情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

10.クライアントセキュリティ

1.URLフィルタリングとコンテンツフィルタリングとは
URLフィルタリングに関して、過去問(H23SC春PM1問1)では、次の記載があります。
(a)URLマッチング
アクセスしようとしたURLと,有害情報のURLリストとのマッチングによって有害の度合いを決定する。有害情報のURLリストはA社が逐次更新し,自動ダウンロード機能によってBフィルタに取り込まれる。
(b)キーワードマッチング
表示するコンテンツの内容と,有害情報であるか否かを判定するためのキーワードリストとのマッチンクによって有害の度合いを決定する。キーワードリストは,青少年の保護者が設定する。
(a)が世間一般にいう「URLフィルタリング」で、(b)が「コンテンツフィルタリング」です。
両者の違いは、http://sc.seeeko.com/などのURLでフィルタリングするのか、「株」「パチンコ」などのキーワードでフィルタリングするかの違いです。
情報セキュリティスペシャリスト試験を目指す女性SE
ドメインレベルではなく、以下のようなフルパスでのURLフィルタリングはできますか?
http://sc.seeeko.com/archives/3844516.html
もちろんできます。「FQDNフィルタリング」でも「ドメインフィルタリング」でもありません。「URLフィルタリング」ですから、上記のようなURLも当然フィルタリングできます。
URLフィルタリングとコンテンツフィルタリング_情報セキュリティスペシャリスト試験
過去問(H21年春初級シスアド)を見てみましょう。
問49 電子メールのコンテンツフィルタリングによる情報漏えい対策を説明したものはどれか。
ア 外部に公開されている電子メールアドレスから発信される電子メールは,情報漏えいを検知する必要がない。
イ 電子メールの発信記録からスパムメールを選別し,スパムメール発信者のすべての電子メールの発信を停止する。
ウ 添付ファイルのない電子メールは情報漏えいの疑いがないので,検知する必要がない。
エ 登録したキーワードと自動照合することによって,情報漏えいの疑いのある電子メールを検知して発信を停止する。 

正解はエです。

2.URLフィルタを実現する装置
URLフィルタを実現するのは、主に2つ装置です。
一つは、Squid、BlueCoatなどのプロキシサーバです。日本だと、Squid上にiFilterを搭載する企業が多いようです。過去問(H22NW午後1問1)でも、プロキシサーバがURLフィルタを実装している事例が掲載されています。
もう一つは、UTMなどのURLフィルタリング機能を利用する場合です。

3.ホワイトリストとブラックリスト
W社内のイントラネットからインターネットへのアクセスは制限されており、アクセスが業務上必要でないと判断されるURLを登録する〔 b 〕リスト方式のURLフィルタが導入されている。(H22SC秋午前Ⅰ問4設問1)

[ ]の中に入る文字を答える問題だが、ホワイトかブラックのどちらかであることは想像できたと思います。
正解はブラックです。。
全く関係の無い話だが、アメリカのコメディ映画「ブラック&ホワイト」は面白かった。
テンポがいいし、小ネタが面白い。アクションシーンもなかなかよい。
Black&White/ブラック&ホワイト [DVD]
リーズ・ウィザースプーン
20世紀フォックス・ホーム・エンターテイメント・ジャパン
2013-03-02


4.[参考]青少年の携帯やスマホでのURLフィルタリング 
平成25年度 青少年のインターネット利用環境実態調査というのが報告されている。
詳しくは以下にある。
http://www8.cao.go.jp/youth/youth-harm/chousa/h25/net-jittai/pdf/kekka.pdf
その中で、フィルタリングの利用率のデータがある。
H23年 59.7%
H24年 63.5%
H25年 55.2%
と、H25になって下がっている。これは、フィルタリングされるとできないアプリやゲームがあるからであろう。
フィルタリング率が約50%というのは、青少年には危険ではないだろうか。

過去問(H20春SV午後2問2)に詳しい問題文があるので見てみよう。
P課長:利用者認証には,IEEE 802.1Xという規格を採用するのがよさそうだ。これと暗号化方式の強化を組み合わせることでセキュリティの強化を図ることができるだろう。
Qさん:そういえば,私か駅やファストフード店でときどき使う公衆無線LANのAPでもIEEE 802.1Xを利用していたと思います。IEEE 802.1Xでは,利用者の認証はどのように行うのですか。
P課長:IEEE 802.1Xでは,利用者の認証情報はAPではなく認証サーバと呼ばれる別のサーバに格納されており,APはこの認証サーバにアクセスの可否を問い合わせる。そのプロトコルとしては[ e ]を利用する実装が多いようだ。
Qさん:以前はダイヤルアップのアクセスサーバなどでよく使われていたプロトコルですね。各校に認証サーバを設置して共通IDシステムと連携させれば,各校の間で共通に無線LANが利用できるわけですね。
ちなみに、eにはRADIUSが入る。
929c854c
ということは、認証LAN=IEEE 802.1Xと考えてよいですか?





