【情報セキュリティ】情報の機密性・完全性・可用性

情報セキュリティとは?情報の機密性・完全性・可用性などについてまとめました。

【情報の機密性・完全性・可用性】

【脅威,マルウェア・不正プログラム】

種別 概要
ランサムウェア 電子ファイルを勝手に暗号化し、正常に利用できなくするマルウェアです。。
トロイの木馬 正常動作しているように見せかけ、バックグラウンドで悪意のある動作を行うように仕組まれたマルウェアです。
ワーム ネットワークやリムーバブルメディアなどを媒介して、他のコンピュータへ感染を広げるマルウェアです。
ルートキット(rootkit) 攻撃者がシステムへ不正侵入した後に侵入した痕跡を隠蔽したり、再び侵入するためのバックドアを設置するための機能をまとめたソフトウェア群です。キーロガー、パスワード窃盗ツール、クレジットカードやオンラインバンキングの情報を盗むモジュール、DDoS攻撃用のボット、セキュリティソフトウェアを無効にする機能など、多数の悪意あるツールが含まれています。

【脆弱性】

【不正のメカニズム】

用語 概要
ポートスキャン コンピュータやルータのアクセス可能な通信ポートを外部から調査する行為です。スキャン対象からの応答でOSの種類、稼働しているサービスとそのバージョンなどの情報が得られるため、不正アクセスを行うための下調べや、脆弱性検査などの目的で実施されます。

【攻撃者の種類・動機】

【サイバー攻撃】SQL インジェクション、クロスサイトスクリプティング、DoS攻撃、フィッシング、パスワードリスト攻撃、標的型攻撃

攻撃種別|概要
–|–
DNSリフレクション|DNSサーバにわざとアクセスを反射(リフレクション)させて攻撃する手法です。送信元のIPアドレスを攻撃対象にすることで、DDoS攻撃をしかけます。送信元IPアドレスを攻撃対象の物に偽装し、DNSサーバに対してアクセスします。このとき、DNSサーバは問い合わせる時よりも、大きなパケットを攻撃対象宛(偽装したIPアドレスの本来の所有者)に返します。このように、DNSの問い合わせにより、送信元のIPアドレスを攻撃対象にすることで、DDoS攻撃をしかける手法です。パケットが増幅されて返ってくることからDNSアンプ攻撃とも呼ばれます。
ブルートフォース攻撃|特定の文字数および文字種で設定される可能性のあるすべての組合せを試すことで解読を試みる攻撃手法。総当たり攻撃ともいわれる。
C&Cサーバ|攻撃者がマルウェアに対して指令となるコマンドを送信し、マルウェアが仕掛けられたコンピュータの動作を制御するために用いられる外部の指令サーバです(コマンド&コントロールサーバ)。
DNSキャッシュポイズニング攻撃|PCが参照するDNSサーバに偽のドメイン情報を注入して,利用者を偽装されたサーバに誘導する。
DNSリフレクション攻撃|攻撃対象のサービスを妨害するために,攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
線形解読法|平文と暗号文と鍵の関係を表す代数式を手掛かりにして鍵を見つけ出す、暗号化関数の線形近似式を発見するパスワード解読攻撃手法。
関連鍵攻撃|平文の一部分の情報と,暗号文の一部分の情報との間の統計的相関を手掛かりにして鍵を見つけ出すRC4の解読攻撃手法。
差分解読法|入力値の差分が出力値の差分にどのような影響を与えるかを分析し、平文を一定量変化させたときの暗号文の変化から鍵を見つけ出すパスワード解読攻撃手法。
APT攻撃|Advanced Persistent Threatsの略。持続的標的型攻撃とも呼ばれ、ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組合せ、ソーシャルエンジニアリングにより特定企業や個人をねらって行われる執拗なサイバー攻撃の総称。攻撃者はまずメールや外部メディア等で組織内部の端末へ不正侵入し、そこから組織の内部へ更に入り込んでいきます。最終的には組織の重要情報(知財情報や個人情報)を盗み出したりするのが目的です。普通の標的型攻撃と異なり、準備や攻撃が長期間に渡って行われる。
サイドチャネル攻撃|漏洩電磁波・電力消費等の物理デバイスから得られる物理量やエラーメッセージから,攻撃対象の機密情報(暗号鍵推定等)を得る非破壊攻撃手法。
スキャベンジング|企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つ。不用意に捨てられた機密情報の印刷物をオフィスの紙ゴミから探し出す。
MITM攻撃|Man in the middle attack(中間者攻撃)の略。通信を行う2者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,気付かれることなく盗聴する。
ピクチャパスワードとは、任意の画像上とその画像上で行われるタッチジェスチャーやマウスのポインティング操作などの組合せで認証を行う方式です。パスワードリスト攻撃は、特定の端末ではなくWebサービスへの不正ログインを狙う攻撃なので誤りです。
パスワードリスト攻撃|Webサイトから流出した利用者IDとパスワードのリストを使って、他のWebサイトに対してログインを試行する攻撃です。複数のサイトで同様のID・パスワードの組合せを使用している利用者が多いという傾向を悪用したものです。
辞書攻撃|一般的な単語や人名からパスワードのリストを作成し、不正ログインを試行する攻撃です。
レインボーテーブル攻撃|想定され得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する攻撃手法です。

