No Programming, No Life

プログラミング関連の話題や雑記

トップ > 情報処理技術者試験

平成21年度 春期 情報セキュリティスペシャリストを受けてきました

日記 情報処理技術者試験

本日2009-04-19(日)、新試験制度になって一回目の情報セキュリティスペシャリスト(SC)を受けてきました。

午前?

せっかくなんで感想を書いておこうと思う。

ええと…実を言うとこの午前?のことを私、すっかりスルーしてまして全く勉強してませんでした。今回から午前が?と?に分かれて、?は「プロジェクトマネージャ」「データベーススペシャリスト」「エンベデッドシステムスペシャリスト」「システム監査技術者」として「情報セキュリティスペシャリスト」で共通になったんですよねぇ…。だから範囲としては、全範囲!これがきつかった。だって勉強してたのはセキュリティとかネットワークの部分ばっかりだったから…と、終わってしまったことを言っても仕方ないですね。次回の試験には午後?の参考書をちゃんと買います。はい。

ということで、ここでいきなりおしまいとなってしまった可能性が大なのでなんとも先行きが暗い(笑)

時間数は50分で30問。ちょうどいいぐらいの分量。

午前?

気を取り直して、午前?に取りかかりました。
午前?は専門分野ということで、情報セキュリティスペシャリストなんで「ネットワーク」や「セキュリティ」の分野を中心に出題されました。「情報セキュアド」と合併したこともあってか、監査とか運用とか法律がらみの出題もちらほらあった気がします。はまるとしたらそのあたりかなぁ…。

時間数は40分で25問。こちらもちょうどいい分量。

午後?

さて、午後?ですが、今回からは4問中2問を選択すればよくなりました。前まで時間が足りないと言われていた午後?ですが、この優遇措置により比較的楽になりました。私は時間ぴったりくらいに2問解き終わった感じです。
ちょっとだけ1問1問で書く文字数が増えたのかな?70字で示せとか50字でとかが出てきた。まあしかし、難易度が特段上がったという印象は受けませんでした。

たぶん、解けた。全部書いたし、埋めたし。大丈夫だと願いたい。

時間数は90分で2問。いい分量。

午後?

で、最後の午後?ですが、こちらは前までと同じですね。2時間じっくりかけて1問を解くというスタイル。若干「?」な問題があったものの、こちらも全部埋めたし…6割りはなんとか行ってほしいところ。
私は全部解き終わって20分くらい残すところで途中退室しました。

時間数は120分で1問。時間余る。

まとめ

ということで、全体的な感想としては、午後?で大きくつまずいたけど、他はまぁ…それなりに頑張ったよ!という感じ。午後?で終わってしまっていたら目も当てられないなぁ…。あとは結果を待つのみ。

追記 (2009-04-20)

合格発表まであと・・・

参照

情報セキュリティスペシャリスト
解答例 (2009/4/19 更新)

セキュリティ応用システム(FW, IDS, IPS, ハニーポット)

情報処理技術者試験 情報セキュリティスペシャリスト

ファイアウォール(FW)

ファイヤウォールには、様々な拡張機能や種類(サーキットレベルゲートウェイなど)そして運用方法がある。試験にあたっておさえておくべき基本事項は以下。

パケットフィルタリング(アクセス制御)

特に、フィルタリングルールに追加すべき通信許可の内容が問われやすい。近年の出題傾向として、戻りパケットに関しては、動的フィルタリング機能によって応答パケットも許可されるとして、省略されることが多い。また送信元ポート番号も任意であることが多いため、省略されつつある。

アドレス変換(NAT)
プロキシ(アプリケーションゲートウェイ)
アクセスログの取得
ACLの作成

パケットフィルタリングを行うためのルールを決めるのが、ACL(Access Control List:アクセス制御リスト)である。

侵入検知システム(IDS)

定義

IDSは、その設置場所や監視対象などから、大別して次の二つのタイプに分類される。

  • ネットワーク型IDS(NIDS):接続されたネットワークセグメント上のパケットを監視するタイプ
  • ホスト型IDS(HIDS):サーバ上にインストールされ、サーバに対するネットワークアクセスやサーバ上のログを監視するタイプ
  • フォールスポジティブ(誤検知):正常なものまでも攻撃として検知してしまうエラー
  • フォールスネガティブ(見逃し):検知すべき攻撃を検知できないエラー
ポイント

IDSに関しては、次の点をおさえておく必要がある。

  • NIDSとHIDSの違い
  • NIDSの接続に必要な設定
  • NIDSの設置場所による監視目的
  • IDSの運用
  • IDSの限界(NIDSの弱点とHIDSの弱点)

侵入防止システム(IPS)

IPS(Intrusion Prevention System:侵入防止システム)とは、不正なパケットを検出し、遮断することによって不正侵入を防止する装置である。IPSはインライン接続で通信路上に挿入され、検知した攻撃を自動的に防御(遮断)する機能をIDSに持たせたものであることから、

