインへのログオン/ドメイン/ワークグループ
■LM 認証
Active Directory ドメインへのログオン/ドメイン/ワークグループ

(2)シングルサインオン

シングルサインオンでは個々のシステムの認証機能を認証サーバーに一元化し、認証サーバーはユーザー認証を行いその情報に基づいた権限をアプリケーションサーバーなどに通知します。このようなシングルサインオンシステムは Active Directory、RADIUS 、TACACS、 AAAサーバーにより実現されます。

①シングルサインオンの利点
管理者にとってはユーザー情報管理の一元化、ユーザーにとっては管理しなければならないパスワード情報の集約です。

(3)高度な認証技術

認証にはパスワード認証のように本人以外は知りえない知識をベースとするもの以外に本人以外は持っていないものを利用する方法、本人の身体的特徴を利用する方法があります。

  1. 知識:パスワード認証
  2. 物:鍵、 IDカード
  3. 身体的特徴:指紋、虹彩:認証装置が効果である傾向がある。

 

5.まとめ

(1)認証方法とは

  1. ・システムを利用しようとしているユーザーが正当な権利を持っていることの確認
  2. ・ネットワークを通じてやり取りされるデータが途中で改ざんされておらず差出人の情報も詐称されていないことの確認

(2)監査認証 (Audit Trail)

情報システムに関する様々な事象から最終結果にいたるまでの過程の追跡が行える仕組みのことで一般に証拠能力を持つログである。

(3)パスワード施行攻撃

辞書攻撃、ブルートフォース攻撃などがある。

(4)リプレイ攻撃

リプレイ攻撃とは正規の認証操作でやり取りされたパケットを攻撃者が盗聴してそれをそっくりそのまま送りつけることで認証の突破を図ろうとするもの。通信パケットそのものが再利用される。

(5)パスワードの強度

パスワードが第三者によって推測、快速されやすいかどうかをさす言葉としてパスワードの強度という言い方を使用することがある。

(6)ワンタイムパスワード

トークンと呼ばれるデバイスや専用のソフトウェアに PINなどのパスワードを入力し出力される数字列や文字列を一回限り有効の使い捨てパスワードとして用いるもの。

(7)ソーシャルエンジニアリング

管理者を装ってパスワードを聞き出すような技術的でない手段による攻撃をソーシャルエンジニアリングと呼ぶ

(8) AAAサーバー

ユーザー認証と権限の付与、ログの記録という3つの機能をもつ認証サーバーである。認証(Authentication)、認可(Authorization)、課金(Accounting)の頭文字をとってAAAサーバーと呼ばれる。代表的なものに RADIUS、TACACS 、Kerberosなどがあげられる。

(9)バイオメトリクス認証

身体的特徴による認証意方式であり、バイオメトリクス認証と呼ばれる。指紋、虹彩、声紋、筆跡、手の静脈パターンといった異なる内容を持つ。現在ではデバイスの低価格化やコンピュータの高性能化により広く普及するようになった。

(10)パスワードのポリシー

パスワード強化の為のパスワード作成の為のルールをシステム側で設定を行うこと。ローカルセキュリティポリシーとグループポリシーがある。

(11)アカウントロックアウトポリシー

ロックアウトとは入力されたパスワードが間違っていることによるログオンの失敗があらかじめ設定された回数以上になった場合にそのアカウントでのログオンを拒否する機能のことでロックアウトポリシーとは設定により取り決めを行うこと。

(12) Kerberos認証

UNIXなどで使用されている標準の認証プロトコルである。ログイン先はActiveDirectoryドメインであり、ログインに使用するクライアントOSは Windows 2000以降の機種に限定される。

(13)NTLM認証

Ver1と ver2があり認証プロトコルであり、 Windows95,98,NTがサポートされる。

4月 13, 2013 0

セキュリティ コンピュータセキュリティ強化

Categories:  MCA Security

1.ファイルシステムへのセキュリティ強化

ファイルシステムの選択にはセキュリティ機構のある NTFSを使用するのが基本です。その他セキュリティを強化する上で注意する点として不要なコンポーネットは組み込まないようにすること、Administratorパスワード設定を行うことが必要です。
不必要なコンポーネントを組み込まないことの理由としては使用していない機能には注意がおろそかになりやすい為です。Administratorパスワードの設定を頻繁に行うことでハッカーからの総当たり攻撃などの脅威を防ぐことができます。
また、セキュリティを狙ってくるハッカーからの攻撃手法としては総当たり攻撃(辞書攻撃、ブルートフォース攻撃)と呼ばれる攻撃があり、これはさまざまな単語を手当たり次第試し、繰り返しログオンを試みる手法などがあります。

