情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

8.人的セキュリティ > 8.3 セキュリティ診断

 セキュリティ診断を受ける目的は? 
c2f058cb
セキュリティ対策が万全かどうかをチェックするには専門のセキュリティ診断サービスを受けるのがいいのですよね?
でも、かなり高いと聞きました。




高いけど、やってもらう価値はあるね。特に公開サーバを準備し、しかもそのサーバが企業における重要な位置づけの場合は。
一方、無料でやろうと思うと、WAFの機能を確認するWebサーバの診断としてはparosがあり、IPSの機能を確認するものとしては、NMAPによるPortScanやOpenVasなどがある。
製品そのものはとてもいい製品であるが、本格的な調査をするには多面的な攻撃が必要なので、あくまでも簡易診断と考えてもらた方がよいでしょう。

ペネトレーションテストに関して過去問(H27FE春午前問41)では、「コンピュータやネットワークのセキュリティ上の脆弱性を発見するために,システムを実際に攻撃して侵入を試みる手法」と述べられている。

 

問50 ペネトレーションテストの主目的はどれか。
ア 使用している暗号方式の強度の確認
イ 対象プログラムの様々な入力に対する出力結果と仕様上の出力との一致の確認
ウ ファイアウォールが単位時間当たりに処理できるセッション数の確認
エ ファイアウォールや公開サーバに対するセキュリティホールや設定ミスの有無の確認
(H19初級シスアド秋AM)
スラムダンクで「ペネトレイト」の言葉が説明されていた。バスケットでも使われる言葉で、(ドリブルなどで中に)「侵入する」こと。
ペネトレーションテストとは、侵入テストと考えればよいだろう。
正解はエだ。

H23SC春午後1-4に、ペネトレーションテストの例が述べられている。
〔ペネトレーションテストによる現状確認〕
他社のオークションサイトで、会員情報の流出事件が起きたことから、R社の経営陣はK課長にSサイトのセキュリティ対策を確認するように指示した。K課長は現状のセキュリティ対策の有効性を確認するために、セキュリティ専門会社であるW社に、インターネット及びN社のオフィスからのペネトレーションテスト(以下、Pテストという)を依頼した。表1はW社が報告したPテストの結果である。

1 Pテストの結果

項番

問題点

V-1

Sサイトのログインページで、Pテスト用の会員IDによるログインが何度も失敗したにもかかわらずアカウントがロックされなかった。

V-2

Sサイトからいったんログアウトした後に、再びログインせずに、URLを直接指定することでSサイトの会員個人の専用情報ページを閲覧できた。

V-3

WebサーバのHTTPサービスの脆弱性を突いて、Webサーバに侵入できた。

V-4

V-3の侵入方法によってWebサーバに侵入後、Webサーバ内のファイルをFTPR社の外部に送信できた。

V-5

CNT-MGRのパスワードを推測して、WebサーバへのFTP接続を何度か試行し、最終的に成功した。

V-6

Webサーバへのコンテンツファイル転送時の通信を盗聴して、CNT-MGRのパスワードを窃取できた。

V-7

CNT-MGRWebサーバにログインした後、Webサーバ内のDB接続ツールを実行し、DBMS標準アカウントの初期パスワードでDBに接続できた。


1.ポートスキャン
ポートスキャンとは、言葉の通り、ポート(port)をスキャン(scan:調べる)ことです。
では、過去問をみてみましょう。
各サーバに対して,次のサイバー攻撃が行わ-れていたことが判明した。
【サイバー攻撃1】Webサーバに対して, Webページを表示するためのリクエストが大量に送られ, CPUとメモリの使用率が許容限度を超えてしまっていた。
【サイバー攻撃2】DBサーバにアクセスするプログラムの不備を利用して,データベース上の情報に不正にアクセスしようとした形跡が, Webサーバにあった。
【サイバー攻撃3】DNSプログラムが確保したメモリサイズを超えた入力を与えて,管理者権限を奪おうとした形跡が, DNSサーバ1にあった。
【サイバー攻撃4】使用可能なサービスを探した形跡が, DMZ内の各サーバにあった。

設問1 サイバー攻撃1~4について,その名称を答えよ。(H23春AP午後問9)
以外に難しかったかと思う。本来の問題は選択式ではあるが、これらは基本的なキーワードなので、答えたいところだ。
攻撃1 DoS攻撃
攻撃2 SQLインジェクション
攻撃3 バッファオーバーフロー
攻撃4 ポートスキャン
 
もう一問解いてみましょう。 
問12 脆弱性検査で,対象ホストに対してポートスキャンを行った。対象ポートの状態を判定する方法のうち,適切なものはどれか。
ア 対象ポートにSYNパケットを送信し,対象ホストから“RST/ACK”パケットを受信するとき,対象ポートが開いていると判定する。
イ 対象ポートにSYNパケットを送信し,対象ホストから“SYN/ACK”パケットを受信するとき,対象ポートが閉じていると判定する。
ウ 対象ポートにUDPパケットを送信し,対象ホストからメッセージ“port unreachable”を受信するとき,対象ポートが閉じていると判定する。
工 対象ポートにUDPパケットを送信し,対象ホストからメッセージ“port unreachable”を受信するとき,対象ポートが開いていると判定する。(H26SC春午前Ⅱ問12)
正解はウです。

2.ポートスキャナ―
ポートスキャンをする場合、nmapなどのツールを使うことが一般的です。このようなツールをポートスキャナと言います。過去問(平成26年秋FE午前)を解いてみましょう。
問45 Webサーバの検査におけるポートスキャナの利用目的はどれか。
ア Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。
イ Webサーバの利用者IDの管理状況を運用者に確認して,情報セキュリティボリシとの相違を調べる。
ウ Webサーバヘのアクセス履歴を解析して,不正利用を検出する。
エ 正規の利用者IDでログインし, Webサーバのコンテンツを直接確認して,コンテンツの脆弱性を検出する。
正解はアです。

ファジングとは、 脆弱性をテスト手法の一つです。
ファジングに関して過去問(H27春ES午前Ⅱ問24)では、「問題を引き起こしそうなデータを大量に入力して,そのときの応答や挙動を監視することによって,ソフトウェアの脆弱性を検出するテスト手法」と述べられています。
詳しくはIPAの資料に記載がありますので、お時間があるときに確認してください。
http://www.ipa.go.jp/files/000057652.pdf
上記の資料には、6機種のブロードバンドルータにファジングをした結果、3機種で合計6件の脆弱性を検出したとの記載があります。

具体的な攻撃パターン例も、上記資料に記載されています。
ファジング

では、過去問(H28秋SC午後Ⅰ問2)を解いてみましょう。
一般的には,開発時に,静的解析ツールを利用したり,通常の利用では想定しないデータを入力し,その応答から脆弱性を探す[ d ]検査を行うツールを利用したりして,脆弱性を洗い出すことも効果的である。
さて、この空欄dに入る言葉ですが、お察しの通り、「ファジング」です。

このページのトップヘ