情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

8.人的セキュリティ > 8.3 セキュリティ診断

Webサーバへの攻撃は高度化、多様化しています。特に公開サーバは狙われやすくなっています。
サーバがセキュリティ面で安全かどうかを確認するために、セキュリティ診断をするほうがいいでしょう。
過去問(H26SC春午後2問2)では、「公開Webサーバの運用再開前に,脆弱性検査を実施することを推奨する」とあります。
診断には大きく2つあり、1つは「Webアプリケーション診断」、もう一つは「プラットフォーム診断」です。
この2つは、いくつかのセキュリティベンダーが診断メニューとして用意しています。
Webアプリケーション診断
Webアプリケーションの診断です。
ツールには、AppScan(使いやすいが高い)、OWASP ZAP、Burp Suiteなどがあります。
プラットフォーム診断
OSやミドルウェア(Javaを動かすTomcatやWebサーバのApacheなど)の診断
ツールには、NMmapによるPortScanや、有名なNessus(安い)があります。

しかし、自社で診断するのは、難易度が高いので、第三者の専門家に診断してもらうのいいです。

情報セキュリティスペシャリスト試験を目指す女性SE
でも、高そうですね。
たしかに。Webサーバの診断をする場合、1台であっても100万円を超えることはよくあるものです。
そこで、自社で実施する場合は、IPAには「安全なウェブサイトの作り方」というのが公開されており、こちらは、手動にはなるが、簡易診断が行えます。
簡易とはいえ、やる価値は十二分にあります。
https://www.ipa.go.jp/security/vuln/websecurity.html

ペネトレーションテストに関して過去問(H27FE春午前問41)では、「コンピュータやネットワークのセキュリティ上の脆弱性を発見するために,システムを実際に攻撃して侵入を試みる手法」と述べられている。
情報セキュリティスペシャリスト試験を目指す女性SE

ペネトレーションテストと脆弱性診断は同じですか?




脆弱性診断の一部として、ペネトレーションテストがあると考えてください。ペネトレーションテストは、実際に侵入してみるものですが、侵入せずに診断をすることができます。たとえば、OSのバージョンや使用している暗号方式を確認することで、脆弱性が無いかを評価できます。

以下の過去問を見てみましょう。
問50 ペネトレーションテストの主目的はどれか。
ア 使用している暗号方式の強度の確認
イ 対象プログラムの様々な入力に対する出力結果と仕様上の出力との一致の確認
ウ ファイアウォールが単位時間当たりに処理できるセッション数の確認
エ ファイアウォールや公開サーバに対するセキュリティホールや設定ミスの有無の確認
(H19初級シスアド秋AM)
スラムダンクで「ペネトレイト」の言葉が説明されていた。バスケットでも使われる言葉で、(ドリブルなどで中に)「侵入する」こと。
ペネトレーションテストとは、侵入テストと考えればよいだろう。
正解はエだ。

H23SC春午後1-4に、ペネトレーションテストの例が述べられている。
〔ペネトレーションテストによる現状確認〕
他社のオークションサイトで、会員情報の流出事件が起きたことから、R社の経営陣はK課長にSサイトのセキュリティ対策を確認するように指示した。K課長は現状のセキュリティ対策の有効性を確認するために、セキュリティ専門会社であるW社に、インターネット及びN社のオフィスからのペネトレーションテスト(以下、Pテストという)を依頼した。表1はW社が報告したPテストの結果である。

