【セキュリティ実装技術】セキュアプロトコル、セキュアOS、ネットワークセキュリティ、データベースセキュリティ、アプリケーションセキュリティ、セキュアプログラミング

セキュアプロトコル(IPSec,SSL/TLS,SSH)、認証プロトコル(SPF、DKIM、SMTPAUTH、OAuth、DNSSECなど)セキュアOS、ネットワークセキュリティ、データベースセキュリティ、アプリケーションセキュリティ、セキュアプログラミングについて解説します。

スポンサーリンク

【セキュアプロトコル】IPSec,SSL/TLS,SSHなど

実装技術 機能
VPN VPNによってコンピュータはパブリックなネットワークを跨り、直接接続されたプライベートネットワークにつながっているかのように、プライベートネットワークの機能的、セキュリティ的、管理上のポリシーの利点を保ちながらデータを送受信できます。
AES AES(Advanced Encryption Standard)は、アメリカ合衆国の次世代暗号方式として規格化された共通鍵暗号方式(通信当事者同士が事前に共有した同一の鍵を使用して通信)です。無線LANの暗号化規格WPA2の暗号化方式としても採用されています。
IPsec IP(Internet Protocol)を拡張してセキュリティを高め、改ざんの検知、通信データの暗号化、送信元の認証などの機能をOSI基本参照モデルのネットワーク層レベル(TCP/IPモデルではインターネット層)で提供するプロトコルです。トンネルモードは、IPヘッダとデータ部分をまとめて暗号化した後、新たなIPヘッダを付加して送信します。トランスポートモードは、パケットのデータ部分だけが暗号化されます。
SSL/TLS SSLとTLSはともに安全にデータ通信を行うためのプロトコルです。最初にSSLが1.0~3.0まで登場したあと、その後継としてTLSが登場し、現在の最新はTLS1.3です。現在SSLやSSL/TLSなどと呼ばれるものは、実質的にはTLSを指してる場合が多いです。FTPなどの様々なアプリケーションに利用されて、アプリケーション層とトランスポート層(TCP)との間で暗号化する。
HTTPS HTTP over SSL/TLSの略。WebサーバとWebブラウザがデータを安全に送受信するために、SSL/TLSプロトコルによって生成されるセキュアな接続上でデータのやり取り(HTTP通信)を行う方式です。SSL/TLSでは、サーバ(及び、クライアント)認証後、安全な方法で共通鍵を共有し、その鍵を使用して双方向の暗号化通信が行われます。
IPマスカレード 1つのグローバルIPアドレスで複数のプライベートIPアドレスを持つノードを同時にインターネットに接続させることを可能とする機能です。ブロードバンドルータは、LAN内のコンピュータがインターネットに接続する際に、コンピュータのプライベートIPアドレスとポート番号をセットで記憶します。そしてインターネットからの応答パケットを受け取ると、ルータはパケットのポート番号と記憶しているポート番号のリストを比較して、適切なコンピュータに応答パケットを届けます。このとき応答パケットのポート番号が、ルータが記憶しているどのポート番号とも異なる場合には、適切な届け先が見つからず応答パケットは破棄されることになります。このようにIPマスカレード機能をもつブロードバンドルータは、不自然(不正)なパケットを内部LANに通すことがないので、ポートスキャンや不正侵入を試みる攻撃などを遮断するセキュリティ効果が期待できます。
PPPoE機能 PPPoE(PPP over Ethernet)はPPPをイーサネット上で利用できるようにしたものです。ブロードバンドルータからプロバイダの認証と接続を行うときに使用されています(、通信経路の暗号化機能は持っていません)。
APOP Authenticated POPの略。メール受信前の認証におけるパスワード送信を暗号化(MD5ハッシュ化)することで安全性を高めたプロトコル。(パスワードのみ暗号化されるため、メール本文は平文のまま送信される)
IMAPS 認証やメール本文の受信など、IMAP通信の全てをTLSによって暗号化するプロトコル。
POP3 POP3は、認証やメール本文の通信を平文で行うメール受信用のプロトコル。
SMTP Submission メール受信専用のサブミッションポート(587/TCP)を用意し、SMTP-AUTH認証を経たメールに対してのみ送信する仕組みです。
SSL-VPN SSLを利用してVPNを構築する技術です。SSL-VPN装置は、企業内ネットワークとインターネットの境に設置され、クライアントからの要求を受け付けサーバへの要求を代理するリバースプロキシの役割をもつ。そのため、同一ドメイン内に設置する場合でも、装置ごとに固有のディジタル証明書を組み込む必要があります。デジタル証明書はメーカーものだけでなく、独自に用意することができ、使用する認証局も任意に指定できます。
VXLAN レイヤ3ネットワーク内に、論理的なレイヤ2ネットワークをカプセル化して構築するプロトコル。
スポンサーリンク