いや、そうではない。
認証LANとは、その言葉の通り、あくまでも「LAN」の「認証」だ。認証さえすればいいので、WEB認証やMACアドレス認証でもいい。

EAPの代表的な認証方式については、いかの過去問を見よう。

過去問(H20春SV午後2問2)
 IEEE 802.1Xで使われるEAP (Extensible Authentication Protocol)というプロトコルはPPPを拡張したものだから,RADIUSとは親和性が高い。EAPでは,まず端末とAPの間で認証を行い,認証が完了した時点で端末に個別のセッション鍵を配送する。セッション鍵をもっていない未認証の端末は,APを超えてLAN側にパケットを送出することができない仕組みになっている。これに加え,EAPでは各種の認証方式を利用することができる。代表的な認証方式を挙げると,表2のようになる。
表2 EAPの代表的な認証方式の比較
eap






・・・ここまで!

少し補足する。
EAP-MD5
 EAPの枠組みで動作するCHAP。内容はCHAPと同じだが、PPPとEAPはプロトコルが違うため、やり取りが異なる。登場機器も、802.1xを使う場合、サプリカント、オーセンティケータ、認証サーバの3つ。

PEAP
 サーバ証明書を使い、クライアント側はIDとパスワードを利用する。これも、枠組みであるため、クライアント側の認証にはMS-CHAPv2などから選択できる。主流だ。

EAP-TLS
 EAP-TLS(EAP-Transport Layer Security)では、SSLの後継であるTLSによって認証を行う。具体的には、クライアント証明書を利用する。
db2fc28c
運用面のデメリットがありますが、
EAP-TLSのセキュリティレベルが高いんですよね?




いや、そうではない。
PEAPはユーザ認証で、EAP-TLSは端末認証だ。そこは大きく違うので、一概にどちらがというわけではない。

過去問を見てみよう。
設問5(2) (前略)PEAP方式とEAP-TLS方式を比較した結果、PEAP方式を採用すると判断した根拠を, 50宇以内で述べよ。(H21SC秋午後1問4)
この問題では、PEAPが適していると判断し、PEAPを採用した。その理由を問われている。
解答例は以下だ。 
・PEAP方式はEAP-TLS方式に比べて利用者を特定できる利点があるから
・EAP-TLS方式はクライアント証明書を組み込んだPCを認証するので利用者を特定できないから

EAP(Extensible Authentication Protocol)は拡張された認証プロトコルである。これまで、PPPはPAPやCHAPという簡単な認証しかなかった。なぜEAPが必要になったのか。
EAPを直訳すると、拡張された認証プロトコル。何を拡張したかというとPPPである。
PPPはPAPかCHAPなので、簡単な認証しかできない。
これでは不十分ということで、EAPが登場し、TLSやPEAPなど証明書を使った高度な認証が可能になった。

参考
・PAP(Password Authentication Protocol):IDとパスワードを平文で流す
・CHAP(Challenge Handshake Authentication Protocol):メッセージダイジェストを使うので、パスワードが暗号化して流れる。

8412ebbb

じゃあ、なぜ、これまでの通信であるPPPでは、
PAPやCHAPという簡単な認証でよかったのでしょうか。



それは、物理的に1対1でつながっているから、セキュリティは低くていいのである。
 低くていいというわけではないが、セキュリティのリスクが少ないので、高度なセキュリティ対策は不要ということ。
最近では、イーサネットによる有線LANもそうだし、無線LANのようなオープンなネットワークも増えている。セキュリティに関して高い認証が求められてきているという証拠だ。

問2 IEEE802.1Xで使われるEAP-TLSによって実現される認証はどれか。(H23SC春午前2)
ア あらかじめ登録した共通鍵によるサーバ認証と、時刻同期のワンタイムパスワードによる利用者認証
イ チャレンジレスポンスによる利用者認証
ウ ディジタル証明書による認証サーバとクライアントの相互認証
エ 利用者IDとパスワードによる利用者認証
選択肢すべてに関して、何を意味しているのかを理解しながら考えるとよいだろう。正解は、ウである。

結論からいうと、100%は無理です。
ある程度は止められます。

案1 URLフィルタ
掲示板も山ほどあるし、ブログのように、掲示板ではないけど書き込みができるものもある。そこから、個人情報などが漏えいするリスクもあるだろう。
それらのサイトをすべて個別にブラックリストで書くのは現実的ではないと思う。

案2 メソッドを拒否
HTTPのPostやPUT、GETなどを個別に管理し、Postはダメとか、そういう制御をすることで、掲示板を読むのは読めても、書き込みはできない制御ができ。
ただ、掲示板やサイトの作りこみによって、GETで書き込むことも可能だろう。じゃあ、GETを拒否しようとすると、そもそもサイトが一切見ることができなくなる。

シンクライアントとは?
新クライアントではなくThin (薄い,痩せた)Clientで,Citrix社のXenAppが有名です。
従来のようなパソコンは,アプリケーションを入れて処理するのでFat(太った)クライアントと呼ばれることもあります。それに対して,ほとんどの処理をサーバで行うためにThin クライアントと考えることができます。

