CBK#01 アクセスコントロールのシステムと方法論
(Access Control Systems & Methodology)
- 1.1 セキュリティ原則 (C.I.A)
- 1.2 識別 (Identification)
- 1.2.1 生態認証/バイオメトリックス(Biometrics)
- 1.2.2. 生態認証の種類/バイオメトリックシステムのタイプ
- 1.3.1. 認証の種類
- 1.4 承認(Authorization)
- 1.5 シングルサインオン(Single Sign-on)
- 1.5.1. スクリプティング (Scripting):
- 1.5.2. ケルベロス (Kerberos):
- 1.5.3. SESAME:
- 1.5.4. シン・クライアント (Thin Clients):
- 1.5.5. ディレクトリーサービス (Directory Service)
- 1.5.6. セキュリティドメイン (Security Domain)
- 1.6 アクセス制御モデル (Access Control Models)
- 1.6.1. 任意アクセス制御 (DAC: Discretionary Access Control):
- 1.6.2. 強制アクセス制御 (MAC: Mandatory Access Control):
- 1.6.3. 機密ラベル (Sensitivity labels):
- 1.6.4. データへのアクセスルールに基づくアクセス制御
- 1.6.5. 役割(機能)に基づくアクセス制御 (RBAC: Role-based access control):
- 1.7. アクセス制御の手法と技術 (Access Control Techniques and Technologies)
- 1.7.1. 3種類の制限されたインターフェイス
- 1.7.2. アクセス制御マトリックス (Access Control Matrix):
- 1.7.3. ケイパビリティーテーブル (Capability Tables):
- 1.7.4. アクセスコントロールリスト (Access Control Lists):
- 1.7.5. 内容依存アクセス制御 (Content-Dependent Access Control):
- 1.8 アクセスコントロール管理(Access Control Administration)
- 1.8.1. 中央集中型アクセス制御 (Centralized):
- 1.8.2. 非中央集権・分散型アクセス管理 (Decentralized and Distributed Access Administration):
- 1.8.3. ハイブリッドアクセス管理 (Hybrid):
- 1.9. アクセス制御手法 (Access Control Methods)
- 1.9.2. 物理的制御 (Physical Controls)
- 1.10.1. 監視情報の再考 (Review of audit information):
- 1.11. アクセス制御監視 (Access Control Monitoring)
- 1.11.1. 侵入防止システム (IPS: Intrusion Prevention System)
- 1.11.2. 不正侵入検知システム (IDS: Intrusion detection):
- 1.12. アクセス制御に対する脅威 (Threats to Access Control)
- 1.13. ペネトレーションテスト
- 1.14. サブジェクトとオブジェクト
- 1.15. リファレンスモニター
1.1 セキュリティ原則 (C.I.A)
機密性 (Confidentiality):
└ 許可されていない人、プログラム、プロセスに情報が開示されないこと。
完全性 (Integrity):
└ 情報は正確で完全であり、許可されていない変更から守られなければならない。
可用性 (Availability):
└ 情報、システム、リソースはタイムリーに利用可能である必要がある。
そしてそれにより生産性が影響を受けない。
1.2 識別 (Identification)
├ ユーザの本人性(ユニークさ)を断定する。
├ 保護された監査証跡によるアカウンタビリティ(説明責任)を提供する。
├ サブジェクト(ユーザまたはプログラムまたはプロセス)が、自ら名乗るエンティティーであることを裏付ける方法。 識別は保証書を使用して確認される。
└ 識別方法の種類
├ ユーザ名、アカウント番号、個人識別番号(PIN)、などのユーザ識別情報
├ 社員証
└ 生態認証(識別と認証の両方で使用可)
1.2.1 生態認証/バイオメトリックス(Biometrics)
└ その個人にユニークな属性によって識別すること。識別を確認する、最も効率的で正確な方法。
(高速な処理装置や大量の記憶装置が必要であり、その分高価である。)←デメリット
├ 特有の生理的特長(指紋、網膜、虹彩など)
