SQLインジェクションとは、Webアプリケーションの入力データにSQLを含んだ不正なデータを入力することで、リレーショナルデータベースを不正操作をすることである。
SQLインジェクションの対策として、Webアプリケーションのソースコードに外部コマンドやSQLの埋め込みをしないことが有効である。また、オブジェクト指向設計により、フレームワークを導入してデータ操作をカプセル化するなど、SQLの直接操作を避ける方法もある。
MITB (Man-in-the-Browser) 攻撃とは主に銀行のオンラインバンキングサービスを対象にしたサイバー攻撃手法で、パソコンに感染したマルウェアがWebブラウザとWebサーバとの通信を乗っ取り、不正な操作を行う。
MITB攻撃に有効な対策として、インターネットバンキングの送金時に利用者が入力した情報と、金融機関が受信した情報に差異がないことを検証できるよう、トランザクション書名を利用する。
OSコマンドインジェクションとは、ウェブサーバへのリクエストにOSへのコマンドを注入(インジェクション)することにより、ウェブサーバ側で想定していない不正な動作をさせるサイバー攻撃手法である。
ウェブサーバが攻撃されたときに、ウェブサーバのログに記録されるHTTPリクエストヘッダの例を次に示す。
GET /cgi-bin/submit.cgi?user=;cat%20/etc/passwd HTTP/1.1
サイドチャネル攻撃とは、正規の入出力経路以外から観測した情報を使ったサイバー攻撃手法である。
たとえば、暗号化装置における暗号化処理時の消費電力を測定するなどして、当該装置内部の秘密情報を推定する攻撃がサイドチャネル攻撃である。
テンペスト攻撃とは、処理中に機器から放射される電磁波を観測して解析するサイバー攻撃手法である。
Adversarial Examples 攻撃とは、AIによる画像認識において、認識させる画像の中に人間には知覚できないノイズや微小な変化を含めることによってAIアルゴリズムを悪用し、判定結果を誤らせる攻撃である。
Pass the Hash 攻撃とは、パスワードのハッシュ値だけでログインできる仕組みを悪用してログインするサイバー攻撃手法である。
リフレクタ攻撃とは、送信元IPアドレスを攻撃対象のサーバに偽装した問い合わせを利用して、大量の応答パケットを攻撃対象に集中させ、過負荷状態にすることでサービス停止に追い込むDDoS攻撃である。攻撃者が発したパケットが踏み台となるサーバで反射(リフレクタ)されて攻撃対象に送り付ける様子から、リフレクタ攻撃と呼ばれている。
DNS、Memcached、NTP等のサービスがリフレクタ攻撃に悪用されやすい。
Smurf攻撃はDoS攻撃のひとつであり、ICMP の応答パケットを大量に発生させ、それが攻撃対象に送られるようにする。
共通鍵暗号方式とは、暗号化と復号化に同じ鍵を使用する暗号方式である。対称鍵暗号方式や秘密鍵暗号方式とも呼ばれる。
文章の送信者は、鍵で文章を暗号化する。文章の受信者は、送信者が暗号化に使用したものと同一の鍵で復号化する。
共通鍵暗号方式では、第三者に暗号文を復号化されないために、鍵は秘密にしておかなければならない。しかし、秘密にしておかなければならない鍵をどうやって送信者と受信者とで共有するかという問題がある。暗号化に必要な鍵を安全に送信するためには、鍵の送信も暗号化しなければならない。鍵の暗号化に必要な鍵も安全に送信するためには暗号化しなければならないと、堂々巡りになってしまう。
アルゴリズム | 鍵長 | 特徴 |
---|---|---|
DES (Data Encryption Standard) | 56ビット | 米国標準のブロック暗号化アルゴリズム |
3DES | 168ビット | DESで暗号化、復号を異なる鍵で行う。 |
MISTY | 128ビット | ヨーロッパ標準で採用 |
AES (Advanced Encryption Standard) | 128/192/256ビット | Rijndaelアルゴリズムによる米国の暗号化標準 |
公開鍵暗号方法は、2つの鍵を使用して暗号化と復号化を行う方法である。2つの鍵は対(ペア)になっていて、どちらか一方で暗号化したら、もう片方の鍵でしか復号化できない(暗号化に使用した鍵では復号化できない)。2つの鍵のうち、片方は秘密にしておかなければならないものの、もう片方の鍵は公開して誰に知られてもよいため、公開鍵暗号方法と呼ばれている。また、2つの異なる鍵を使用するため、非対称鍵暗号方法とも呼ばれる。
文章の受信者は、暗号化に使用する鍵(暗号鍵)を公開しておく。このため、暗号鍵は公開鍵とも呼ばれる。一方、復号化に使用する鍵(復号鍵)は秘密にしておく。このため、復号鍵は秘密鍵とも呼ばれる。