①NTFSファイルシステムの利点
・アクセス権設定などのセキュリティ機構がある
・ファイル操作の場合のログ機能により修復手段があることから耐障害性の面で優れている。

②Administratorパスワード設定を行う意義
・操作を実行できる権限を持つユーザーの資格情報の奪取を防ぐ
・ドメイン全体への攻撃、不正侵入を防ぐ

③不必要なコンポーネントを組み込まないことの意義
・セキュリティホールができるのを防ぐ(ウィルス感染を防ぐ)

 

 

2.ユーザーアカウントの管理

(1)セカンダリログオン

Windows2000から追加された機能であり、ログオン中のユーザーアカウントとは別のユーザーアカウントの資格を使ってアプリケーションを実行する機能です。 RUNASコマンドを使用する方法と別のユーザーアカウント使用する方法の2種類があります。
下の構文はRUNASを使用してmsa.mmcという名前のMMC管理コンソールをDOMAIN\Administratorユーザー資格で実行しています。Windows vistaではパスワードが設定されていないアカウントでは RUNASコマンドを実行することはできないので必ずパスワードを設定する必要があります。

■構文  RUNAS/USER:<ユーザー名>/profile”コマンド”
■使用例  RUNAS/USER:DOMAIN\administrator/profile”mmc c:\windows\system32\msa.mmc”

 

(2)ユーザーアカウント制御

WindowsVistaではシステムを保護する目的でユーザーアカウント制御という新しいセキュリティ機能が追加されています。ユーザーアカウント制御が有効になっている場合は Administratorsグループであってもほとんどのアプリケーションを標準ユーザーと同様に最小限の権限で実行が可能となっています。
また承認して管理者特権をもつ権限をえてから実行する場合を昇格と呼んでいます
ユーザーアカウントについては使用していないアカウントは不正侵入に悪用されやすいため、無効化しておくことをお勧めします。

 

 

3.セキュリティ基礎用語

①NTFS

セキュリティ機構のあるファイルシステムのこと。

②アクセス権

重要なファイル /フォルダに対して、特定のユーザー、グループ以外アクセスできないように設定すること。

③ブルートフォース攻撃

様々な単語を手当たり次第に試しながら繰り返しログオンを試みる攻撃手法のこと。ブルートフォース攻撃、辞書攻撃とよばれる。

④ビルトインユーザー

ビルトインは組み込み済み、備え付けの意味を持ち Windowsセットアップ時に自動的に作成され、削除できないユーザーアカウントやグループのこと。

⑤Administrator

管理者権限を持つユーザーアカウント。

⑥ユーザーアカウントの無効化

使われなくなったユーザーアカウントは不正侵入に悪用されやすい為、使われなくなったアカウントは無効化しておいたほうがよい。

⑦ SID

Windowsの内部ではユーザーアカウントは SIDという一意の識別子で識別されており、表示される名前を変更しても Windows内部では同一のユーザーアカウントとして扱われる。

⑧セカンダリログオン

Windows2000 から追加された機能であり、ログオン中のユーザーアカウントとは別のユーザーアカウント資格を使ってアプリケーションを実行する機能である。

⑨RUNASコマンド

RUNASコマンドはコマンドプロンプトで使用するコマンドでありセカンダリログオンの為に使用される。

⑩ユーザーアカウント制御 (UAC:User Account Control)

Windows Vista以降で追加された機能であり、システムを保護する目的で Administratorsグループユーザーであっても標準ユーザと同様に最小限の権限で実行することができる。管理者の特権が必要なアプリケーションを実行する場合はユーザーに対して許可を求める画面が表示される為、承認して管理者特権を持つ権限をえてから実行可能となる、この管理者特権を持つ権限を得ることを昇格と呼ぶ。

