情報処理安全確保支援士(情報セキュリティスペシャリスト) - SE娘の剣 -

情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

10.クライアントセキュリティ

結論からいうと、ある程度は止められます。でも、100%止めることは無理です。
以下が、掲示板への書き込みを防止する方法の案です。

案1 URLフィルタ
掲示板も山ほどあるし、ブログのように、掲示板ではないけど書き込みができるものもある。そこから、個人情報などが漏えいするリスクもあるだろう。
それらのサイトをすべて個別にブラックリストで書くのは現実的ではないと思う。

案2 メソッドを拒否
HTTPのPostやPUT、GETなどを個別に管理し、Postはダメとか、そういう制御をすることで、掲示板を読むのは読めても、書き込みはできない制御ができ。
ただ、掲示板やサイトの作りこみによって、GETで書き込むことも可能だろう。じゃあ、GETを拒否しようとすると、そもそもサイトが一切見ることができなくなる。

未知のマルウェア対策には限界があります。ウイルス対策ソフトでの検知は期待できないからです。
そこで、マルウェアに感染したとしても、情報漏えいが起こらない仕組みとしてVDIがあります。
過去問(H28SC春午後Ⅱ改)をもとに、機能を確認しましょう。

図8のように,仮想端末上でゲストOSを動かす,画面転送型の仮想デスクトップ環境(以下,  VDIという)があります。
ad

D部長:VDI端末には,どのような要件が必要ですか。
Cさん:要件は,次の四つです。
要件1 : VDI サーバにログインできる。
要件2:仮想端末との間では,画面及びキーボード・マウスの操作データだけの送受信を許可する。
要件3:マルウェア感染を防ぐ仕組みがある。
要件4 :要件1~要件3を満たすのに必要な通信だけを許可する。
D部長:要件3が満たせずに,VDI端末がマルウェアに感染しても,要件2が満たされていれば,仮想端末には影響がないですよね。
Cさん:いいえ。⑤要件2が満たされても、VDI端末上のマルウェアによる仮想端末からの情報の搾取は可能です。
D部長:そうですか。
Cさん:そういった情報の窃取を防ぐためには,VDI端末の徹底的な要塞化が必要です。VDI端末に汎用OSを使う場合,VDI端末の保護のための仕組みが必要になります。一方,  VDI専用OSを使用する場合,読取り専用のUSBメモリにVDI専用OSを入れておきます。VDI端末のハードディスクの中身は全て消去し,USBメモリからだけブートできるようにします。ブートするとVDIに接続するためのソフトウェアが自動的に起動します。

設問5(3)本文中の下線⑤について、どのような攻撃を想定しているのか。20字以内で述べよ。
VDI端末がマルウェアに感染しても、そのマルウェアがゲストOSに影響を及ぼすことはありません。なので、マルウェアの感染が拡大したり、ファイルを外部に流出させられることもありません。ただ、画面情報だけは攻撃者に伝わりますので、ログインID/パスワードなどの情報が漏えいする危険があります。

解答例:画面などの情報からのデータ搾取

シンクライアントとは?
新クライアントではなくThin (薄い,痩せた)Clientで,Citrix社のXenAppが有名です。
従来のようなパソコンは,アプリケーションを入れて処理するのでFat(太った)クライアントと呼ばれることもあります。それに対して,ほとんどの処理をサーバで行うためにThin クライアントと考えることができます。

シンクライアントの目的
シンクライアント化する目的は,大きく以下の2つです。
1)セキュリティ強化
2)運用負荷の軽減
セキュリティの強化に関しては,過去問で次のように述べられています。
情報漏えい対策として、ハードディスクなどの記憶装置をもたずUSBメモリなどの外部記憶媒体も利用できないシンクライアント端末を利用する(H23SC春PM1問3より)

シンクライアントの方式
大きく4つあります。当初はSBC型が中心だったが、今は仮想PC型が主軸であろう。

画面転送型
[概要]
 SBC(Server Based Computing)型とも言われます。いわゆるメタフレームまたはリモートデスクトップです。サーバで処理を行い,クライアントには画面情報のみを転送します。
[問題・課題]
 例えば,サーバをWindows 2003とする場合,アプリケーションをWindows 2003サーバ上にインストールしなければなりません。しかし,アプリケーションの対応OSがWindows XPや7の場合,アプリケーションが使えないこともあります。