└ 行動特性(キー入力、筆跡など)
3つの主要な尺度
・本人拒否率(FRR:False Rejection Rate) タイプ「1」エラー:
└ 正当なサブジェクトが誤って拒否される確率。
・他人受入率(FAR:False Acceptance Rate) タイプ「2」エラー:
└ 不当なサブジェクトが誤って受け入れられる確率。
・等誤り率(CER:Crossover Error Rate):
└ FRR とFAR が等しいパーセンテージ。
他に考慮すべき事項
登録時間(Enrollment Time):
└ 評価される生態的特徴のサンプルを提示することによって、システムに最初に「登録」するのに要する時間。
スループットレート(Throughput Rate):
└ システムが個人を処理, 識別, 認証するレート(受け入れ又は拒否を行う速度)
ユーザが許容出来る範囲 (Acceptability):
└ システムを使用する際のプライバシー、侵襲性、心理的・物理的な安心の考慮
1.2.2. 生態認証の種類/バイオメトリックシステムのタイプ
(生理的特長)
指紋(Fingerprints):
└ 指紋の波型によって表される端や分岐とマニューシャと呼ばれる他の詳細な特徴から成る。
手掌スキャン(Palm Scan):
└ 手掌には、その人物にユニークな皺、隆線、溝がある。
掌形(Hand Geometry):
└ 人の手の形(手と指の長さと幅)が手の構造を測る。
└ 眼球後ろ側の網膜の血管パターンをスキャンする。
虹彩スキャン(Iris Scan):
└ 眼球の黒目に現れる皺のパターンを識別して本人確認を行なう認証方式。
黒目部分には、瞳孔の外側に「虹彩」(アイリス)と呼ばれる環状の部分がある。ここには瞳孔を拡大したり縮小したりする筋肉があり、眼球の形成時に細かい皺が寄る。この皺は誕生する前から形成が始まり、2歳を迎える頃からほとんど変化しないことが知られている。この皺のパターンを指紋のようなその人固有の識別情報と捕らえ、認証に利用するのが虹彩認証である。 虹彩認証はカメラで眼の部分を撮影し、コンピュータで虹彩のパターンを抽出して認証する。非接触式であるため衛生的で、心理的抵抗が少ない。顔や声のように年をとっても変化することがなく、指紋のような偽造も難しい。認証率も高く、処理するデータ量も少なくて済むという。
声紋(Voice Print):
└ 人々の話す声とパターンの違いを識別。
顔スキャン(Facial Scan):
└ 骨の構造、鼻の隆線、目の幅、額の大きさ、顎の形等の属性や特徴を考慮する。
ハンドトポロジー(Hand Topology):
└ 個人の手や指のサイズや幅を見る。
(行動特性)
署名ダイナミックス(Signature Dynamics):
└ 署名する際に取得されるスピードと時間の電子信号。
キーボードダイナミックス(Keyboard Dynamics):
└ 特定のフレーズをタイプする時の電子信号を取得する。
1.3 認証 (Authentication)
├ 正当性を検証する作業。例えば、ユーザ名とパスワードの組み合わせを使って、コンピュータを利用しようとしている人にその権利があるかどうかや、その人が名乗っている本人かどうかなどを確認すること。
└ サブジェクトは証明のためにセカンドピースを提示しなければならない。
パスワード(Passwords):
└ 個人を認証するために使用される、保護された文字列。
クリッピングレベル(Clipping level):
└ ユーザがロックアウトされるまでに許されたログイン失敗の回数。
パスワードチェッカー(Password checkers):
└ ユーザが選んだパスワードのテスト。
パスワードジェネレータ(Password Generators):
└ ユーザのパスワードを生成するもの。
パスワードエイジング(Password Aging):
└ パスワードの有効期限。
ログイン試行の制限(Limit Login Attempts):
└ ログイン試行の失敗回数をある回数に設定する。
認知パスワード(Cognitive password):
└ 事実もしくは意見に基づいた情報を使用して個人の識別を行う。
ワンタイムパスワード(One-time passwords) / ダイナミックパスワード(dynamic password):
└ パスワードが使用された後は無効になる。
└ チャレンジ・レスポンスの枠組みを使用したパスワードジェネレータ。
同期トークンデバイス(Synchronous token device):
└ 認証プロセスのコアピースとして時間やイベントを使用して認証サービスと同期を取る。
時間ベース同期トークンデバイス(Time based synchronous token device):
└ デバイスと認証サービスの内部時計は全く同じ時刻を持っていなければならない。
イベント同期(Event-synchronization):
└ ユーザはコンピュータ上でログオンシーケンスの初期化を行い、トークンデバイスのボタンを押す必要がある。