⑪管理者として実行

管理者特権を持つ権限を得ること(昇格)。

⑫System

サービスがどのユーザー資格で動作するかを指定する為に使用されるアカウントのこと。

⑬依存関係

サービスによっては別のサービスが動作していないと起動できないものがありこれを依存関係と呼ぶ。

⑭サービス

サービスとは OSが提供する機能を実現する為のプログラムであり、画面に表示されないバックグラウンドで動作する。

⑮ローカルセキュリティポリシー

個々のコンピュータごとに行うセキュリティ設定であり、ローカルセキュリティポリシーで設定できる主要な項目は以下の通り。

・アカウントポリシー:ユーザーアカウントに関連する設定
・ローカルポリシー:セキュリティ監査、ユーザー権利の制限などの設定
・セキュリティが強化された Windowsファイアウォール
・公開キーのポリシー:暗号化機能やデジタル証明書、暗号化ファイルシステム関連の設定
・ソフトウェア制限ポリシー:実行を許可するソフトウェアの識別と指定
・IPsecに関する設定

⑯IPsec

IPパケットに対して暗号化と認証(出自の証明と改ざん検出)機能を提供する為の使用であり、 OSによって提供される。これにより第三者が通信路の途上でパケットを傍受しても内容をしることができない。

⑰グループポリシー

グループポリシーはActive Directoryドメイン、Active Directory ドメイン内の OU(組織単位) に対して設定するセキュリティポリシーであり、設定項目が [コンピュータの構成]と [ユーザー構成]に分かれている。

⑱OU(組織単位)

組織単位でのグループのこと。

⑲GPMC

WindowsServer2003で単独で動作するグループポリシー専用の管理ツールである。

㉑ポリシーオブジェクト

一つのドメインあるいは OUに対して複数のポリシー設定(ポリシーオブジェクト)を登録することができる。

㉑ロックアウト

頻繁にログオンに失敗したユーザーに対してログオンを拒否することをロックアウトという。

㉒セキュリティポリシーテンプレート

作成したローカルセキュリティポリシー設定内容に関する情報を .INFという拡張子を持つファイルの形で保持するもの。このファイルをエクスポートし他のコンピュータにインポートして適用すると同じセキュリティポリシー設定を再現できる。

4月 11, 2013 0

セキュリティ セキュリティの基礎知識

Categories:  MCA Security

1.情報セキュリティに対する脅威

情報セキュリティに対する脅威とは情報資産にたいしてなんらかの損害や不具合を乗じさせる事象を指します。
対象の情報は顧客情報社員名簿、学籍簿、住民台帳、アドレス帳が狙われています。

(1)盗聴の脅威

TCP/IPベースのネットワーク通信は傍受が比較的容易であり、インターネット上では組織外のネットワークと相互接続する際に盗聴の脅威にさらされています。

 

(2)改ざんの脅威

①インターネットでの外部ネットワークとの接続における脅威。

②格納された情報に対しての適切なアクセスコントロールがなされていない。

(3)なりすまし

アクセスコントロールはユーザーを特定する際に認証の機能を使うがこの認証の機能に脆弱性が存在する場合、アクセス権限をもたないユーザーが情報にアクセスしてしまう可能性があります。

 

(4)Dos

不正なデータや大量の接続要求が送りつけられることにより一時的または永久的に相手側のサービスを利用できなくするものがDOS攻撃と呼ばれています。

 

2.セキュリティリスク

リスクの種類としては大きく間接的な損害と直接的な損害にわけることができます。

(1)直接的な損害

①資産損失

②人的損失

(2)間接的な損害

③収益損失(業務の中断、信用失墜)

④責任損失(賠償責任、罰金)

 

3.リスク管理

リスク管理の考え方には次の3つがあげられます。

①リスク軽減

 脅威が発生した場合の損失をできるだけ小さくすること

②リスク回避

 リスクが発生しないようにする

③リスク容認

リスクを受け入れ対策を講じない

(1)脅威への対処法

脅威への対処法としては次の2つの方法があります。

①リスク保有

 発生する損失を組織自体の財務力で負担する方法であり、不測の事態に対応する費用を組織内部で確保する対処法です

②リスク移転

 保険等により損失負担のリスクを外部に添加する方法であり、損害保険などにより組織外に損失負担を転嫁する方法です。

(2)セキュリティ対策

情報セキュリティ対策は機密性・完全性・可用性を損なわないことを目的としています。リスク分析の流れは以下の通りです。

①対象情報資産の洗い出しと守るべき情報資産の特定

②情報資産の重要度の決定

③脅威の洗い出し

④脆弱性の洗い出し

⑤リスクの洗い出し

⑥リスクの大きさ評価

 