ブレードPC型
[概要]
 ブレードPCを一人1枚ずつ割り当てる方式です。SBC型のデメリットである対応OSの問題を解決します。サーバをブレードサーバとし,PCと同じ数だけブレードPCを用意します。各ブレードPCには,Windows XPや7などの通常クライアントOSをインストールします。クライアントに画面転送するところはSBC型と同じです。
[問題・課題]
 SBCは極端な話サーバ一台でも良いが,ブレードPC型の場合はPCの台数分のブレードPCが必要です。加えてThin Client の仕組みも必要です。コストがやや高くなり,それほど導入されていないのが現実です。

仮想PC型
[概要]
 PCを仮想化し,一人に1台の仮想PCを割り当てます。ブレードPCを仮想化したものと考えればよいでしょう。仮想した上で,SBCと同じく画面転送を行います。

ネットワークブート型
[概要]
 ログインするたびにPXEによるネットワークブートを行い,OSイメージをサーバからダウンロードします。この方式ではOSイメージを起動するたびに端末側にダウンロードし,処理は端末側で行います。Thin Clientというよりは,Fat Client になります。インターネットカフェなどでよく利用されます。
[問題・課題]
 太いネットワーク帯域が必要です。

情報セキュリティスペシャリストの過去問(H25秋SC午後Ⅱ問1)では、マルウェアが外部のC&Cサーバと不正な通信をしていることが述べられている。しかも、プロキシサーバのURLフィルタリングをすり抜けてしまっているのだ。
 そんなとき、対策は全くないのか。完璧な対策ではなく、あくまでも一例でしかないが、この問題文に対策が書かれてある。
 この問題文の[対策の検討]には、「マルウェアからC&CサーバへのHTTP通信をプロキシで止める対策が有効だと考えています」と述べられている。この具体的な内容が設問で問われていて、解答 例は「プロキシで利用者認証を有効にする」である。プロキシサーバにて認証設定をすれば、認証情報を知らないマルウェアから、外部への不正通信を防ぐことができる。

IPAの「高度標的型攻撃」対策に向けたシステム設計ガイド」(http://www.ipa.go.jp/files/000042039.pdf)にデータがあるので紹介する。
※トレンドマイクロ社のデータを活用しているようだ。

P44のデータを見ると、約52%が直接通信、27%がプロキシを利用、21%が認証プロキシを突破するとある。
21%も突破するという見方もあるが、認証プロキシを入れれば8割の不正なC&C通信がブロックできるので、対策としては価値があると考えられる。

以下、過去問を解いてみましょう。
②プロキシ認証に対応したマルウェアも多いとの調査報告を踏まえ,効果が完全ではないことを認識しながらも,プロキシ2のプロキシ認証機能を有効にした。

設問4 (1)本文中の下線②について,マルウェアは,どのようにして,認証を成功させるか。50字以内で具体的に述べよ。
試験センターの解答例は「Webブラウザからプロキシサーバへの通信を盗聴して認証情報を取得し、プロキシサーバに送信する」です。

完全にきれいに整理できるものではないが、大枠としては以下と考えてもらってよい。

問題点やセキュリティの脅威

対策例

メール全体

①メール本文が暗号化されていない

S/MIMEPGP

送信メールプロトコル(SMTP

②認証無しで送信が可能である

SMTP AUTHPOP before SMTP

③送信元が詐称される可能性がある

SPFSenderIDDKIM

④大量の迷惑(SPAM)メールが送信される

OP25B

受信メールプロトコル(POP3)

⑤認証パスワードが暗号化されていない。

APOP

加えて、オープンリレー対策もありますが、こちらはサーバ側のセキュリティ対策になります。
http://sc.seeeko.com/archives/5432072.html