1 Pテストの結果

項番

問題点

V-1

Sサイトのログインページで、Pテスト用の会員IDによるログインが何度も失敗したにもかかわらずアカウントがロックされなかった。

V-2

Sサイトからいったんログアウトした後に、再びログインせずに、URLを直接指定することでSサイトの会員個人の専用情報ページを閲覧できた。

V-3

WebサーバのHTTPサービスの脆弱性を突いて、Webサーバに侵入できた。

V-4

V-3の侵入方法によってWebサーバに侵入後、Webサーバ内のファイルをFTPR社の外部に送信できた。

V-5

CNT-MGRのパスワードを推測して、WebサーバへのFTP接続を何度か試行し、最終的に成功した。

V-6

Webサーバへのコンテンツファイル転送時の通信を盗聴して、CNT-MGRのパスワードを窃取できた。

V-7

CNT-MGRWebサーバにログインした後、Webサーバ内のDB接続ツールを実行し、DBMS標準アカウントの初期パスワードでDBに接続できた。


1.ポートスキャン
ポートスキャンとは、言葉の通り、ポート(port)をスキャン(scan:調べる)ことです。
では、過去問をみてみましょう。
各サーバに対して,次のサイバー攻撃が行わ-れていたことが判明した。
【サイバー攻撃1】Webサーバに対して, Webページを表示するためのリクエストが大量に送られ, CPUとメモリの使用率が許容限度を超えてしまっていた。
【サイバー攻撃2】DBサーバにアクセスするプログラムの不備を利用して,データベース上の情報に不正にアクセスしようとした形跡が, Webサーバにあった。
【サイバー攻撃3】DNSプログラムが確保したメモリサイズを超えた入力を与えて,管理者権限を奪おうとした形跡が, DNSサーバ1にあった。
【サイバー攻撃4】使用可能なサービスを探した形跡が, DMZ内の各サーバにあった。

設問1 サイバー攻撃1~4について,その名称を答えよ。(H23春AP午後問9)
以外に難しかったかと思う。本来の問題は選択式ではあるが、これらは基本的なキーワードなので、答えたいところだ。
攻撃1 DoS攻撃
攻撃2 SQLインジェクション
攻撃3 バッファオーバーフロー
攻撃4 ポートスキャン
 
もう一問解いてみましょう。 
問12 脆弱性検査で,対象ホストに対してポートスキャンを行った。対象ポートの状態を判定する方法のうち,適切なものはどれか。
ア 対象ポートにSYNパケットを送信し,対象ホストから“RST/ACK”パケットを受信するとき,対象ポートが開いていると判定する。
イ 対象ポートにSYNパケットを送信し,対象ホストから“SYN/ACK”パケットを受信するとき,対象ポートが閉じていると判定する。
ウ 対象ポートにUDPパケットを送信し,対象ホストからメッセージ“port unreachable”を受信するとき,対象ポートが閉じていると判定する。
工 対象ポートにUDPパケットを送信し,対象ホストからメッセージ“port unreachable”を受信するとき,対象ポートが開いていると判定する。(H26SC春午前Ⅱ問12)
正解はウです。

2.ポートスキャナ―
ポートスキャンをする場合、nmapなどのツールを使うことが一般的です。このようなツールをポートスキャナと言います。過去問(平成26年秋FE午前)を解いてみましょう。
問45 Webサーバの検査におけるポートスキャナの利用目的はどれか。
ア Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。
イ Webサーバの利用者IDの管理状況を運用者に確認して,情報セキュリティボリシとの相違を調べる。
ウ Webサーバヘのアクセス履歴を解析して,不正利用を検出する。
エ 正規の利用者IDでログインし, Webサーバのコンテンツを直接確認して,コンテンツの脆弱性を検出する。
正解はアです。

ファジングとは、 脆弱性をテスト手法の一つです。
ファジングに関して過去問(H27春ES午前Ⅱ問24)では、「問題を引き起こしそうなデータを大量に入力して,そのときの応答や挙動を監視することによって,ソフトウェアの脆弱性を検出するテスト手法」「ソフトウェアのデータの入出力に注目し,問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し,脆弱性を見つける(H28秋AP午前問45)」と述べられています。
詳しくはIPAの資料に記載がありますので、お時間があるときに確認してください。
http://www.ipa.go.jp/files/000057652.pdf
上記の資料には、6機種のブロードバンドルータにファジングをした結果、3機種で合計6件の脆弱性を検出したとの記載があります。

具体的な攻撃パターン例も、上記資料に記載されています。
ファジング

では、過去問(H28秋SC午後Ⅰ問2)を解いてみましょう。
一般的には,開発時に,静的解析ツールを利用したり,通常の利用では想定しないデータを入力し,その応答から脆弱性を探す[ d ]検査を行うツールを利用したりして,脆弱性を洗い出すことも効果的である。
さて、この空欄dに入る言葉ですが、お察しの通り、「ファジング」です。

このページのトップヘ