【セキュリティ実装技術】セキュアプロトコル、セキュアOS、ネットワークセキュリティ、データベースセキュリティ、アプリケーションセキュリティ、セキュアプログラミング

セキュアプロトコル(IPSec,SSL/TLS,SSH)、認証プロトコル(SPF、DKIM、SMTPAUTH、OAuth、DNSSECなど)セキュアOS、ネットワークセキュリティ、データベースセキュリティ、アプリケーションセキュリティ、セキュアプログラミングについて解説します。

【セキュアプロトコル】IPSec,SSL/TLS,SSHなど

実装技術 機能
VPN VPNによってコンピュータはパブリックなネットワークを跨り、直接接続されたプライベートネットワークにつながっているかのように、プライベートネットワークの機能的、セキュリティ的、管理上のポリシーの利点を保ちながらデータを送受信できます。
SQLインジェクション対策 SQL文中のユーザ入力を割り当てる部分に特殊文字(?など)を使用したひな形を用意し、後から実際の値を割り当てる。それにより後から割り当てる値は、SQL文の特殊文字がエスケープされた完全な数値または文字列として扱われるため安全に実行することができます【通称:プレースホルダ】。また、データベースを扱うWebアプリケーションに必要以上の権限が与えられていると、不正なSQL文が実行される可能性が高まるため最少権限のみを持たせたアカウントで処理させることも重要な対策となります。
OP25B OP25B(Outbound Port 25 Blocking)は、ポート25番宛て(SMTP)パケットを遮断することでスパムメールを防ぐ方式です。ISP管理下の動的IPアドレスからの電子メール送信について、管理外ネットワークのメールサーバへSMTP通信を禁止し、ISPのメールサーバを介さずに送信側のメールサーバと直接コネクションを確立して送信されるスパムメールを防ぎます。
AES AES(Advanced Encryption Standard)は、アメリカ合衆国の次世代暗号方式として規格化された共通鍵暗号方式(通信当事者同士が事前に共有した同一の鍵を使用して通信)です。無線LANの暗号化規格WPA2の暗号化方式としても採用されています。
IPsec IP(Internet Protocol)を拡張してセキュリティを高め、改ざんの検知、通信データの暗号化、送信元の認証などの機能をOSI基本参照モデルのネットワーク層レベル(TCP/IPモデルではインターネット層)で提供するプロトコルです。VPNの構築にも使用されます。
HTTPS HTTP over SSL/TLSの略。WebサーバとWebブラウザがデータを安全に送受信するために、SSL/TLSプロトコルによって生成されるセキュアな接続上でデータのやり取り(HTTP通信)を行う方式です。SSL/TLSでは、サーバ(及び、クライアント)認証後、安全な方法で共通鍵を共有し、その鍵を使用して双方向の暗号化通信が行われます。
IPマスカレード 1つのグローバルIPアドレスで複数のプライベートIPアドレスを持つノードを同時にインターネットに接続させることを可能とする機能です。ブロードバンドルータは、LAN内のコンピュータがインターネットに接続する際に、コンピュータのプライベートIPアドレスとポート番号をセットで記憶します。そしてインターネットからの応答パケットを受け取ると、ルータはパケットのポート番号と記憶しているポート番号のリストを比較して、適切なコンピュータに応答パケットを届けます。このとき応答パケットのポート番号が、ルータが記憶しているどのポート番号とも異なる場合には、適切な届け先が見つからず応答パケットは破棄されることになります。このようにIPマスカレード機能をもつブロードバンドルータは、不自然(不正)なパケットを内部LANに通すことがないので、ポートスキャンや不正侵入を試みる攻撃などを遮断するセキュリティ効果が期待できます。
PPPoE機能 PPPoE(PPP over Ethernet)はPPPをイーサネット上で利用できるようにしたものです。ブロードバンドルータからプロバイダの認証と接続を行うときに使用されています(、通信経路の暗号化機能は持っていません)。
WPA Wi-Fi Protected Accessの略で、無線LANの暗号化規格です。
WPS Wi-Fi Protected Setupの略で、無線LANの親機と子機の接続設定やセキュリティ設定を容易に行う規格です。

【認証プロトコル】SPF、DKIM、SMTPAUTH、OAuth、DNSSECなど

【セキュアOS】

【ネットワークセキュリティ】

【データベースセキュリティ】

種別 概要
最小権限の原則 セキュリティ上アクセス権限は、情報資産にアクセスする人間、プロセス、プログラム等に対して、常に必要最低限の権限のみを付与するという考え方。例えば、データベースの内容を参照して検索結果を表示するだけの目的ならば、「レコードの参照権限」のみを付与するのが適切。

【アプリケーションセキュリティ】

【セキュアプログラミング】

【情報処理入門】テクノロジ系、マネジメント系、ストラテジ系、資格試験
情報処理の基礎知識(テクノロジ系、マネジメント系、ストラテジ系)や資格試験についてまとめました。

コメント

タイトルとURLをコピーしました