利用者が電子メールを受信する際の認証情報を秘匿できるように、パスワードからハッシュ値を計算して、その値で利用者認証を行う仕組みは何か。(H23SC春午前2問5参照)
問12-1や12-2との違いをきちんと理解しよう。今回のプロトコルは認証時のセキュリティ対策のみです。メールそのものは暗号化しない。

今ではあまり考えられないのですが、POP3は、パスワードが平文(「ひらぶん」と読む。暗号化されていないという意味)で流れる。
だったらパケットキャプチャしたら、パスワードがばればれ。
※以下はPOP3のパケットをキャプチャーした。パスワードが「passwd」であることが分かる。
pop
それを解決するための仕組み。答えはAPOP。
ですが、昔のOutlookやOutlookExpressがAPOPに未対応であるため、あまり普及していない。

設定方法
Windows Liveメールの場合、アカウントのプロパティにて「サーバー」のタブから設定をする。
apop

SPAMとは、SPAMと連呼するCMが名前の由来です。そのCMのように「しつこい」ことからSPAMメールと呼ぶようになりました。
 SPAMメール=迷惑メールという言葉と同義と考えてよいでしょう。
以下に、SPAMによる被害を整理します。

SPAMによる被害
・回線帯域の圧迫、サーバのキャパシティを使用
・メールの遅延
・セキュリティ被害(SPAMメールに埋め込まれたウイルスへの感染やフィッシング詐欺)
・対策コストの発生
・正常メールの見逃し

SPAMメールはほおっておいていいというものではありません。
業務であれば、明らかに業務効率が起きますし、ウイルス感染による情報漏えいの可能性もあります。対策をとるようにしましょう。
6b2fb508
SPAMメールがひどいと言う人がいますが、
そんなに来るんですか?
私のところには全く来ませんよ。



メールアドレスを公開していたり、ドメインの管理者はWHOISのデータベースに登録されているから、そういう人にはたくさんくる。
SPAMメールに関して、IPAのサイトより記述があるので引用する。
・メール全体に占めるスパムメールの割合は、調査方法によるばらつきがあるものの、おおよそ70%~95%程度
・多くのスパムメールがボットネットによって配信されている
・国内では大手携帯電話会社が相次いで、送信ドメイン認証の技術であるSPF(Sender Policy Framework)やSenderID に対応し、国内ドメインにおける同方式の普及率が大幅に向上した。(以下のサイトより引用http://www.ipa.go.jp/security/vuln/documents/10threats2008.pdf

迷惑メール対策にはいくつかの技術がある。主な対策を、以下に整理する。

対策箇所
解説対策技術例
(1)送信メールサーバユーザを認証することで、不正なメールを送らせない①SMTP-AUTH
②POP before SMTP
(2)プロバイダプロバイダ内で、不正なメール通信を拒否するOP25B
(3)受信メールサーバ送信者認証により、SPAMメールを受け取らない(a)ドメイン認証
 SPF、SenderID
(b)電子署名による認証
 DKIM、DomainKeys
(4)SPAM対策機メールのヘッダや本文を解析してSPAMメールをブロックするブラックリストなど


SPAM対策の全体像_情報セキュリティスペシャリスト試験

過去問をみてみましょう。
〔 a 〕〔 c 〕〔 d 〕に入れる適切な字句を解答群の中から選び、記号で答えよ。(H23SC春PMⅡ問1設問1より)

(2)社内メールサーバでのメールボックス保存
P社ドメイン名あてのメールは,メールボックス保存プログラムである[ b ]によって,従業員用メールアドレス又はサーバ管理用メールアドレスごとのメールボックスに保存される。
(3)PCでのメール送受信
・メール送信
次の二つのどちらかを使用可能であるが, p社のPCでは(a)を使用している。
(a) PCの〔 c 〕は、SMTPで25番ポートを使用し、社内メールサーバの〔 a 〕にメールを送信する。
(b) PCの〔 c 〕はSMTPで587番ポートを使用し、社内メールサーバの〔 d 〕にメールを送信し、〔 d 〕は、〔 a 〕にメールを転送する。
・メール受信
PCの〔 c 〕は,  P0P3を使用し,社内メールサーバのMRA (Mail Retrieval Agent)と通信し,従業員用メールアドレス又はサーバ管理用メールアドレスのメールボックスからメールを取り出す。
MRAのメール取り出し中に,ウイルス対策ソフトのウイルススキャン(以下, P0P3スキャンという)を行うことも可能である。POP3スキャンでウイルスを検知した場合,メール本文をウイルス検知通知に置き換える。しかし, PCのウイルス対策ソフトに同等機能があるのでPOP3スキャンを使用していない。

