高まるユーザーのデータ保護とデジタル上で取り組むべきセキュリティ対策って?

高まるユーザーのデータ保護とデジタル上で取り組むべきセキュリティ対策って?

本のまとめ

▼読んだ本は?
■図解まるわかり セキュリティのしくみ
■増井 敏克さん
http://amzn.asia/d/eZshr7f
▼情報セキュリティデで大事なCIAって?
■C (confidiality)=情報の機密性
└許可された人だけが情報にアクセスし、利用できること

■I (integrity)=完全性
└改ざんや破壊が行われておらず、内容が正しい状態にあること

■A (availability)=可用性
└障害が発生しにくく、復旧までの時間が短いこと

▼認証と認可って?
■アクセス権
└特定の人だけがアクセスできる権利

■認証
└特定の人を識別すること

■認可
└特定の人に、その人に合わせたアクセスを許可すること

▼さまざまな認証方法は?
■ワンタイムパスワード
└一度だけ使えるパスワードを用意する方法

■二段階認証
└ログイン時にスマートフォンなどに認証コードを通知する方法

■リスクベース認証
└利用者のIPアドレスなどから位置情報を判定し、本人かどうかを認証する方法

■CAPTCHA
└ユーザーに画像内の文字を読み取ってもらい認証する方法

■シングルサインオン
└あるサービスでログインした認証情報を、他のサービスでも使えるように事前に設定しておく方法

▼悪意をもった攻撃方法ってどんなのがある?
■総当たり攻撃(ブルートフォース攻撃)
└ログインIDを固定して、さまざまなパスワードを次々と試す攻撃

■辞書攻撃
└ログインIDを固定して、事前に用意したパスワードを試す攻撃

■IPスプーフィング
└特定のIPアドレスからしか接続できないサービスに対して、自分のIPアドレスを偽装して接続する方法

■バックドア(裏口)
└攻撃者がサーバーに侵入した後、次から簡単に侵入できるようソフトウェアなどを配置しておく攻撃方法

■rootkit
└rootと呼ばれる管理者権限を使って、システムを改ざんするためのツールの集まり

■DoS/DDos攻撃
└多数のコンピュータから大量の通信を発生させることで、対象のネットワークを麻痺させる攻撃

■SQLインジェクション
└検索キーワードやID/パスワードの入力を行う箇所でSQLを実行し、データの改ざんや情報の抜き出しを行う攻撃

■クロスサイトスクリプティング
└サイト内の掲示板などを利用してスクリプトを埋め込み、訪問ユーザーを他のページに遷移させたり、cookieを盗んだりする攻撃

■クロスサイトリクエストフォージェリ
└悪意のある他のサイトを用意し、そのフォームなどからユーザーが送信すると、別の攻撃対象のサイトで決済処理が発生したり、掲示板に変な書き込みをさせるなどの攻撃