非同期トークンデバイス(Asynchronous token device):
└ チャレンジ・レスポンスの枠組みを使用して認証サービスと通信を行う。
暗号鍵(Cryptographic Keys):
パスフレーズ (Pass fraise):
└ パスワードよりも長い文字列。 ユーザがこのフレーズをアプリケーションに入力し、 アプリケーションがその値を仮想パスワードに変換する。
メモリカード (Memory card):
└ 情報を保持するカード。しかし情報の処理はしない。
スマートカード (Smart card):
├ メモリーチップ:記憶装置、情報を処理することは出来ない。
└ マイクロプロセッサチップ:プラスチックカード上にコンピュータあるようなもの。
1.3.1. 認証の種類
本人が知っていること。 (Type1./知識による認証)
└ パスワード、パスフレーズ。
本人が持っているもの。 (Type2./所有による認証)
本人の属性。 (Type3./本人の属性)
└ 生理学的特長(生態認証)、行動特性
1.4 承認(Authorization)
├ サブジェクトが正しく識別され認証された後、オブジェクトに対するアクセス権を供与すること。
└ 知る必要性 (Need-to-know):
└ ユーザは、社内において自らの仕事の責任を果たすのに最低限必要な権限と許可を持つ。
1.5 シングルサインオン(Single Sign-on)
└ ユーザが認証情報を「1 度だけ」入力するだけでネットワークドメイン内の全てのリソースにアクセスすることが出来る。
長所
├ ログオンプロセスが効率的。
├ ユーザーが強固なパスワードを使用する可能性がある。
├ 複数のパスワードを使用する必要がない。
├ タイムアウト値及び最大試行回数がプラットフォーム全体に適用される。
└ 一元管理
短所
├ 侵入者にパスワードが盗まれた場合、許可された全リソースにアクセスされる危険性がある。
└ 個々のプラットフォーム全てを含めるのは困難な場合がある。
1.5.1. スクリプティング (Scripting):
├ バッチファイルやスクリプトにそれぞれのプラットフォームに必要な、それぞれのユーザID、パスワード、ログオンコマンドが含まれている。
└ スクリプトが認証情報を含んでいるので、 保護された領域に保存され、スクリプトの伝送は慎重に行われなければならない。
1.5.2. ケルベロス (Kerberos):
└ 対称鍵暗号を使用してエンドツーエンドセキュリティを提供する。
(アクセス制御のための基本要件)をみたす必要がある。
・セキュリティ ⇒ 正規ユーザになりすますための情報をネットワーク傍受者が入手出来てはならない。
・信頼性 ⇒ 必要なときにいつでも利用可能。
・透過性 ⇒ ユーザは認証プロセスを意識しない。
・拡張性 ⇒ クライアントやサーバーの数にかかわらず、あらゆる規模のシステムに対応できなければならない。
(主要な構成要素)
鍵発行局(KDC: Key Distribution Center):
├ 全てのユーザと全てのサービスの暗号鍵を持つ。
├ 認証サービスを提供し、鍵発行機能を持つ。
├ KDCは例えばユーザ、アプリケーション、サービスのような、プリンシパル(principal)と呼ばれるエンティティーにセキュリティサービスを提供する。
├ KDC によってチケットが生成され、プリンシパルが他のプリンシパルに認証される必要がある際に与えられる。
└ KDC はコンポーネントとプリンシパルの組に対してセキュリティサービスを提供する。これをKerberos ではレルム(realm)と呼ぶ。
認証サービス (AS :Authentication Service):
└ KDC はプリンシパルを認証する。
(あらかじめ交換した秘密鍵で本人を認証する。)
チケット保障サーバ- (TGS :Ticket Granting Server):
└ KDC はチケットを生成しプリンシパルに渡す。
(二人の当事者間の関係を安全に認証する手段を提供する。)
弱点
├ KDC は単一点障害(single point of failure)になる。
├ AS はたくさんのリクエストを扱わなければならない。
├ 秘密鍵がユーザのワークステーションに一時的に保存される。
├ セッション鍵は復号されユーザのワークステーションに存在する。
├ パスワード推測に対して脆弱である。
├ ネットワーク・トラフィックは守られない。
└ ユーザがパスワードを変えたときには秘密鍵が変更され、KDSが更新されなければならない。
1.5.3. SESAME:
├ 共通鍵及び称公開鍵名暗号化手法を使用することによってSSOと共に追加分散アクセス制御機能を提供し、やり取りされるデータを保護する。
├ 役割に基づくアクセス制御を提供する。
├ ケルベロスのチケットに類似している。
└ ケルベロスのチケットに類似した、特権属性証明書(PAP:Privilege Attribute Certificate)を使用する。(PACの発行、保護、使用がSESAMEの主な特色。)