解答群
(ア) MDA(Mail Delivery Agent)(イ)MSA(Mail Submission Agent)
(ウ) MTA (Mail Transfer Agent)(エ)MUA(Mail User Agent)
セキュリティというより、用語の問題でした。

答えは以下
a ウ b ア c エ d イ

整理しましょう。
(a) PCのMUA(Mail User Agent)は、SMTPで25番ポートを使用し、社内メールサーバのMTA (Mail Transfer Agent)にメールを送信する。
(b) PCのMUA(Mail User Agent)はSMTPで587番ポートを使用し、社内メールサーバのMSA(Mail Submission Agent)にメールを送信し、MSA(Mail Submission Agent)は、MTA (Mail Transfer Agent)にメールを転送する。

①MUA(Mail User Agent)
PCのメールソフトです。Outlookであったり、Thunderbirdと思えばいいでしょう
②MTA (Mail Transfer Agent)
メールサーバと考えていいでしょう。SMTPによるメール通信をします。別の過去問(H29春SC午後Ⅱ問2)では、「メールの転送を行うMTAプログラム」とあります。
③MSA(Mail Submission Agent)
SMTP-AUTHなどで認証するときなどに利用されます。この場合、問題文にあるように、PC(MUA)⇒MSA⇒MTAという流れでメールが転送されます。ただ、MSAとMTAは同じ筐体のメールサーバです。
④MDA(Mail Delivery Agent)
問題文に「メールボックス保存プログラムであるMDAによって,従業員用メールアドレス又はサーバ管理用メールアドレスごとのメールボックスに保存される。」とあるように、メール保存のプログラムです。別の過去問(H29春SC午後Ⅱ問2)では、メールをメールボックスに格納するMDAプログラム」とあります。
LinuxでいうDovecotのプログラムと考えるとなるほどと思う人もいるでしょう。

通常、MSA,MTA、MDAは一つのメールサーバで提供されます。

同様の問題は、H29春SC午後Ⅱ問2でも問われています。このときも、MDAとMTAが問われました。

オープンリレーとは、オープンにリレー(中継)することです。メールサーバは本来、自社からまたは自社宛のメールのみを転送するためにあります。他社から他社へのメールを転送する必要はありません。それを可能にしてしまっているのがオープンリレーで、SPAMメールの踏み台になってしまいます。
過去問(H29春SC午後Ⅱ問2)には「外部メールサーバの転送機能の設定を表3に示す。この設定によって、オープンリレーが防止されている。」とあります。
a
まず、正解ですが、空欄cは内部メールサーバが入ります。
それぞれの項番を簡単に解説します。
■項番1
外部からA社に届くメールを表しています。よって、【 c:内部メールサーバ 】に転送します。

■項番2
社内から外部にメールを送る設定を意味しています。たとえば、宛先メールアドレスのドメインがb-sha.co.jpであれば、このドメインのメールサーバにメールを転送します。
まず、MXレコードを問い合わせ、メールサーバのFQDNを調べます。仮にmx.b-sha.co.jpという結果が返って来たら、次はこのFQDNのAレコードを問い合わせ、転送先のメールサーバのIPアドレスを調査します。

■項番3
この設定によって、第三者による不正なメールを中継を防ぎます。これは、外部ドメインから外部ドメイン宛のメールです。

-----------
H25春SC午後Ⅱ問2では違う表現をしているので、参考まで。

オープンリレー対策では,SMTPの転送元又は送信元と,エンベロープの受信者ドメイン名の組合せで,転送と送信の許可又は拒否を判定する。
a

エンベローブの解説は以下です。
http://nw.seeeko.com/archives/50248527.html

スポンサードリンク

↑このページのトップヘ