文章の送信者は、公開鍵で文章を暗号化して、受信者へ送信する。暗号鍵は公開されているので、誰でも暗号化することができる。
受信者は、暗号文を秘密鍵を使って平文(暗号化されていない文)に復号化する。秘密鍵は受信者しか知らないため、暗号化された文章を第三者が入手しても復号化することができない。このため、文章の秘密が守られる。
SAML (Security Assertion Markup Language) とは、認証情報に加え、属性情報と認可情報を異なるドメインに伝達するためのWebサービスの仕様である。
IdP (Identify Provider) が SP (Service Provider) の認証要求によって利用者認証を行い、認証成功後に発行されるアサーションをSPが検証し、問題がなければクライアントがSPにアクセスする。
公開鍵暗号方法(非対称鍵暗号方法)は、送信者を特定するための電子署名にも利用されている。
文章の送信者は、復号化に使用する鍵(復号鍵)を公開しておく。このため、復号鍵は公開鍵とも呼ばれる。一方、暗号化に使用する鍵(暗号鍵)は秘密にしておく。このため、暗号鍵は秘密鍵とも呼ばれる。
送信者は、秘密鍵で文章を暗号化して、受信者へ送信する。
文章の受信者は、暗号文を公開鍵を使って平文に復号化する。復号鍵は公開されているので、誰でも復号化することができる。
暗号鍵と復号鍵はペアであるので、復号鍵で平文に復号できた暗号文は、対となる暗号鍵(秘密鍵)で暗号化したものである。秘密鍵は送信者しか知らないため、送信者が特定できる。
認証局は、有効期限内のディジタル証明書のシリアル番号を CRL (Certificate Revocation List) に記載することがある。
PQC (Post-Quantum Cryptography) とは、量子コンピュータを用いた攻撃に対しても、安全性を保つことができる暗号方式である。
Webビーコンとは、Webページなどに小さい画像を埋め込み、利用者のアクセス動向などの情報を収集する仕組みである。
リスクとは、脅威が情報資産の脆弱性を利用して、情報資産への損失または損害を与える可能性のことである。脆弱性は、システムが内部に持っている弱みで、そこを攻撃されると、システム全体に深刻な影響が及ぼされる。
情報セキュリティには、機密性、完全性、可用性の3つの概念がある。
情報システムのリスク分析の順序
情報セキュリティポリシは、「情報セキュリティ基本方針」、「情報セキュリティ対策基準」及び「情報セキュリティ実施手順」の3階層の文書構成をとるのが一般的である。
対策基準で定めた規定を実施する際に、取るべき手順を定めている文書。
ISMS (Information Security Management System、情報セキュリティマネジメントシステム)は、情報セキュリティ全般に渡った管理システムである。
ISMSでは、情報セキュリティは3つの事項を維持するものとして特徴づけている。
JIS Q 27001 (ISO/IEC 27001) とは、ISMSの確立、導入、運用、監視、レビュー、維持及び管理するためのモデルを提供するための国際規格である。
CRYPTECの主な活動内容は、暗号記述の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行っている。
評価保証レベル (Evaluation Assurance Level: EAL)とは、得られる保証のレベルと、そのレベルの保証を得るためのコストと可能性を比較考量する段階的な尺度である。
EAL1 | 機能テスト |
EAL2 | 構造テスト |
EAL3 | 方式テスト、及びチェック |
EAL4 | 方式設計、テスト、及びレビュー |
EAL5 | 準形式的設計、及びテスト |
EAL6 | 準形式的検証済み設計、及びテスト |
EAL7 | 形式的検証済み設計、及びテスト |
ソーシャルエンジニアリングとは、技術的な要素の無い、人間の心理を突いた不正行為のことである。
ファイアウォール とは、外部のネットワークから内部のネットワークに侵入されるのを防ぐシステムである。
ルールに適合するパケットに対して、通信の許可や不許可を制御する。
ステートフルインスペクションはパケットフィルタリングを拡張した方式であり、過去に通過したパケットから通信セッションを認識し、受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。
アプリケーション層のプロトコルの内容まで含めて検査する。一般的にはプロキシサーバと呼ばれている。