(3)機密性の保護

機密性の保護には個々のユーザーを識別する認証の機能と個々のユーザーに対して情報へのアクセス権限を付与する認可の機能が必要となります。また制御外のネットワークでは盗聴の脅威があるため暗号化による機密性の保護が必要です。

 

(4)完全性の保護

情報は正当性 /正確性/ 一貫性が保たれていなければなりません。情報が改ざんされて改ざんされたことに気づかない場合は完全性が保たれなくなります。完全性を保護するには適切なアクセスコントロール、正確な相手認証、改ざんを検出するデジタル署名などにより保護することができます。

 

4.暗号技術

代表的な暗号化技術としてハッシュ、共通鍵暗号方式、公開鍵暗号方式があります。デジタル署名は公開鍵暗号方式の代表的アプリケーションであり、PKIを公開鍵暗号技術の基盤として利用しています。

(1)ハッシュ

あるデータから固定長の数値を発生させるアルゴリズムであり、そのアルゴリズムを実現したプログラムがハッシュ関数、生成された値をハッシュ値と呼んでいます。別名メッセージダイジェストとも呼ばれ、 MD5(128ビット) やSHA-1( 160ビット)のアルゴリズムを使用しています。ハッシュ関数は不可逆な一方向関数を含む為、ハッシュ値から原文を再現することはできません。また受信側と送信側で通信データのハッシュ値を求めて比較することにより通信系路上でデータの改ざんが発生していないかを確かめることができます。

(2)共通鍵暗号方式

共通鍵暗号方式ではデータの暗号化と復号に同じ鍵を使用します。共有鍵暗号方式、対象鍵暗号方式とも呼ばれ、暗号の送受信をする前に安全な経路を用いて鍵を共有する必要があります。

①共通鍵暗号方式メリット

・公開鍵暗号化方式と比較すると高速でありネットワークトラフィックの暗号化に用いられる。

②共通鍵暗号方式デメリット
・暗号強度が低い

・通信相手ごとに異なる鍵が必要なので通信相手が多い場合、鍵の管理が大変である。

・通信を開始する前に安全に同じ鍵を入手するのが難しい為、通信相手が多い場合は不向きである。

③代表的アルゴリズム

・ DES

・ AES

・ RC4

(3)公開鍵暗号方式

公開鍵暗号方式では暗号化と復号で異なる鍵を用いるこの二つの鍵の一方を秘密鍵、もう一方を公開鍵と呼ばれています。暗号化の速度が遅い為一般的に暗号化速度が問題とならないデジタル署名や認証、メール暗号化などに用いられます。

①公開鍵暗号方式メリット

・暗号化強度が高い
・通信を開始する前に安全な経路で鍵を受け渡しする必要がない。
・鍵の管理が楽
・Man-in-the-middle攻撃などに対応する為、基盤に PKIが使用されている。

②公開鍵暗号方式デメリット

・低速

③代表的なアルゴリズム

・ RSA暗号
・楕円曲線暗号

 

(4)デジタル署名

デジタル署名はデータ改ざんを検出する技術で、ハッシュ関数と公開鍵暗号方式を用いて実現される技術です。ハッシュ関数によりメッセージダイジェストを作成し秘密鍵とし、もう一方で送信データを公開鍵により暗号化します。受信者は受け取ったデータからデジタル署名を取出し公開鍵で復元し、メッセージダイジェストにより照合する仕組みです。

 

(5)PKI(Public Key Infrastructure)

PKIは日本語で公開鍵基盤といわれ、電子商取引の普及により相手先の身分証明をする為のデジタル証明書を使用し取引相手を証明する為の基盤です。デジタル証明書を発行する機関のことを認証局 (CA:Certification Authority) と呼ばれています。

 

5.セキュリティポリシー

組織の情報セキュリティの基本的な考え方や運用の体制を規定し、標準的なセキュリティ対策について記述された文書をセキュリティポリシーと呼ばれています。セキュリティポリシーには PDCAのサイクルを繰り返し実行する必要があります。