【暗号技術】共通鍵、公開鍵、秘密鍵、RSA、AES、ハイブリッド暗号、ハッシュ関数

種別 概要
はじめに 暗号化・復号化・平文・暗号鍵・復号鍵の意味シーザー暗号XOR暗号
AES-256 共通鍵暗号方式であるAESのうち、鍵長256ビットの暗号鍵を用いて暗号化/復号を行う方式。正しい平文に戻すためには最大で2^256回の試行が必要。(平均試行回数は2^128回)
公開鍵暗号方式 暗号化して送信することは誰でもでき、暗号化された内容を復号できるのは正規の受信者だけという特徴をもつ暗号方式です。送信者は「受信者の公開鍵」で送信データを暗号化し、受信者は「受信者の秘密鍵」で復号します。
共通鍵暗号方式 秘密鍵暗号方式とも呼ばれ、「暗号鍵」「復号鍵」が同じものとなります。VPNなど送信者と受信者が固定される場面で利用され、送信者と受信者に同じ鍵を設定すれば秘密鍵が外部に漏れる心配はなく、公開鍵暗号方式よりも計算コスト(主に復号時間)も低いというメリットがあります。ただし、不特定の相手とやり取りする場面では、秘密鍵を安全には渡せないため利用できません。そこで、近年では鍵交換時だけ公開鍵暗号方式を使って秘密鍵を渡す「ハイブリッド暗号方式」がよく利用されています。
ハイブリッド暗号方式 「共通鍵暗号方式は鍵の共有が安全ではない」「公開鍵暗号方式は暗号化復号化の処理時間コストが高い」という双方の欠点を補う暗号方式です。共通鍵を交換するときのみ「公開鍵暗号方式」を使用することで、不特定の相手が安全に共通の鍵を使用でき、それ以後の通信は共通鍵暗号方式に切り替えて共通鍵を使って行うことで処理時間コストを抑える仕組みです。送信者は受信者の「公開鍵」で「共通鍵」を暗号化して送付します。受信者は自分の「秘密鍵」でそれを復号化します。すると送信者と受信者が安全に「共通鍵」を持つことができます。SSLなどに用いられています。

【認証技術】ディジタル署名、メッセージ認証、タイムスタンプ

用語 概要
サーバ証明書 暗号化通信前に、サーバからクライアントに送られる公開鍵に対するデジタル証明書です。認証局(CA)によって発行され、認証を受けた公開鍵が含まれていて、その信頼性(改ざんがないことを)を担保するために認証局のデジタル署名が付されています。
タイムスタンプ 対象データのハッシュ値と、信頼できる第三者機関である時刻認証局(TSA:Time Stamp Authority)が発行する時刻情報を含んだものです。検証時には、電子データのハッシュ値とタイムスタンプ内のハッシュ値を比較し、データの「存在性」「完全性」を確認できます。

【利用者認証】利用者 ID・パスワード、多要素認証、アイデンティティ連携(OpenID 、SAML)

用語 概要
認証サーバ 外部からインターネットを経由して社内ネットワークにアクセスする際に、CHAPなどのプロトコルで利用者認証時のパスワードの盗聴を防止したりチャレンジレスポンス方式を採用したワンタイムパスワードを用いて利用者認証時のパスワードの盗聴を防止します。

【生体認証技術】

生体認証技術とは、人に固有な身体の部位(指紋、声紋、虹彩など)や筆跡などの行動パターンを事前にシステムに登録し、認証時に照合することで本人を認証する技術です。
コンピュータシステム上で照合作業を行うため、本人であっても認証されない確率(本人拒否率、FRR:False Rejection Rate)と間違えて他人を認証してしまう確率(他人受入率、FAR:False Acceptance Rate)がある割合で生じます。
この2つはトレードオフの関係となり、生体認証システム導入の際には、どちらの確率も許容範囲内に収めるようなしきい値を設定するのが一般的です。

【公開鍵基盤】PKI、認証局、ディジタル証明書

用語 解説
認証局 認証局(CA:Certification Authority)は、デジタル証明書(電子証明書)の登録、発行、失効をおこなう第三者機関です。
VA VA(Validation Authority:証明書有効性検証局)の略で、ディジタル証明書の失効状態についての問合せに応答します。
AA AA(Attribute Authority:属性認証局)の略で、認証局に代わって属性証明書を発行します。
RA RA(Registration Authority:登録局)の略で、本人確認を行ってディジタル証明書の発行を指示します。
CRL CRL(Certificate Revocation List:証明書失効リスト)は、公開鍵基盤(PKI)において失効した(信用性のない)公開鍵証明書のリストです。信用性がなくなる失効理由としては、秘密鍵の漏洩・紛失、証明書の被発行者の規則違反などで、どれも認証の役に立たなくなったということが共通しています。PKIを使用したアプリケーションが証明書の有効性を検証するために使われています。

【政府認証基盤】GPKI、ブリッジ認証局

【その他】

用語 概要
セキュリティバイデザイン 「情報セキュリティを企画・設計段階から確保するための方策」と定義されている。開発プロセスの早期段階からセキュリティを考慮することで、後付けでセキュリティ機能を追加する場合と比べて、①手戻りが少ない、②低コスト、③保守性の向上 などの利点があります。特にIoTシステムなどでセキュリティバイデザイン思想で設計、構築、運用することが推奨されています。
TKIP Temporal Key Integrity Protocolの略。無線ネットワーク規格で使われているセキュリティプロトコルです。使用する鍵を一定時間ごとに更新することで暗号解読に対する耐性を高めた方式です。
関連記事
1 【情報処理入門】基礎用語・原理・資格まとめ

コメント

タイトルとURLをコピーしました