Security
Overview
このセクションでは、ITセキュリティに関連するさまざまなトピックを取り上げています。セキュリティの基本概念から最新の脅威、脆弱性への対応方法、データ保護、セキュリティベストプラクティスまで、幅広く網羅しています。
情報システムやネットワークを安全に保つために必要な知識を提供し、組織や個人が直面するセキュリティリスクに対応するためのリソースを提供します。
セクション内容
- 脅威と攻撃: 最新のサイバー脅威、攻撃手法、およびそれに対する防御策。
- データ保護: 暗号化、バックアップ、データ漏洩対策などのデータ保護手法。
- 認証とアクセス管理: ユーザー認証、権限管理、多要素認証などのセキュリティ強化策。
- ネットワークセキュリティ: ファイアウォール、VPN、侵入検知システム(IDS)などのネットワーク保護技術。
- コンプライアンスと規制: GDPR、CCPAなどのデータ保護規制やセキュリティコンプライアンス。
情報セキュリティの際に参考にする機構
ISMSとPマークの違い
APIテクニカルガイドブック(内閣官房情報通信技術(IT)総合戦略室)
情報セキュリティの3要素
情報セキュリティ対策の基本として機密性・完全性・可用性の3つの要素が定義されている。
機密性(Confidentiality)
機密性は、許可された対象者以外に情報を開示しないこと。
機密性を阻害する主な脅威による情報漏えいが挙げられる。
- 不正アクセス
- 通信傍受など
主な対策。
- アクセス制限
- 暗号化
完全性(Integrity)
完全性は、情報が適切に保護されて信頼できる状態であること。
完全性を阻害する主な脅威として以下が挙げられる。
- マルウェア感染
- 不正操作などによる情報の改ざん
AWSではAWS Guard Dutyを利用してマルウェア感染や不正な振る舞いを検知したり、AWS WAFによりWebアプリケーションを悪意ある攻撃から防御できます。
可用性(Availability)
可用性は、必要なときに必要な機能へアクセスできる状態であること。
災害やシステム障害などで中断されずに、システムやサービスへアクセスできる状態を保つ必要がある。
可用性を阻害する主な脅威として以下が挙げられる。
- 複数の拠点から大量アクセスを送りつけてサービス停止を狙う「分散型サービス妨害(DDoS攻撃)」
AWSではAWS Shieldの利用や、CloudFrontのようなCDNサービスを利用することで、分散型サービス妨害(DDoS攻撃)からシステムを保護できます。
また、マルチAZでシステムを構成するなど冗長構成とすることで、単一箇所の障害によりシステム全体が停止してしまう事象を防ぐことが可能です。
情報セキュリティの7要素
情報セキュリティの3要素以外に、付加的要素である真正性・責任追跡性・否認防止・信頼性の4要素を加えることで情報セキュリティ7要素と呼ばれる。
セキュリティを高めるためには、情報セキュリティの3要素だけではなく残りの4要素も対策することが求められる。
真正性(Authenticity)
真正性は、システムの利用者が本物であると証明すること。
真正性を阻害する主な脅威は以下がある。
- なりすましによる不正ログイン
対策としては以下の候補がある。
- 多要素認証
- 生体認証
- デジタル署名
AWSでは、AWS IAMやAWS Cognitoで作成したユーザーに対して多要素認証を必須にしたり、AWS ACMにてサーバー証明書を発行することが対策として有効です。
責任追跡性(Accountability)
責任追跡性は、誰にシステムが操作されたのか明確にし、追跡 できる状態であること。
ログ情報の取得が主な対策となる。
否認防止(Non-repudiation)
否認防止は、操作者があとから操作を否定できないよう証明すること。
ログの改ざん防止が主な対策となる。
信頼性(Reliability)
信頼性とは、システムの動作が意図したとおり確実に行われること。
信頼性を阻害する主な脅威として、システムに内在するバグによる想定外の挙動や、脆弱性を悪用した攻撃が挙げられます。そのため、構築するシステムに対してバグや脆弱性が埋め込まれていない状態にすることが理想。
リスク管理
セキュリティに関するすべてのリスクに対処することが理想ですが、コストや難易度などの都合で対処しきれないものもある。