【認証プロトコル】SPF、DKIM、SMTPAUTH、OAuth、DNSSECなど

実装技術 機能
DKIM 送信メールにデジタル署名を付け、受信者は発信元のDNSサーバに登録されている公開鍵を使用してデジタル署名の正当性を確認する仕組み(DomainKeys Identified Mail)。送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付与し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み
SMTP-AUTH SMTPにユーザ認証機能を追加した拡張プロトコル。メール送信時に「ユーザ名及びパスワード」「チャレンジレスポンス」などでユーザー認証を行い、認証に成功したユーザからのメールのみ送信を許可することで不正な送信要求を遮断できます。ただし、利用にはメールサーバとクライアントの双方がSMTP-AUTHに対応している必要があります。
SPF SMTP通信内で、「MAIL FROM」コマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証。
DKIM デジタル署名が付加された送信メールの正当性を受信側で検証する仕組み。発信元DNSサーバに登録されている公開鍵を使用してディジタル署名の確認を行うことで発信元メールサーバの正当性を検証する(DomainKeys Identified Mail)。
POP before SMTP メールクライアントからメールサーバへの電子メール送信は、POP接続で利用者認証済みの場合にだけ許可する。
EAP-TLS TLSの機構であるディジタル証明書を用いたサーバおよびクライアントの相互認証を行うためのEAP(Extensible Authentication Protocol)。
OAuth2.0 異なるWebサービス間で、 サードパーティアプリケーションによるHTTPサービスへの限定的なアクセスを可能にするオープンな認可フレームワークです。ユーザー本人の認可の下、サードパーティアプリケーションに対してWebサービス側からアクセストークンが発行され、サードパーティアプリケーションがユーザに代わりそれを使用してWebサービス(API)にアクセスできます(よくある連携機能)。
RADIUS 認証、利用ログの記録を単一のサーバに一元化することを目的としたプロトコル。Remote Authentication Dial In User Serviceの略。
CHAP PPPで利用でき、チャレンジレスポンス方式で認証を受ける認証プロトコル。Challenge Handshake Authentication Protocolの略。
PAP PPPで利用でき、IDとパスワードを平文で送って認証を受ける認証プロトコル。Password Authentication Protocolの略。
PPTP PPPパケットをIPデータグラムでカプセル化してVPNを作り出すプロトコル。Point-to-Point Tunneling Protocolの略。
DNSSEC DNSのドメイン応答に電子署名を与えて、正当性(改ざん等がない)ことを保証するDNSの拡張仕様(DNS Security Extensionsの略)。DNSキャッシュポイズニング攻撃に対する対策。
HSTS Webブラウザに対して、HTTPS接続を強制するHTTPレスポンスヘッダー(HTTP Strict Transport Security)。WebサイトにアクセスしたWebブラウザは、ヘッダー内で指定された期間だけ以後の接続も全てHTTPSで行う。
ダイジェスト認証 「ユーザ名」「パスワード」「ランダムな文字列」をMD5でハッシュ化して送信する認証方式。HTTPで定義されている基本的な認証方式。
ベーシック認証 「ユーザ名」「パスワード」の組みを「:(コロン)」でつないで、Base64でエンコードして送信する認証方式。認証情報が暗号化されていないため第三者に盗聴されやすい。HTTPで定義されている基本的な認証方式。

【SCポイント】

安全でないプロトコル 安全なプロトコル
TELNET、FTP SSH
BASIC認証 DIGEST認証
SMTP、SMTP-AUTH SASL
POP3、PASS APOP
IMAP IMAP4、SASL
スポンサーリンク

