4月 11, 2013

セキュリティ セキュリティの基礎知識

Categories:  MCA Security

1.情報セキュリティに対する脅威

情報セキュリティに対する脅威とは情報資産にたいしてなんらかの損害や不具合を乗じさせる事象を指します。
対象の情報は顧客情報社員名簿、学籍簿、住民台帳、アドレス帳が狙われています。

(1)盗聴の脅威

TCP/IPベースのネットワーク通信は傍受が比較的容易であり、インターネット上では組織外のネットワークと相互接続する際に盗聴の脅威にさらされています。

 

(2)改ざんの脅威

①インターネットでの外部ネットワークとの接続における脅威。

②格納された情報に対しての適切なアクセスコントロールがなされていない。

(3)なりすまし

アクセスコントロールはユーザーを特定する際に認証の機能を使うがこの認証の機能に脆弱性が存在する場合、アクセス権限をもたないユーザーが情報にアクセスしてしまう可能性があります。

 

(4)Dos

不正なデータや大量の接続要求が送りつけられることにより一時的または永久的に相手側のサービスを利用できなくするものがDOS攻撃と呼ばれています。

 

2.セキュリティリスク

リスクの種類としては大きく間接的な損害と直接的な損害にわけることができます。

(1)直接的な損害

①資産損失

②人的損失

(2)間接的な損害

③収益損失(業務の中断、信用失墜)

④責任損失(賠償責任、罰金)

 

3.リスク管理

リスク管理の考え方には次の3つがあげられます。

①リスク軽減

 脅威が発生した場合の損失をできるだけ小さくすること

②リスク回避

 リスクが発生しないようにする

③リスク容認

リスクを受け入れ対策を講じない

(1)脅威への対処法

脅威への対処法としては次の2つの方法があります。

①リスク保有

 発生する損失を組織自体の財務力で負担する方法であり、不測の事態に対応する費用を組織内部で確保する対処法です

②リスク移転

 保険等により損失負担のリスクを外部に添加する方法であり、損害保険などにより組織外に損失負担を転嫁する方法です。

(2)セキュリティ対策

情報セキュリティ対策は機密性・完全性・可用性を損なわないことを目的としています。リスク分析の流れは以下の通りです。

①対象情報資産の洗い出しと守るべき情報資産の特定

②情報資産の重要度の決定

③脅威の洗い出し

④脆弱性の洗い出し

⑤リスクの洗い出し

⑥リスクの大きさ評価

 

(3)機密性の保護

機密性の保護には個々のユーザーを識別する認証の機能と個々のユーザーに対して情報へのアクセス権限を付与する認可の機能が必要となります。また制御外のネットワークでは盗聴の脅威があるため暗号化による機密性の保護が必要です。

 

(4)完全性の保護

情報は正当性 /正確性/ 一貫性が保たれていなければなりません。情報が改ざんされて改ざんされたことに気づかない場合は完全性が保たれなくなります。完全性を保護するには適切なアクセスコントロール、正確な相手認証、改ざんを検出するデジタル署名などにより保護することができます。

 

4.暗号技術

代表的な暗号化技術としてハッシュ、共通鍵暗号方式、公開鍵暗号方式があります。デジタル署名は公開鍵暗号方式の代表的アプリケーションであり、PKIを公開鍵暗号技術の基盤として利用しています。

(1)ハッシュ

あるデータから固定長の数値を発生させるアルゴリズムであり、そのアルゴリズムを実現したプログラムがハッシュ関数、生成された値をハッシュ値と呼んでいます。別名メッセージダイジェストとも呼ばれ、 MD5(128ビット) やSHA-1( 160ビット)のアルゴリズムを使用しています。ハッシュ関数は不可逆な一方向関数を含む為、ハッシュ値から原文を再現することはできません。また受信側と送信側で通信データのハッシュ値を求めて比較することにより通信系路上でデータの改ざんが発生していないかを確かめることができます。

(2)共通鍵暗号方式

共通鍵暗号方式ではデータの暗号化と復号に同じ鍵を使用します。共有鍵暗号方式、対象鍵暗号方式とも呼ばれ、暗号の送受信をする前に安全な経路を用いて鍵を共有する必要があります。

①共通鍵暗号方式メリット

・公開鍵暗号化方式と比較すると高速でありネットワークトラフィックの暗号化に用いられる。

②共通鍵暗号方式デメリット
・暗号強度が低い

・通信相手ごとに異なる鍵が必要なので通信相手が多い場合、鍵の管理が大変である。

・通信を開始する前に安全に同じ鍵を入手するのが難しい為、通信相手が多い場合は不向きである。

③代表的アルゴリズム

・ DES

・ AES

・ RC4

(3)公開鍵暗号方式

公開鍵暗号方式では暗号化と復号で異なる鍵を用いるこの二つの鍵の一方を秘密鍵、もう一方を公開鍵と呼ばれています。暗号化の速度が遅い為一般的に暗号化速度が問題とならないデジタル署名や認証、メール暗号化などに用いられます。

①公開鍵暗号方式メリット

・暗号化強度が高い
・通信を開始する前に安全な経路で鍵を受け渡しする必要がない。
・鍵の管理が楽
・Man-in-the-middle攻撃などに対応する為、基盤に PKIが使用されている。

②公開鍵暗号方式デメリット

・低速

③代表的なアルゴリズム

・ RSA暗号
・楕円曲線暗号

 