Webアプリケーションのやりとりを管理することによって、不正侵入を防ぐことのできるファイアウォールのことである。
サイバーキルチェーンとは、標準型攻撃における攻撃者の行動をモデル化したものである。攻撃者の視点から、攻撃の手口を次に示す7段階に分類している。
TLS (Transport Layer Security) で使用する個人認証用のデジタル証明書は、ICカードにも格納することができ、利用するPCを特定のPCに限定する必要はない。
SECURITY ACTION とは、安全・安心なIT社会を実現するために創設された制度であり、IPA「中小企業の情報セキュリティ対策ガイドライン」に沿った情報セキュリティ対策に取り組むことを中小企業などが自己宣言するものである。
NOTICEとは、総務省及び国立研究開発法人(NICT)が2019年月から実施している取組みであり、国内のグローバルIPアドレスを有するIoT機器に対して、容易に推測されるパスワードを入力することによって、サイバー攻撃に悪用されるおそれのある機器を調査し、インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行っている。
経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドライン」とは、経営者が認識すべきサイバーセキュリティに関する原則と、経営者がリーダシップを発揮して取り組むべき項目を取りまとめたものである。
Paas (Platform as a Service) において、クラウドサービスカスタマは次に示す責務を負う。
Paas において、クラウドサービスプロバイダは次に示す責務を負う。
DNSにおいてDNS CAA (Certification Authority Authorization) レコードを使うことにより、不正なサーバ証明書の発行を防ぐことができる。
DNSSEC (Domain Name System Security Extensions) とは、DNSに対してデータ作成元の認証やデータの完全性を確認できるよう仕様を拡張するものである。
DNSSECにより、DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証ができる。
WebブラウザがWebサイトにアクセスしたときに、Webサーバが返すHTTPレスポンスヘッダ内で Strict-Transport-Security が指定されていると、以降の指定された期間、Webブラウザは当該サイトには全てHTTPSによって接続する。
IEEE 802.1X を使った認証システムは、次に示すものから構成される。
FIPS PUB 140-3 とは、暗号モジュールのセキュリティ要求事項である。
cookie に Security 属性を設定すると、URL 内のスキームが https のときだけ、Webブラウザから cookie が送出される。
WPA3-Enterprise は、IEEE 802.1X の規格に沿った利用者認証および動的に配布される暗号化鍵を用いた暗号化通信を実装するための規格である。
EAP-TLS は、ディジタル証明書による認証サーバとクライアントの相互認証を行う。
ハッシュ関数の性質のひとつである衝突発見困難性とは、ハッシュ値が一致する2つのメッセージの発見に要する計算量が大きいことによる、発見の困難性のことである。
NISTが策定したAESにおける鍵長の条件は、128ビット、192ビット、256ビットから選択する。
CVE (Common Vulnerabilities and Exposures) 識別子とは、製品に含まれる脆弱性を識別するための識別子である。
サイバー情報共有イニシアティブ (J-CSIP) とは、標準型サイバー攻撃などに関する情報を参加組織間で共有し、高度なサイバー攻撃対策につなげる取組みである。
CASB (Cloud Access Security Broker) を利用すると、クラウドサービス利用組織の管理者が、組織の利用者が利用している全てのクラウドサービスの利用状況の可視化を行うことによって、許可を得ずにクラウドサービスを利用しているものを特定できる。
ビヘイビア法とはマルウェアの検出手法であり、マルウェアの感染や発病によって生じるデータの読み込みの動作、書き込みの動作、通信などを監視して、マルウェアを検出する。
OP25B (Outbound Port 25 Blocking) とは、自ネットワークから外部ネットワークへの通信のうち、メールの送信に使われる25番ポートを使った通信を遮断することによって、スパムメールの送信を抑制する仕組みのことである。