CISSP勉強メモ
CISSP勉強メモ

脅威

バッファ・オーバーフロー
隠れチャンネル 意図されてない通信経路を使う、組織のセキュリティポリシーを違反するチャンネル
・タイミングチャンネル:処理が実行されるタイミングを利用して意図されてない方法で情報を発信する
・ストレージチャンネル:保存されたデータの変更を利用して、と意図されてない方法で情報を発信する
残存データ 磁気媒体が上書きまたは消磁処理されたあと、その媒体にデータの一部が残っている時に発生する
ごみ箱漁り 破棄された情報にアクセスし、ユーザーのID、パスワード、その他のデータを入手する行為
盗聴 スニファーを使ってパケット通信または通信リンクの傍受を行い、伝送されたデータを読取る行為
電波の傍受 ハードウェアから放射される電気信号を傍受
ハッカー データに権限のないアクセスを行う人物
詐称 権限のないアクセスを行うために、権限のあるユーザーになりすます行為
内部の侵入者 外部からの侵入者と同じ技術を使用して、本来はアクセス権がないシステム及び情報にアクセスする
処理能力の損失 自然災害、ユーザーの過失、悪意あるコード、ハードウェア・ソフトウェアの技術的欠陥などにようる損失も服務
悪意あるコード システムにアクセスでき、実行されるとセキュリティポリシーに違反するコード
なりすまし・中間者攻撃 ネットワーク接続されたコンピュータに送信されるパケットを何者かが傍受し操作する
モバイルコード 遠隔地の発信元からネットを介してローカルに転送され、ローカル上で実行されるソフトウェア
オブジェクトの再利用 新しいオブジェクトが機密データを利用できることを指す
パスワードハッカー パスワードファイルに保存されたパスワードを暴くために利用されるソフトウェア
リプレイ攻撃 パケットを受動的に取り込み、そのあと再送することにより、権限のない活動を行為
ショルダーサーフィン モニターを直接目視することにより、機密情報を入手する行為
スニファー ソフトウェアでネットワーク上の移動するパケットを読込みむ行為
ソーシャルエンジニアリング 権限のないユーザーが権限のあるユーザーを騙してシステムにアクセスに必要な情報を入手する行為
スプーフィング IPアドレスを偽装する行為
スパイ (音声を映し出すことのできる)カメラ、マイク、光線を使用した高度先端技術による盗聴行為
目標を定めたデータマイニング 特定の情報を求めてDB内を検索する行為
トラップドア システム開発者がユーザー認証を迂回するために使用する入り口。不注意で使用可能な状態なこと。
トンネリング 低レベルのシステム機能にアクセスし、セキュリティシステムへの侵入を試みるデジタル攻撃。

攻撃への対応策

DDoS攻撃
  • 攻撃者は攻撃用のソフトウェアをインストールするホストを見つけようと、DNS検索か、pingコマンドを使用するので、監査ログで発見できることがある。
  • 攻撃用ソフトウェアがインストールされていないか確認する
  • ファイアウォールをインストールして設定し、送信すべきトラフィックだけがパケットとして送信されるよう、ルールによって制限する
  • ファイアウォールまたは侵入検知システムを設定し、DDoS攻撃を識別、遮断する
死のピング攻撃
  • この問題解決用パッチの適用
  • ICMPエコー要求パケットを遮断するようファイアウォールを設定する
スマーフ攻撃
SYNフラッド攻撃
悪意あるコードへの対応策

シングルサインオン

シングルサインオンとは,1回の認証で複数のサービスを利用できるようにするしくみのこと。
  • ケルベロス
    • 複数のサーバーと複数のユーザーの認証情報を一元管理するのに適したしくみである
    • やりとりする通信を暗号化する機能もある
    • ケルベロス認証を実装するには,コンポーネント間で時刻同期が必要
  • SESAME

アクセス制御

MAC(強制アクセス制御) 予め設定されたレベル分けによって,強制的に読み書きの権限が制限される
DAC(任意アクセス制御) 情報オーナーがアクセス権限を設定する
RBAC(ロールベースのアクセス制御) ロール(役割)によって実行できる操作が制限される

アクセスコントロール

アクセスコントロールリスト 個人に割り当て
アクセスコントロールマトリックス サブジェクトがオブジェクトがアクセスできるかを示す
ケイパビリティ サブジェクトがオブジェクトに何ができるのかを示す

IDS

ホスト型 ソフトウェアで提供され、サーバにインストールする。
不正アクセスのOSレベルでの阻止や、アクセスログの改竄防止、サーバの自動シャットダウンなどの機能を持つ。
基本的には管理者権限の乗っ取りに対して防御する。
ネットワーク型 専用のアプライアンスという形で提供され、ネットワークの境界に設置する。
ウイルスやDoS攻撃などのパターンがあらかじめ記憶されており、
侵入検知時には通信の遮断などの防御をリアルタイムに行ない
管理者への通知やログ記録の機能を持つ。
検知方法の種類
アノマリ型 異常検知法
「○○○○という状態が正常である」といった情報を何らかの手段により蓄積しておき
(例えば管理者が定義した「正常な状態」において、統計情報を収集する)、
それと現在の状況を照らし合わせる
シグネチャ型 不正検知法
「○○○○の場合は不正アクセスである」といった情報(シグネチャ)と現在のパケットを照らし合わせる
誤検知
フォールスポジティブ(False Positive) 正当なパケットを不正なものであると判断してしまうこと。
フォールスネガティブ(False Negative) 不正なパケットであるにもかかわらず見逃してしまうこと。

  • 侵入後の対策
    • F/Wで遮断
    • リソースへのアクセス拒否
    • 侵入行為を報告
    • IDS設定の更新
  • アノマリーノ
    • ログオンを何度も失敗
    • 不審な時間にログイン
    • 不審なシステムロック
    • 一般的ではないエラーメッセージ
    • 予期しないシャットダウンや再起動
「アクセス制御」をウィキ内検索
最終更新:2008年11月10日 18:27