シンクライアントの目的
シンクライアント化する目的は,大きく以下の2つです。
1)セキュリティ強化
2)運用負荷の軽減
セキュリティの強化に関しては,過去問で次のように述べられています。
情報漏えい対策として、ハードディスクなどの記憶装置をもたずUSBメモリなどの外部記憶媒体も利用できないシンクライアント端末を利用する(H23SC春PM1問3より)

シンクライアントの方式
大きく4つあります。当初はSBC型が中心だったが、今は仮想PC型が主軸であろう。

画面転送型
[概要]
 SBC(Server Based Computing)型とも言われます。いわゆるメタフレームまたはリモートデスクトップです。サーバで処理を行い,クライアントには画面情報のみを転送します。
[問題・課題]
 例えば,サーバをWindows 2003とする場合,アプリケーションをWindows 2003サーバ上にインストールしなければなりません。しかし,アプリケーションの対応OSがWindows XPや7の場合,アプリケーションが使えないこともあります。

ブレードPC型
[概要]
 ブレードPCを一人1枚ずつ割り当てる方式です。SBC型のデメリットである対応OSの問題を解決します。サーバをブレードサーバとし,PCと同じ数だけブレードPCを用意します。各ブレードPCには,Windows XPや7などの通常クライアントOSをインストールします。クライアントに画面転送するところはSBC型と同じです。
[問題・課題]
 SBCは極端な話サーバ一台でも良いが,ブレードPC型の場合はPCの台数分のブレードPCが必要です。加えてThin Client の仕組みも必要です。コストがやや高くなり,それほど導入されていないのが現実です。

仮想PC型
[概要]
 PCを仮想化し,一人に1台の仮想PCを割り当てます。ブレードPCを仮想化したものと考えればよいでしょう。仮想した上で,SBCと同じく画面転送を行います。

ネットワークブート型
[概要]
 ログインするたびにPXEによるネットワークブートを行い,OSイメージをサーバからダウンロードします。この方式ではOSイメージを起動するたびに端末側にダウンロードし,処理は端末側で行います。Thin Clientというよりは,Fat Client になります。インターネットカフェなどでよく利用されます。
[問題・課題]
 太いネットワーク帯域が必要です。

情報セキュリティスペシャリストの過去問(H25秋SC午後Ⅱ問1)では、マルウェアが外部のC&Cサーバと不正な通信をしていることが述べられている。しかも、プロキシサーバのURLフィルタリングをすり抜けてしまっているのだ。
 そんなとき、対策は全くないのか。完璧な対策ではなく、あくまでも一例でしかないが、この問題文に対策が書かれてある。
 この問題文の[対策の検討]には、「マルウェアからC&CサーバへのHTTP通信をプロキシで止める対策が有効だと考えています」と述べられている。この具体的な内容が設問で問われていて、解答 例は「プロキシで利用者認証を有効にする」である。プロキシサーバにて認証設定をすれば、認証情報を知らないマルウェアから、外部への不正通信を防ぐことができる。

IPAの「高度標的型攻撃」対策に向けたシステム設計ガイド」(http://www.ipa.go.jp/files/000042039.pdf)にデータがあるので紹介する。
※トレンドマイクロ社のデータを活用しているようだ。

P44のデータを見ると、約52%が直接通信、27%がプロキシを利用、21%が認証プロキシを突破するとある。
21%も突破するという見方もあるが、認証プロキシを入れれば8割の不正なC&C通信がブロックできるので、対策としては価値があると考えられる。

完全にきれいに整理できるものではないが、大枠としては以下と考えてもらってよい。

問題点やセキュリティの脅威

対策例

メール全体

①メール本文が暗号化されていない

S/MIMEPGP

送信メールプロトコル(SMTP

②認証無しで送信が可能である

SMTP AUTHPOP before SMTP

③送信元が詐称される可能性がある

SPFSenderIDDKIM

④大量の迷惑(SPAM)メールが送信される

OP25B

受信メールプロトコル(POP3)

⑤認証パスワードが暗号化されていない。

APOP


利用者が電子メールを受信する際の認証情報を秘匿できるように、パスワードからハッシュ値を計算して、その値で利用者認証を行う仕組みは何か。(H23SC春午前2問5参照)
問12-1や12-2との違いをきちんと理解しよう。今回のプロトコルは認証時のセキュリティ対策のみです。メールそのものは暗号化しない。

今ではあまり考えられないのですが、POP3は、パスワードが平文(「ひらぶん」と読む。暗号化されていないという意味)で流れる。
だったらパケットキャプチャしたら、パスワードがばればれ。
※以下はPOP3のパケットをキャプチャーした。パスワードが「passwd」であることが分かる。
pop
それを解決するための仕組み。答えはAPOP。
ですが、昔のOutlookやOutlookExpressがAPOPに未対応であるため、あまり普及していない。

設定方法
Windows Liveメールの場合、アカウントのプロパティにて「サーバー」のタブから設定をする。
apop

このページのトップヘ