情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

7.通信の暗号化 > 7.1 セキュリティプロトコル

通信の暗号化をするためのセキュリティ関連のプロトコルについて紹介する。
かなり色々あるが、代表的なのは、以下の2つだ。
IPsec
SSL

それ以外にはたくさんあり、たとえば以下
SSH
sftp、ftps
scp

過去問を解いてみよう。
問56 セキュリティ関連のプロトコルに関する記述のうち、適切なものはどれか。

ア IPSecは、PPPの認証用プロトコルの一つである。
イ PAPは、LAN間接続やダイヤルアップ接続を行う際のユーザ認証に、暗号を使用したプロトコルである。
ウ PPPは、暗号技術を導入してセキュリティを強化した電子メールシステムのプロトコルである。
エ SSLは、Webサーバとブラウザ間でデータを暗号化して転送する場合に使用することができるプロトコルである。
(平成19年度SW午前 より)
不正解の選択肢も、なぜ間違っているかを考えよう。正解はエ。

1.SSHとは
過去問ではSSHに関して、「リモートログインやリモートファイルコピーのセキュリティを強化したツール及びプロトコル(H20秋AP午前-問76)」と述べられています。ポート番号は22番です。
かなり前かもしれないが、サーバへの接続はTelnetが多かった。しかし、Telnetは暗号化されていないため、SSHで行うことが今では多い。

SSHはUNIX系のコマンドから来たものであり、シェルなのでコマンド操作を含む色々なことができる。
過去問を見てみよう。
問20 暗号化や認証機能をもち,リモートからの遠隔操作の機能をもったプロトコルはどれか
ア IPsec
イ L2TP
ウ RADIUS
エ SSH (H20SC秋午前2)
正解はエ

では、少し難しい問題
しかし、IDとパスワードによる認証を行っていても,このようなログイン画面が攻撃者によって見つけられた場合,IDを固定して,考えられる全てのパスワードを試行する,[ a ]が行われる可能性がある。この攻撃によって,管理者権限が奪われると大きな被害になるので,Q主任はサイト担当者と検討し,インターネットから管理者用ログイン画面にアクセスする場合は,  SSHを利用することにした。SSH利用時には公開鍵認証でログインするので,[ b ]がなければ,Webサーバヘの[ a ]を成功させることは困難である。
なお,サイト担当者がミドルウェアの管理画面にアクセスする際には,サイト担当者のPCからWebサーバへのSSH接続時に、②サイト担当者のPCの任意の通信ポートとミドルウェアの管理画面が動作している通信ポートとの間を暗号通信させることにした。

設問1
(3)本文中の[ a ]に入れる攻撃手法の名称を15字以内で答えよ。
(4)本文中の[ b ]に入れる適切な字句を5宇以内で答えよ。
(5)本文中の下線②は,SSHの何と呼ばれる機能を示しているか。15字以内で答えよ。
(H24SC秋午後2問1)
正解は以下
(3)ブルートフォース攻撃
(4)秘密鍵
(5)ポートフォワーディング 
最後について、補足する。
RDP(3389)やPOP3(110)、FTP(21)などのサービスを利用しようにも、外部からは該当ポートが空いていない場合がある。たとえば、TeraTermのポートフォワーディング(SSH転送)を使うと、SSHの通信を使って任意のポートに接続替えをしてくれる。便利といっちゃ便利であるが、どちらかというと、このSSH通信のIDパスワードを盗まれると、FWをすり抜けて通信できるため、リスクの方が高いと思っている。
SSH_情報セキュリティスペシャリスト試験

2.SSHのクライアント認証方式
情報セキュリティスペシャリストの過去問でよく問われる。
通常よく使われるパスワードと、クライアント証明書の2パターンがある。

基本情報の過去問(H26秋FE午後問1)を見てみよう。
設問4 次の記述中の[ d ]に入れる正しい答えを,解答群の中から選べ。
 SSHサービスがクライアントを認証する方式には,パスワード認証方式と公開鍵認証方式がある。A社は公開鍵認証方式を採用した。
 公開鍵認証方式では,秘密鍵で作成した署名が,対応する公開鍵で検証できることを利用して,次のようにクライアントを認証する。
(1)クライアントは,秘密鍵を使って作成した署名と,その秘密鍵に対応する公開鍵をサーバに送る。
(2)サーバは,(1)の公開鍵がサーバに登録されていることを確認し,公開鍵で(1)の署名を検証する。
(3)検証に成功すれば,クライアントがサーバに登録されている公開鍵に対応する秘密鍵をもっていることが証明されるので,サーバは,クライアントを認証する。
 このように,公開鍵認証方式では,クライアントがサーバのSSHサービスを利用する際に,パスワードや[ d ]をネットワーク上に流す必要がない。
 
解答群
 ア 公開鍵
 イ 秘密鍵
 ウ 秘密鍵及び公開鍵

正解は、簡単である。イの秘密鍵だ。

以下は情報セキュリティスペシャリスト試験の過去問(H24SC秋午後1問1)である。ここでの「HTTPSを採用し、その上でのフォームを用いた利用者認証」が、先ほど述べた「パスワード」による認証だと思っていい(と思う)。設問では、「クライアント証明書」による「SSLのクライアント認証」と比較した利点が問われている。
 会員サイトは個人情報を扱うことから、①サーバ認証によるHTTPSを採用し、その上でのフォームを用いた利用者認証を行っている。例えば,ある会員がブラウザで会員サイトにアクセスしようとすると,利用者IDとパスワードによる利用者認証が求められ,認証に成功すると,会員サイトにアクセスできるようになる。クッキーの有効期限が切れるか,利用者がログアウトした後は,当該ブラウザから会員サイトにアクセスできなくなり,再び利用者認証を求められる。

設問2 本文中の下線①について, SSLのクライアント認証と比較した場合の,サーバ認証によるHTTPS通信上でフォームを用いた利用者認証を行う利点を,  25字以内で述べよ。

正解は、「利用者がクライアント証明書を用意する必要がない。」である。
このサービスは会員向けといえど、広く一般ユーザに提供しているサービスである。よって、その利用者にクライアント証明書を発行して認証するというのは、非現実的であろう。

 コンテンツファイル転送時に使用するサービスをSSHに変更した際使用するコマンドを5文字以内で答えよ。(H23SC春PM1-4 設問1(2)改) 
結構難しい。
正解は、SFTP(SSH File Transfer Protocol)である。

このページのトップヘ