├ ケルベロスV5プロトコルを使用してSESAMEコンポーネントにアクセス出来る。
└パスワード推測に対して脆弱である。(弱点)
1.5.4. シン・クライアント (Thin Clients):
└ サーバ-に認証される端ダム端末。
1.5.5. ディレクトリーサービス (Directory Service)
├ 情報を階層的に整理、管理し、指定された名前に対応する情報を取得するための手段。
└ ネットワークリソースを一元管理することにより、アクセスと管理が容易になる。
1.5.6. セキュリティドメイン (Security Domain)
├ 同じセキュリティ-・ポリシーを共有し、一元的に管理される信頼の範囲。
├ アクセス制御パラメータ ⇒ サブジェクトアクセス出来るオブジェクトの集合。
└ 分離の原則によってリソースを保護。
├ サブジェクトは同等または下位のドメイン内のオブジェクトにアクセス出来る。
└ 上位特権のドメインは、下位特権のドメインから保護される。
└ サブジェクトの同等クラス類(各ドメインはそれぞれ1つのサブジェクトにカプセル化される。)
├ 別々のアドレスマップにより、分類を実現。
└ 共通オブジェクトは複数のドメインにマップされる。
1.6 アクセス制御モデル (Access Control Models)
(サブジェクトがオブジェクトにアクセスする方法を決めるフレーム構造)
1.6.1. 任意アクセス制御 (DAC: Discretionary Access Control):
├ どのユーザにどのようなアクセス権を与えるかをオーナーが決定する。
├ アクセスは、ユーザに付与された認証に基づいて制限される。
└ 最も一般的なDACの実装はACLによる。(アクセス制御マトリックスを使用し実装)
1.6.2. 強制アクセス制御 (MAC: Mandatory Access Control):
├ アクセスを許可するユーザをオーナーとシステム(両方の許可)が決定する。
├ システム管理者 ⇒ クリアランスを設定する。
├ 情報のオーナー ⇒ 機密ラベルを設定する。
└ システム ⇒ ポリシーを施行する。
├ サブジェクト(ユーザ)の特権(クリアランス)及び、オブジェクト(ファイル)の重要度(機密種別)に基づきシステムが決定する。(ラベル付けが必要)
├ 組織のセキュリティー・ポリシーに基づく。
├ 権限決定者に制限を加える。
└ このモデルは情報分類と機密性が極度に重要な環境で使用される。
1.6.3. 機密ラベル (Sensitivity labels):
├ MACが使用される場合には全てのサブジェクトとオブジェクトには機密ラベルがある。
├ 機密ラベルには分類と、異なるカテゴリが含まれている。
└ 分類は機密レベルを示し、カテゴリはその分類においてどのオブジェクトが持っているかを示す。
1.6.4. データへのアクセスルールに基づくアクセス制御
├ 権限を指定したルールリストに基づいてアクセスを決定。
├ システムオーナーがルールを作成または許可する。(ユーザに割り当てる特権を指定)
└ 調整メカニズムによってルールを適用し、許可されたアクセスだけが行われるようにする。
└ 全ての要求をチェックし、ユーザに与えられている権限と比較した上で決定する。
1.6.5. 役割(機能)に基づくアクセス制御 (RBAC: Role-based access control):
├ 非任意アクセス制御(nondiscretionary access control)とも呼ばれる。
├ 職務に基づいたアクセス制御を行う。
├ 各役割(職務)にそれぞれ異なるアクセス権限を割り当てる。
├ 職務に適した権限の適用
└ 同一グループ内のユーザには同様もしくは同じ権限を与える必要がある。
├ 役割の決定は任意であり、セキュリティーアクセス制御ポリシーに準拠する。
└ RBACモデルでは以下の物を使用できる。
・ロールに基づいたアクセス(Role-based access):
└ 社内におけるロールに基づいて決められる。
・タスクに基づいたアクセス(Task-based access):
└ユーザに割り当てられたタスクによって決められる。
・格子に基づいたアクセス(Lattice-based access):
└ そのロールに割り当てられた機密レベルによって決められる。
1.7. アクセス制御の手法と技術 (Access Control Techniques and Technologies)
様々なアクセス制御モデルをサポートするために利用できる手法と技術。
ロールに基づいたアクセス制御 (RBAC :Role-Based Access Control):
├ 社内での職位の義務を全うするために必要なタスクと責任に基づく。
└ RBAC = 以下と共に用いられる。
├ DAC = 管理者はロールを作り、オーナーはこれらのロールがリソースにアクセスできるかどうかを決める。
└ MAC = ロールは作成され、機密ラベルがこうしたロールに割り当てられてセキュリティレベルを表す。