そのため、リスクに対して以下の4つの要素から、リスクの発生確率・コスト・影響度などを踏まえて対応方針を検討する。
リスク回避
リスクの発生確率が高すぎたり、対処する場合の影響が大き過ぎる場合に、リスク自体を回避する選択肢を取る。
「リスクが含まれるサービスや機能のリリースを取りやめる」といった対応が挙げられます。
リスク受容
リスク回避とは正反対にリスクを受け入れること。
リスクの及ぼす影響や確率が小さい場合に、「リスクが発生するものとして発生時のオペレーションを準備しておく」などの対応が挙げられます。
リスク低減
リスクを引き起こす要素に対してセキュリティコントロールを実施して、リスクの発生確率や影響度を低減させる。
「リスクが発生する原因を特定して発生確率を下げる」といった一般的なセキュリティ対策はこのリスク低減に該当します。
リスク移転
リスクの対応および影響範囲を外部にゆだねること。
「地震保険やサイバー保険に加入する」などが挙げられる。
IPA
独立行政法人情報処理推進機構(IPA)は経済産業省のIT政策実施機関。
多彩な施策でデータとデジタルの時代を牽引し、安全で信頼できるIT社会を実現する。
PII
個人を特定できる情報(PII)とは、特定の個人を識別するために使用される一連のデータのことです。これは機密データとみなされ、個人情報の窃盗にも使用される情報です。PIIは、ユーザーの名前、住所、生年月日のような単純なものから、フルネーム、住所、社会保障番号、財務データのような機密性の高いものまであります。データ漏洩では、PIIはダークネット市場で販売されると高い価値を持つため、攻撃者のターゲットになります。
セキュリティの3大要素
セキュリティ対策で求められる要件として、一般的に以下の3種類が上がる(英語での頭文字を取ってCIAと呼ばれる)
- 機密性 → 許可されたものだけが情報にアクセスできる
- 完全性 → 情報の改ざん、欠落が起こらない
- 可用性 → 必要なときにいつでもサービスが提供されている
認証
認証は「あなたは誰ですか?」を確認すること。
要はパスワード認証で本人を特定すること。
2段階認証などもある。
SMS認証
SMS認証とは、ユーザーのスマホや携帯電話にSMS(ショートメッセージ)を送信し、そこに記載された一時的な確認コードをWeb上で入力することで、本人確認を正しく行う認証システム。
企業側の動作
ユーザーからSMS認証の要求を受けたら、API経由でSMS送信サービスに送信を要求する。
SMS送信サービスが認証コードを記載したSMSをユーザーに送信
Web上で認証コードが入力されると、API経由でSMS送信サービスから企業側に送達結果が通知される。
正しいことが確認されたら認証完了
SMS送信サービスで認証を行うためには、自社システムとのAPI連携が必須。
サービスによってAPI連携の仕様が異なるため、連携可能かどうか確認しておく必要がある。
認可とは
一方、認可は「あなたには、リソースにアクセスする権限がありますか?」を確認すること。
たとえば次のような事例が認可。
家の鍵を持っているから、家に入ることができる
バスの乗車券を持っているから、バスに乗ることができる
認証と認可の違い
わかりやすい パスポートは本人確認に用いられつつ(認証)、これにより渡航する権利を得られる(認可) 免許証は本人確認に用いられつつ(認証)、これにより自動車を運転する権利を得られる(認可)
WAF(Web Application Firewall)
従来のファイアウォールやIDS/IPSでは防ぐことができない不正な攻撃からWebアプリケーションを防御するファイアウォールのこと。
Webアプリケーションという観点から一般的にはWAFといえばWebサーバが利用するポート80番・443番のトラフィックを双方向で監視して悪意あるユーザからWebアプリケーションとその背後にあるデータを守る製品のこと。
※一般的なWebアプリケーションに対する攻撃手段としてSQLインジェクションやXSS(クロスサイトスクリプティング)などの脅威から保護する。
ReDoS
符号・暗号化・ハッシュの違い
暗号化、エンコード、およびハッシュは、データのフォーマットを変換するために使用される技法
ハッシュ
データを加工する技術のひとつ ハッシュ値とは、あるデータを暗号学的ハッシュ関数と呼ばれる方式で変換したもの。
仕様
- ハッシュ値から元のデータを復元することはできない。