(4)デジタル署名

デジタル署名はデータ改ざんを検出する技術で、ハッシュ関数と公開鍵暗号方式を用いて実現される技術です。ハッシュ関数によりメッセージダイジェストを作成し秘密鍵とし、もう一方で送信データを公開鍵により暗号化します。受信者は受け取ったデータからデジタル署名を取出し公開鍵で復元し、メッセージダイジェストにより照合する仕組みです。

 

(5)PKI(Public Key Infrastructure)

PKIは日本語で公開鍵基盤といわれ、電子商取引の普及により相手先の身分証明をする為のデジタル証明書を使用し取引相手を証明する為の基盤です。デジタル証明書を発行する機関のことを認証局 (CA:Certification Authority) と呼ばれています。

 

5.セキュリティポリシー

組織の情報セキュリティの基本的な考え方や運用の体制を規定し、標準的なセキュリティ対策について記述された文書をセキュリティポリシーと呼ばれています。セキュリティポリシーには PDCAのサイクルを繰り返し実行する必要があります。

(1)PDCAサイクル

①PLAN

情報セキュリティ管理計画の立案、リスク分析、リスク管理の実施、セキュリティポリシーの策定。

②DO

セキュリティポリシーに基づく対策の実施、情報セキュリティに関する社員教育。

③CHECK

セキュリティポリシーの遵守状況確認、システム稼働状況の監視、不正アクセスの監視。

④ACT

セキュリティ監査の実施、セキュリティポリシーの適切性の評価。

(2)セキュリティポリシーの構成

①基本方針(ポリシー)

・セキュリティポリシーで守るべき対象の情報資産の定義、セキュリティポリシーを遵守すべき対象の定義、セキュリティポリシーを運用する体制のこと。

②基本的な対策項目と方法(スタンダード)

・基本方針を実施するために情報システムやサービスに対して対策や利用方法など具体的に文書化する。たとえば電子メールを利用する場合の機銃として暗号化メールを使用する対策の定義やリモートアクセスで使用されるユーザー認証方法を定義する。

③具体的な作業手順 (プロシージャ)

・スタンダードを実施するための詳細な作業手順の記述。ソフトウェアの利用方法、設定方法、マニュアルとして利用できるものを作成する。

④申請書、文書様式

・情報セキュリティに関する申請書や文書様式を定義する。

 

6.セキュリティ基礎、まとめ

(1)脆弱性/脅威

脅威とは情報誌さんに対してなんらかの損害や不具合を生じさせる事象であり、脆弱性とは脅威を生み出す原因となった要因です。代表的な脅威は以下の通りです。

①盗聴
②改ざん
③なりすまし
④Dos

(2)イーサネット

現在LANでもっとも一般的に使われているネットワーク技術です。

(3)TCP/IP

インターネットで利用されているネットワークプロトコルです。

(4)Dos

DOS(Denial of Service:サービス不能攻撃)はデータや OS、アプリケーション、ネットワークそのものが不正なデータを送り付けられ、大量の接続要求を送りつけられることにより一時的にまたは永久に利用できなくするものです。

(5)セキュリティリスク

脆弱性はほぼすべての情報システムに存在するが、それにより引き起こされる脅威の出現確立ともたらされる被害は様々である。セキュリティリスクとは脅威の出現可能性と被害の大きさを表す。セキュリティリスクは大きく直接的被害と間接的被害にわけられ、さらに資産損失/ 人的損失 /収益損失/ 責任損失にわけることができます。

(6)コアビジネス

その組織にとっての中心的な活動 /サービスのこと

(7)機密性 /完全性/ 可用性の保護

情報セキュリティは機密性 /完全性/ 可用性を損なわないことを目的とします。機密性は情報に対し許可されたユーザーだけがアクセスできるようにアクセスコントロールされていることにより保つことができます。完全性は情報の正当性、正確性、一貫性を保つことであり、デジタル署名などにより完全性が保護されます。可用性は利用したいユーザーが利用したいときにその情報をができる必要があるということです。

(8)リスク分析とセキュリティ対策

リスク分析とセキュリティ対策については次の手順で行われます。

1.対象情報資産の洗い出し
2.情報資産の重要度の決定
3.脅威の洗い出し
4.脆弱性の洗い出し
5.リスクの洗い出し
6.リスクの大きさ評価

 

(9)メッセージ認証

メッセージに事前に共有された鍵をつけてハッシュ値を算出すると MAC(メッセージ認証コード)が生成されます。これは改ざん防止と認証の機能を持ち、これをメッセージ認証と呼ばれています。

(10)Man-IN-THE-MIDDLE

AとBの間にCが存在することにより暗号化通信を盗聴、改ざんが可能になることにより発生する脅威のことです。

(11)セキュリティポリシー

組織の情報セキュリティの基本的な考え方や運用体制を規定し標準的なセキュリティ対策について記述された文書をセキュリティポリシーと呼びます。セキュリティ対策は PDCAを繰り返し実行することにより策定します。

(12)PKI

PKIは Public Key Infrastructureの略語であり日本語では公開鍵基盤とよばれ、デジタル証明書を利用する為の基盤である。またデジタル証明書を発行する機関を認証局( Certification Authority:CA)と呼ばれています。

(13)ハッシュ

あるデータから固定長の数値を発生させるアルゴリズムでありアルゴリズムを実現したプログラムがハッシュ関数、生成された値をハッシュ値と呼びます。別名メッセージダイジェストとも呼ばれ MD5、SHA1 というアルゴリズムがよく使用されています。

Leave a Comment

You must be logged in to post a comment.