ルールに基づいたアクセス制御 (Rule-Based Access Control):
├ オブジェクトに対して許可されることされないことを示す特定のルールに基づく。
└ これは、管理者がルールを設定し、またユーザはこうした制御を変更することが出来ないためMACの一種である。
制限されたインターフェイス(Restricted Interfaces):
└ ユーザのアクセスケイパビリティーを特定の機能, 情報へのリクエストや特定のシステムリソースへのアクセスを許可しないことによって制限する。
1.7.1. 3種類の制限されたインターフェイス
メニューとシェル(Menus and shells):
└ ユーザには実行可能なコマンドだけが与えられる。
データベースビュー(Database views):
└ データベースに格納されたデータへのユーザアクセスを制限するメカニズム。
物理的に制限されたインターフェイス(Physically constrained interfaces):
└ キーパッド上の特定のキーや、画面上の特定のタッチボタンだけを提供することにより実現。
1.7.2. アクセス制御マトリックス (Access Control Matrix):
├ サブジェクトとオブジェクトのテーブルで、個々のサブジェクトが個々のオブジェクトに対して実行できる動作を示す。
└ 通常、DACモデルの属性であり、アクセス権限はサブジェクト(ケイパビリティー、capabilities)やオブジェクト(アクセスコントロールリスト, ACLs,)に直接割り当てられる。
1.7.3. ケイパビリティーテーブル (Capability Tables):
├ 保護対象の一覧表
├ 特定のサブジェクトが特定のオブジェクトに対して所有するアクセス権限を定める。
├ 権限(アクセス許可)に基づくシステム。
└ ケルベロスで使用される。
1.7.4. アクセスコントロールリスト (Access Control Lists):
├ 特定のオブジェクトへのアクセスが認証されたサブジェクトのリスト。
├ どのレベルの認証が付与されているかが定義されている。
└ 認証は個人、ロール、グループに対して決められる。
1.7.5. 内容依存アクセス制御 (Content-Dependent Access Control):
└ オブジェクトへのアクセスはオブジェクトの内容によって決められる。
1.8 アクセスコントロール管理(Access Control Administration)
1.8.1. 中央集中型アクセス制御 (Centralized):
├ 単一エンティティー(個人、部門、装置)がアクセスに関する決定を行う。
├ 特定のオブジェクトにアクセスできるユーザはオーナーが決定し管理部門はこれらの指令をサポートする。
├ ユーザのアクセス権限をコントロールする、首尾一貫し統一された手法を提供する。
中央集中型アクセス制御技術の例:
├ RADIUS / Remote Authentication Dial-in User Service:
└ 認証プロトコルで、 ユーザ(ダイヤルアップユーザ)を認証・承認する。
├ TACACS / Terminal Access Controller Access Control System:
└ クライアント・サーバプロトコルでRadius と同様の機能を提供する。
└ 3つの世代。
├ TACACS ⇒ 認証と承認を組み合わせる。
├ XTACACS ⇒ 認証、承認、アカウンティングプロセスを分ける。
└ TACACS+ ⇒ 認証、承認、 アカウンティングプロセスを分け, 拡張された2要素ユーザ認証を使用する。
1.8.2. 非中央集権・分散型アクセス管理 (Decentralized and Distributed Access Administration):
├ 制御件は、リソースに近いもの(部門責任者及び場合によってはユーザ)に与えられる。
├ アクセス要求は、単一の中央エンティティによって処理されない。
├ 基準が曖昧であったり、権利の重複やセキュリティーホールが存在したりする。
└ ピアツーピアの関係。
├ 組織を通じての統一性や公平性を提供しない。
非中央集権型アクセス制御管理技術の例:
├ セキュリティドメイン (Security Domain)
├ 信頼のレルムとして表現される。
├ 全てのサブジェクトとオブジェクトはセキュリティポリシー、手続き、ルールを共有し、同じ管理システムによって管理される。
├ それぞれのセキュリティドメインは、異なるポリシーや異なる管理を持つ。
├ ヒエラルキー構造やリレーションによって構築される。
├ オペレーティングシステムやアプリケーション内で使用され、重要なシステムファイルやプロセスを偶発的な損害から守る。
├ セキュリティレベルの保護は、メモリースペースとアドレスを分けることにより行われる。
└ セキュリティドメインは、ユーザが利用可能なリソースとして表される。