■セッションハイジャック
└WEBサイトに利用した時などに発行される「セッションID」を、クロスサイトスクリプティングなども使いつつ不正に取得する攻撃

▼攻撃からの防御方法は?
■パケットフィルタリング
└送信元や宛先のIPアドレスやポート番号をチェックして、通信を制御する方法

■パケットキャプチャ
└ネットワークを流れる通信内容を調べるために、パケットを採取する方法
└キャプチャには「Wireshark」などのツールが使われる

■IDS(侵入検知システム)
└特定のパターンにマッチした通信など、外部から攻撃を受けたことを検知する方法

■IPS(侵入防止システム)
└不正な通信と判断された通信を遮断する方法

■UTM(統合脅威管理)
└IDS/IPS、ウイルス対策ソフトなどを1つの製品としてまとめたもの

■ハニーポット(おとり)
└本物のシステムやコンピュータに似せて、わざと攻撃を受けやすいようにして、情報を収集する方法

■サンドボックス(砂場)
└本来のシステムとは別の場所に作ったシステムで、不明なプログラムなどがあった場合にこちらでまずは実行する方法

■WAF(ウェブアプリケーションファイアウォール)
└通信内容をパターンとして確認し、SQLインジェクションなど攻撃として判断したものを自動的に遮断する方法

▼悪意のあるソフトウェアであるマルウェアにはどんなものがある?
【1】ウイルス
└他のプログラムに寄生して動作するマルウェア

【2】ワーム
└単独で自己増殖するマルウェア

【3】トロイの木馬
└正常なプログラムであるかのように偽装するマルウェア

【4】スパイウェア
└情報を盗み出すマルウェア

【5】ランサムウェア
└コンピュータの中にあるファイルを勝手に暗号化したり制限をかけて、もとに戻すためには金銭を支払うよう迫るマルウェア

▼公開鍵暗号とは?
■「公開鍵」と「復号鍵」を使って、暗号化と復号(暗号をもとに戻すこと)を行う方法

■公開鍵
└第三者に公開してもいい鍵

■秘密鍵
└本人以外には絶対に知られないようにする鍵

■公開鍵暗号を利用する時の流れ
【1】AさんからBさんにデータを送信する場合
【2】データを受信するBさんは、一対の公開鍵と秘密鍵を用意
【3】BさんはAさんに公開鍵だけを渡す
【4】Aさんはもらった公開鍵を使って、送信するデータを暗号化してBさんに送る
【5】Bさんは暗号化されたデータを受信したら、秘密鍵を使って復号を行う

▼インターネット上の通信を暗号化するSSLの流れって?
【1】まずユーザーがリクエストを送ると、サーバーが「サーバーの公開鍵」をユーザーにわたす
【2】ユーザーは受け取った公開鍵を使って、自分が準備した共通鍵を暗号化する
【3】ユーザーからの暗号化された共通鍵を、サーバーが受け取って秘密鍵で複合する
【4】次にユーザーは準備した共通鍵で、暗号化したデータをサーバーに送信する
【5】サーバー側は先程復号化した共通鍵を使って、ユーザーから送られた暗号データを復号する
▼データ改ざんの検出に使われるハッシュとは?
【1】例えばAさんがファイルを送るときに、ファイルに対して、ハッシュ関数を使ってハッシュ値を算出しておく
【2】算出されたハッシュ値は、ちょっとでももとの文字列が違うと全く違う値に変わってしまうため、改ざんが難しい
【3】Aさんはファイルと、ファイルから算出したハッシュ値をセットでBさんに送信する
【4】ファイルを受信したBさんは、受け取ったファイルからハッシュ値を算出する
【5】BさんがAさんから受け取ったハッシュ値と、Bさん自身が算出したハッシュ値を比較して、値が同じだったらファイルも同一
▼企業のセキュリティへの対応方針を示すには?
■情報セキュリティポリシー
└基本方針、対策基準、実施手順から構成され、情報セキュリティに対する自社の考え方をまとめたもの

■プライバシーポリシー
└個人情報を集める目的や管理体制など、個人情報保護についての自社の考え方をまとめたもの

■ISMS(情報セキュリティマネジメントシステム)
└組織全体が、情報セキュリティを守るための仕組みや取り組みを十分に行えているかの認証規格

■PCI DSS
└クレジットカード情報の取扱が、安全に行われているかの認証規格

■プライバシーマーク
└個人情報を適切に保護する体制を整備しているかの認証規格

▼セキュリティリスクに対する4つの考え方とは?
■リスク回避
└リスクそのものをなくすこと
└例えば、リスクがあるソフトウェアがあれば、それ自体を使わないこと

■リスク低減
└リスクの発生確率や被害を低下させること
└例えば、ウイルス対策ソフトの導入やソフトウェアのアップデート対策をすること

■リスク移転
└リスクを他社と分割したり、代替手段を用いたりすること
└例えば、業務のアウトソーシングにより外部の業者にセキュリティを委託すること

■リスク保有
└リスクに対してなにもせず、受け入れること

▼SLAとは?
■サービスの品質レベルに対する合意事項のこと
└例えば、サービスの稼働率について定める
└例えば、遅延時間や復旧までの時間について定める
└例えば、バックアップの有無について定める
└例えば、基準を満たさない場合のペナルティについて定める

思ったこと

デジタル上での個人情報の取扱が高まるにつれて、指数関数的にその重要性が増しつつある情報セキュリティについてまとめられた本でした。

クロスサイトスクリプティングやSQLインジェクションなど、ユーザーとのインタラクションが発生する箇所を狙ったさまざまな攻撃方法に対して、WAFやIPS/IDSなどを使って、デジタル上のセキュリティを担保する方法が描かれています。

Googleも検索順位の変動要素のひとつに取り入れたSSL通信に関しても、結局は暗号化を用いてユーザーが通信するデータを保護して、安全なインターネット環境にしようぜという強い意志なんでしょうね。

セキュリティって、やっぱり事件や事故が起こるまで、後回しにされがちな領域ではあります。

だけど、GDPRでヨーロッパが個人データの保護にガチで乗り出してきていることや、そして、情報漏えいした企業が多額の支払いを強いられていることからも、最も先行して考えるべき要素の一つとして間違いないでしょうね。

ありがとうございました!

関連する記事