【セキュアOS】

【サーバセキュリティ】

メールサーバ

実装技術 機能
IP25B 他社ISPのネットワークの動的IPアドレスから自社ISPのメールサーバへのSMTP通信を制限し、不審な送信元からのメール受信を拒否
RBL 他社ISPのメール不正中継の脆弱性をもつメールサーバから、自社ISPのメールサーバに送信されたスパムメールを隔離(Real-time Blackhole List)。
OP25B OP25B(Outbound Port 25 Blocking)は、ポート25番宛て(SMTP)パケットを遮断することでスパムメールを防ぐ方式です。正規のメールは端末が契約するISPのメールサーバを経由して送信されるためパケットの宛先としてISPのメールサーバがセットされていますが、スパムメールは宛先として外部のメールサーバがセットされています。ISPのメールサーバを経由せず外向き(インターネット方向)に発信されるSMTP通信(ポート25番)を遮断することでスパムメールの投稿制限を行います。(outbound:外国行きの、市外に向かう)ただし、ISPのメールサーバを経由しない場合であっても「固定IPからの送信」「SMTP-AUTHで認証済端末からの送信」は影響を受けません。
PGP 公開鍵暗号方式(メールアドレスの証明書を使用)を使用してファイルや電子メールの「暗号化」「認証」「改ざん検知」を行うソフトウェア。S/MIMEと同様に、暗号化メールを送受信するには通信を行う両者のメールソフトがこの規格に対応していることが必要となる。公開鍵の検証にフィンガープリント(電子指紋)というハッシュ値を使用し、さらに使用者が公開鍵に信頼度を設定し合う仕組み(web of trust:信頼の輪)で公開鍵の正当性を確保しているため認証局を必要としないことが特徴。(Pretty Good Privacy)
S/MIME 公開鍵暗号技術(メールアドレスの証明書を使用)を使用して「認証」「改ざん検出」「暗号化」などの機能を電子メールソフトに提供する仕組み。送受信する当事者同士のメールソフトがこの規格に対応していること、およびディジタル証明書を通信当事者同士で共有しておく必要がある。(Secure/Multipurpose Internet Mail Extensions)
SMTP over TLS TLSによって確立された安全な伝送路上で電子メールを送信・転送するプロトコル(メールサーバの証明書を使用)。導入により「送信者」から「送信者のメールサーバ」までの通信の暗号化が保証される。さらに、相手のメールサーバもこの方式に対応していればインターネット上でも暗号化した電子メールやり取りできる。(SMTP over Transport Layer Security)
リバースプロキシ Webサーバを使ったシステムで、インターネットから受け取ったリクエストをWebサーバに中継する仕組み

PGP、S/MIME・・・「送信者-送信元サーバ-送信先サーバ-受信者間」が暗号化される、メールアドレス毎に公開鍵が必要
SMTP over TLS・・・・「送信者-送信元サーバ-送信先サーバ」が暗号化される、メールサーバー毎に公開鍵が必要となる。

【ネットワークセキュリティ】

無線LAN

種別 概要
WPS Wi-Fi Protected Setupの略で、無線LANの親機と子機の接続設定やセキュリティ設定を容易に行う規格です。
WPA 無線LANの暗号化規格で、端末とアクセスポイントとの間ででは共通鍵暗号方式による暗号化通信を行います。(Wi-Fi Protected Accessの略)
WPA2-Enterprise 無線LANの暗号化規格で、IEEE802.1X規格に沿って機器認証を行い、一定時間もしくは一定通信量ごとに暗号鍵を更新することで、第3者からの解読を防ぎながら暗号化通信をします。
EAP PPPの認証機能を拡張したプロトコル。ディジタル証明書、メッセージダイジェスト、OTPなど様々な認証方式をサポートしている。ただす、暗号化通信の機能は規定されていない。(Extensible Authentication Protocol)の略
ESSID IEEE802.11規格に沿って通信する際に、混信を避けるための仕組みです。SSIDを、複数のアクセスポイントが設置されている状況に対応するため、ネットワーク識別子として拡張したもの。(Extended Service Set Identifierの略)

【データベースセキュリティ】

種別 概要
最小権限の原則 セキュリティ上アクセス権限は、情報資産にアクセスする人間、プロセス、プログラム等に対して、常に必要最低限の権限のみを付与するという考え方。例えば、データベースの内容を参照して検索結果を表示するだけの目的ならば、「レコードの参照権限」のみを付与するのが適切。
SQLインジェクション対策 Webアプリケーションにバインド機構(SQL文中のユーザ入力を割り当てる部分にプレースホルダと呼ばれる特殊文字(?など)を使用したひな形を用意し、後から実際の値を割り当てることで、安全に実行する手法)を実装したり、データベースの操作権限を必要最小限にします。

【アプリケーションセキュリティ】

種別 概要
cookie Webサイトがクライアントのブラウザに保存する情報。Secure属性(HTTPS通信の場合のみサーバに送信)、Domain属性(送信するドメインを指定)、Expires属性(cookieの有効期限を指定)、HttpOnly属性(JavaScriptからアクセス不可)などでセキュリティを強化できる。

【セキュアプログラミング】

【その他】ブロックチェーン

用語 概要
ブロックチェーン ブロック(複数の引データをまとめたもの)をハッシュ関数で鎖のように繋いで台帳を作成し、P2Pネットワークで管理する技術(分散型台帳技術)。仮想通貨に用いられている。
暗号スイート 暗号通信システムにおいて、暗号アルゴリズムやハッシュ関数、鍵長などの設定の組み合わせのこと。例えば、TLS1.3の暗号スイートは、認証暗号アルゴリズムとハッシュアルゴリズムの組みで構成されている。
【情報処理入門】用語解説・資格試験対策まとめ
情報処理分野の用語・原理・資格試験対策について解説します。
ネットワーク
スポンサーリンク

コメント