1.8.3. ハイブリッドアクセス管理 (Hybrid):
└ 中央集権型と非中央集権型のアクセス制御管理手法の組み合わせである。
1.9. アクセス制御手法 (Access Control Methods)
1.9.1. 管理上の制御 (Administrative Controls)
ポリシーと手続き(Policy and Procedures)
├ ハイレベルなプランで、組織においてセキュリティがどのように実践されるか、どのようなアクションが許されるか、どのレベルのリスクを会社が受け入れられるかに関してのマネジメントの意志を言明する。
└ シニアマネジメントはDAC、MAC、RBACアクセス手法のどれを使用するか決め、またこの管理の方法が中央集権的か非中央集権的かを決める。
人事管理(Personnel Controls)
└ 従業員がセキュリティメカニズムをどのように遵守するか、そしてこうした期待に関して従わないことに関する問題を示す。
職務分離(Separation of duties):
└ 個人が、企業にとって不利になるような重要なタスクを1 人で実行することができない。
共謀(Collusion):
└ 不正を行う為に複数の必要でありそれを行う為には協力しなければならない。
職務ローテーション(Rotation of duties):
└ 複数の職位の任務を遂行する方法を知る必要がある。
管理構造(Supervisory Structure):
└ 個々の従業員には報告を行う上司が存在し、上司はその従業員の行動に責任を持つ。
セキュリティ啓蒙トレーニング(Security Awareness Training):
└ 人間は通常最も弱いリンクでありほとんどのセキュリティ侵害や危険の原因となる。
テスト(Testing) :
└ セキュリティコントロールやメカニズムは全て定期的にテストされ、設定されたセキュリティポリシー、目標、目的を適切にサポートすることを確認する必要がある。
1.9.2. 物理的制御 (Physical Controls)
ネットワーク分離(Network Segregation) :
└ 物理的・論理的方法で実行される。
境界セキュリティ(Perimeter Security) :
└ 個人、施設, 施設内の備品を守ることによって物理アクセス制御を提供するメカニズム。
コンピュータコントロール(Computer Control) :
└ インストールされ, 設定された物理的コントロール。
ワークエリア分離(Work Area Separation) :
└ アクセス制御と企業全体のセキュリティポリシーをサポートするために使用されるコントロール。
データバックアップ(Data Backups) :
└ 緊急時やネットワーク/システムの崩壊時の情報へのアクセスを確実にする。
ケーブリング(Cabling) :
└ 施設内の全てのケーブルは通路を遮ったり、切断、焼失、捲縮、盗聴の危険がないように敷設される必要がある。
1.9.3. 論理的制御 (Logical Controls)
システムアクセス:
└ アクセス制御の目的を強化する技術的制御。
ネットワークアーキテクチャ(Network Architecture):
└ 環境の分離・保護を提供するために様々な論理的制御によって構築・強化される. 隔離は物理的・論理的に行うことが出来る。
ネットワークアクセス(Network Access):
├ 他のネットワークセグメントへのアクセスは粒状でなければならない。
└ ルータやスイッチが使われ、特定の種類のトラフィックだけがそれぞれのセグメントを通過できるようにできる。
暗号化とプロトコル(Encryption and protocols):
└ 情報がネットワークを通ったりコンピュータ内にあるときに、情報を守るための技術的コントロールとして働く。
コントロールゾーン(Control Zone) -
└ 電子信号を発するネットワークデバイスを守る特定のエリア。
監査(Auditing) :
└ 技術的コントロールで、ネットワーク内、ネットワークデバイス上、特定のコンピュータ上のアクティビティーを追跡する。
1.10. アクセス制御タイプ (Access Control Types)
(P. 物理的 (Physical) / A. 管理上の (Administrative) / T. 技術的 (Technical))
予防 (Preventative): 望ましくない事が起こるのを抑止・回避するために使用される制御。
P ⇒ 柵、錠、バッジシステム、警備員、バイオメトリックシステム、マントラップドア、照明、CCTV、アラーム
A ⇒ セキュリティポリシー、監視・監督、職務分離、ジョブローテーション、情報分類、人事手続き、試験、セキュリティ啓蒙トレーニング。
T ⇒ ACL、ルータ、暗号化、IDS、アンチウイルスソフトウェア、ファイアウォール、スマートカード、ダイアルアップコールバックシステム。
探知(Detective): 起きてしまった事を特定するために使用される制御.