(1)PDCAサイクル

①PLAN

情報セキュリティ管理計画の立案、リスク分析、リスク管理の実施、セキュリティポリシーの策定。

②DO

セキュリティポリシーに基づく対策の実施、情報セキュリティに関する社員教育。

③CHECK

セキュリティポリシーの遵守状況確認、システム稼働状況の監視、不正アクセスの監視。

④ACT

セキュリティ監査の実施、セキュリティポリシーの適切性の評価。

(2)セキュリティポリシーの構成

①基本方針(ポリシー)

・セキュリティポリシーで守るべき対象の情報資産の定義、セキュリティポリシーを遵守すべき対象の定義、セキュリティポリシーを運用する体制のこと。

②基本的な対策項目と方法(スタンダード)

・基本方針を実施するために情報システムやサービスに対して対策や利用方法など具体的に文書化する。たとえば電子メールを利用する場合の機銃として暗号化メールを使用する対策の定義やリモートアクセスで使用されるユーザー認証方法を定義する。

③具体的な作業手順 (プロシージャ)

・スタンダードを実施するための詳細な作業手順の記述。ソフトウェアの利用方法、設定方法、マニュアルとして利用できるものを作成する。

④申請書、文書様式

・情報セキュリティに関する申請書や文書様式を定義する。

 

6.セキュリティ基礎、まとめ

(1)脆弱性/脅威

脅威とは情報誌さんに対してなんらかの損害や不具合を生じさせる事象であり、脆弱性とは脅威を生み出す原因となった要因です。代表的な脅威は以下の通りです。

①盗聴
②改ざん
③なりすまし
④Dos

(2)イーサネット

現在LANでもっとも一般的に使われているネットワーク技術です。

(3)TCP/IP

インターネットで利用されているネットワークプロトコルです。

(4)Dos

DOS(Denial of Service:サービス不能攻撃)はデータや OS、アプリケーション、ネットワークそのものが不正なデータを送り付けられ、大量の接続要求を送りつけられることにより一時的にまたは永久に利用できなくするものです。

(5)セキュリティリスク

脆弱性はほぼすべての情報システムに存在するが、それにより引き起こされる脅威の出現確立ともたらされる被害は様々である。セキュリティリスクとは脅威の出現可能性と被害の大きさを表す。セキュリティリスクは大きく直接的被害と間接的被害にわけられ、さらに資産損失/ 人的損失 /収益損失/ 責任損失にわけることができます。

(6)コアビジネス

その組織にとっての中心的な活動 /サービスのこと

(7)機密性 /完全性/ 可用性の保護

情報セキュリティは機密性 /完全性/ 可用性を損なわないことを目的とします。機密性は情報に対し許可されたユーザーだけがアクセスできるようにアクセスコントロールされていることにより保つことができます。完全性は情報の正当性、正確性、一貫性を保つことであり、デジタル署名などにより完全性が保護されます。可用性は利用したいユーザーが利用したいときにその情報をができる必要があるということです。

(8)リスク分析とセキュリティ対策

リスク分析とセキュリティ対策については次の手順で行われます。

1.対象情報資産の洗い出し
2.情報資産の重要度の決定
3.脅威の洗い出し
4.脆弱性の洗い出し
5.リスクの洗い出し
6.リスクの大きさ評価

 

(9)メッセージ認証

メッセージに事前に共有された鍵をつけてハッシュ値を算出すると MAC(メッセージ認証コード)が生成されます。これは改ざん防止と認証の機能を持ち、これをメッセージ認証と呼ばれています。

(10)Man-IN-THE-MIDDLE

AとBの間にCが存在することにより暗号化通信を盗聴、改ざんが可能になることにより発生する脅威のことです。

(11)セキュリティポリシー

組織の情報セキュリティの基本的な考え方や運用体制を規定し標準的なセキュリティ対策について記述された文書をセキュリティポリシーと呼びます。セキュリティ対策は PDCAを繰り返し実行することにより策定します。

(12)PKI

PKIは Public Key Infrastructureの略語であり日本語では公開鍵基盤とよばれ、デジタル証明書を利用する為の基盤である。またデジタル証明書を発行する機関を認証局( Certification Authority:CA)と呼ばれています。

(13)ハッシュ

あるデータから固定長の数値を発生させるアルゴリズムでありアルゴリズムを実現したプログラムがハッシュ関数、生成された値をハッシュ値と呼びます。別名メッセージダイジェストとも呼ばれ MD5、SHA1 というアルゴリズムがよく使用されています。