P ⇒ 警備員、バイオメトリックシステム、講堂探知機、CCTV、アラーム、バックアップ。
A ⇒ 監視・監督、ジョブローテーション、人事手続き、調査、セキュリティ啓蒙トレーニング。
T ⇒ 監査ログ、IDS、アンチウイルスソフトウェア、ファイアウォール。
矯正(Corrective): 起きてしまった事を修正するために使用される制御.
P ⇒ 柵、錠、バッジシステム、警備員、バイオメトリックシステム、マントラップドア、 照明、CCTV、アラーム
A ⇒ セキュリティポリシー。
T ⇒ IDS, アンチウイルスソフトウェア。
抑止(Deterrent): セキュリティ違反を抑止するために使用される制御.
P ⇒ バックアップ
A ⇒ 監視・監督,職務分離, 人事手続き(Personnel Procedures).
T ⇒ 暗号化、IDS、ファイアウォール
復旧(Recovery): リソースや能力を回復するために使用されるコントロール.
P ⇒ 柵、錠、警備員、マントラップドア、照明、アラーム、バックアップ
A ⇒
T ⇒ アンチウイルスソフトウェア。
補償(Compensation): 他のコントロールの代替となるものを提供するために使用されるコントロール。
P ⇒
A ⇒ 監視・監督, 人事手続き
T ⇒
1.10.1. 監視情報の再考 (Review of audit information):
監視削減(Audit reduction):
└ 監視ログ内の情報量を削減する。
変動検出ツール(Variance-detection tool):
└ コンピュータとリソースの使用傾向を監視し,変動を検出する。
攻撃シグネチャ検知ツール(Attack signature-detection tool):
└ アプリケーションが特定の攻撃を示す情報のデータベースを持つ。
キーストローク監視(Keystroke Monitoring):
└ アクティブなセッション中にユーザが入力したキーストロークを監視して記録する。
1.11. アクセス制御監視 (Access Control Monitoring)
1.11.1. 侵入防止システム (IPS: Intrusion Prevention System)
└ 侵入を予防する。
├ 攻撃をリアルタイムでブロックする機能。
├ パケットを通信の途中で取り込み、転送する。
├ 「アクセス制御」及びポリシー執行とみなされる。それに対し、IDSは「ネットワークモニタリング」および「監査」とみなされる。
└ 予防制御
1.11.2. 不正侵入検知システム (IDS: Intrusion detection):
ネットワーク型IDS(Network-based IDS):
├ ネットワークもしくはネットワークのセグメントを監視する。
├ 伝送リンクのパケットとトラフィックをリアルタイムに監視する。
├ プロトコル及びその他の関連パケット情報を分析する。
├ 警報を送信する、あるいは不正な接続を終了する。
├ ファイヤー・ウォールと統合し、新しいルールを定義できる。
└ 暗号化されたパケットの監視が出来ない。
ホスト型(Host-based):
├ 特定のシステムを監視する。
├ ホスト上で動作するエージェントが明白な侵入を検知
├ 適切に設定されたホスト型IDSは、異常事象の発見時にアラートを送信する。
├ マルチホスト用型IDSは、複数ホストのデータを監査する。
└ 動作しているホストに負荷が掛かる。
パターンマッチングIDS(Pattern matching IDS)
├ 着信パケットを既知(シグネチャ)の攻撃データベース比較することにより検知する。
├ 既知の攻撃を特定する。
├ 未知の攻撃に弱い。
├ フォールポシティブ(誤検知)する事がある。
├ シグネチャ-の頻繁な更新が必要。
└ 攻撃は、検知を逃れるために変更される事がある。
ステートフルマッチングIDS (State full matching IDS)
├ 個々のパケットではなく、トラフィック・ストリームの文脈内に攻撃シグネチャが無いかスキャンする。
├ 既知の攻撃を特定する。
├ 複数のパケットに広がったシグネチャを検出する。
├ 分析と対応のために特定情報を提供する。
├ フォールポシティブ(誤検知)する事がある。
├ シグネチャ-の頻繁な更新が必要。
└ 攻撃は、検知を逃れるために変更される事がある。
プロトコル異常検知型IDS
├ RFC標準から逸脱を探す。
├ シグネチャ-無しの攻撃を特定できる。
├ 汎用プロトコルを使用してフォールポシティブ(誤検知)を減らす。
├ 汎用していないプロトコルや複雑なプロトコルによって、フォールポシティブ(誤検知)が生じる事がある。
└ プロトコル分析モジュールは顧客への実装にシグネチャよりも時間が掛かる。
トラヒック異常検知型IDS
├ 膨大な量のUDPパケットなどの異常なトラヒックの動きや、ネットワーク上に出現する新サービスを監視する。
├ 未知の攻撃とDos攻撃を特定する。
├ 適切にチューニングする事が難しい事がある。
└ 「正規」のトラヒック環境を明確に理解しなければならない。
知識ベースIDS (Knowledge-based)/シグネチャ型(signature-based):
└ 攻撃がどのように行われたかについてのモデルが構築される。
挙動ベースIDS (Behaviour-based) / 統計的(Statistical):
├ ユーザやシステムの行動の予測からの乖離を監視・検知する。
└ TIM: Time-based induction machine-リアルタイムで異常行動を検知する。
ハニーポット(Honeypot):
└ ネットワーク内の「偽の」システムで、鍵をかけず、ポートを開けておく。
ネットワークスニファー(Network sniffers):
└ ネットワーク・トラフィックの傍受を目的としてネットワークに接続されるある種の盗聴機。
1.12. アクセス制御に対する脅威 (Threats to Access Control)
辞書攻撃(Dictionary Attack):
├ 攻撃者がユーザの信任を識別することを可能にするプログラム。
└ こうしたプログラムにはよく使用される言葉や文字の組み合わせのリストがあり、プログラムはこれらの値をログオンプロンプトに入力する。
総当たり攻撃(Brute Force Attack):
├ あらかじめ設定されたゴールを達成するために、異なる入力を継続的に試行する攻撃。
└ ウォーダイアリングにも用いられる。
ログオンのなりすまし(Spoofing at Login):
└偽のログイン画面を示し、ユーザの信任情報を得ようとするプログラム。
1.13. ペネトレーションテスト
キュリティ脆弱性を特定、発見するためにとる一連の調査。
├ オーナーの依頼によりシステムへの攻撃をシュミレートする。
├ システムセキュリティを評価し、脆弱性やセキュリティギャップを見つける。
├ ほとんどの組織に共通する一般的な環境を対象とする。
├ 方法、目標が明確に定義される必要がある。
└ 実際の攻撃と同じ方法または同じ技術を使用する。
└ 論理ハッキングと呼ばれることもある。
(テストの種類)
ゼロ知識
├ 調査チームは標的に関する情報は一切もたない。
└ 通常独立した第3者によって実施される。
部分的知識
└ 調査チームは標的に関する知識を一部持つ。
完全な知識
└ 表的となる環境について詳細に把握しているチームが実行する。
(テストの方法)
├ 発見 ⇒ 標的に関する除法を特定し文章化する。
├ 列挙 ⇒ 侵入方法についてより多くの情報を入手する。
├ 脆弱性マッピング ⇒ 環境プロファイルを既知の脆弱性にマッピングする。
└ 利用 ⇒ ユーザアクセスや特権アクセスを試みる。
1.14. サブジェクトとオブジェクト
サブジェクト
└ サービスを要求する。能動的である。(ユーザ、プログラム、プロセス、デバイス。)
オブジェクト
└ 要求されたサービスを提供する。受動的である。
(ファイル、データベース、プロセス、プログラム、デバイス。)
1.15. リファレンスモニター
サブジェクトからオブジェクトへの全てのアクセスを仲介する抽象マシン。
特徴
├ 変更されないように保護される。
├ 検証可能。
└ 常に行使されなければならない。