「IPS = IDS + インライン接続 + 遮断機能」

と見なすことができる。IDSと重複する部分が多いものの、その限界を補う機能を備えている。不正アクセスを単に検知するだけのIDSと違い、パケットが正当なものと判明するまではあて先に転送せず、遮断する。

IPSの防御機能
IPSの課題

一方でまだ以下のような課題が残されている。

  • 可用性対策
  • 性能(処理能力不足によるボトルネック)
  • 誤検知の問題(フォールスポジティブから受ける影響の大きさ)
  • 暗号化されたパケットの解析
  • アプリケーション独自の脆弱性を突いた攻撃の検知

アプリケーションレベルの攻撃を防ぐには、Webアプリケーションファイアウォール(WAF)の導入など、多層防御を取り入れる必要がある。

ハニーポット

ハニーポットは、セキュリティ上、脆弱性のあるホストやシステムをあえて公開し、受けた攻撃の内容を観察するためのシステムである。「甘い蜜の入ったつぼ」の意味。いわゆるおとりサーバである。おとりサーバには、次の二つのタイプが存在する。

  • 実際にシステムへの侵入まで許可するタイプ(狭義のハニーポット)
  • システムへの侵入まで許可しないタイプ(デコイ)

ネットワークセキュリティにおけるトラップを総称して、デセプションシステム(広義のハニーポット)と呼ぶ。
侵入検知という観点から、ハニーポットはIDSの一種として位置づけられる。IDSが絶えず誤検知という問題を抱える一方、ハニーポットは誤検知がない唯一の不正アクセス監視システムと言える。

ポイント
  • 利用目的
  • 運用する上でのリスク

参考書籍

テクニカルエンジニア 情報セキュリティ[午後]オリジナル問題集 2008年度版 (Shuwa Super Book Series)

モバイルPCのセキュリティ

情報処理技術者試験 情報セキュリティスペシャリスト 



リモートアクセスでの情報漏えい対策で特に重要になるのが、このモバイルPCのセキュリティ。

パソコンの紛失や盗難による情報漏えい対策などがある。

パソコンからの情報漏えい防止策は、大きく二つに分けられる。

パソコンを第三者が起動できないようにする不正アクセス対策

紛失・盗難後の情報漏えい対策

  • ハードディスクにパスワードを設定
  • ハードディスクに格納されたデータの暗号化

参考書籍

テクニカルエンジニア 情報セキュリティ[午後]オリジナル問題集 2008年度版 (Shuwa Super Book Series)

タイムスタンプに関する基礎知識

情報処理技術者試験 情報セキュリティスペシャリスト

要約

電子技術文書の管理強化の一つは、訴訟対策としての、証拠確保のための適切なタイムスタンプの導入である。
これは、信頼できる第三者機関(以下、TTP*1という)によって運用されるTSAのタイムスタンプサービスを利用して、電子技術文書にタイムスタンプを付与するものである。
TSAは、同じくTTPであるTAからの信頼できる日時データを受け、常に正確な時刻を保持する。TAは、国際協定によって人工的に維持されている世界の標準時であるUTC*2と同期し、正確な時刻を配信・認証する。
ディジタル署名に基づくプロトコルには、IETFで標準化(RFC 3161)されたTSPと、ISO/IEC JTC1/SC27で標準化されたものがある。
民事訴訟法における押印と同等の効力を認められている電子署名でも、タイムスタンプは必須の技術である。

タイムスタンプの構成主体

  • 電子文書の署名者
  • タイムスタンプの利用者
  • タイムスタンプ生成機関(TSA: Time Stamp Authority *3 )
  • 時刻情報生成機関(TA: Time Authority *4 )

Q&A

Q1:タイムスタンプ技術は、どのようなことを証明可能にするんですか?タイムスタンプが文書に付加する証拠能力を二つ25字以内で教えて下さい。
A1−1:その文章が確かにある時刻に存在したこと

通常、タイムスタンプによって示される時刻は、タイムスタンプを生成する組織がタイムスタンプの要求情報を受けた時刻とされる。

A1−2:その時刻以降にその文章は改ざんされていないこと

これを非改ざん証明(完全性証明)という。

参考書籍

テクニカルエンジニア 情報セキュリティ[午後]オリジナル問題集 2008年度版 (Shuwa Super Book Series)

テクニカルエンジニア 情報セキュリティ[午後]オリジナル問題集 2008年度版 (Shuwa Super Book Series)

*1:Trusted Third Party

*2:協定世界時

*3:タイムスタンプ局、タイムスタンプオーソリティ、時刻認証局とも呼ばれる

*4:時刻配信局とも呼ばれる

セキュアなプログラミングのためのガイドライン

セキュリティ プログラミング 情報処理技術者試験 情報セキュリティスペシャリスト

IPAガイドラインを出しているので必読。

>>IPA セキュア・プログラミング講座 (旧版)
>>IPA セキュア・プログラミング講座 (新版)
>>「セキュア・プログラミング講座2」 (PDF)

セキュリティ的、ライフサイクル

セキュリティ 情報処理技術者試験

物事には始まりがあればかならず終わりがある。
通常それをライフサイクルと呼ぶわけですが、セキュリティにおけるライフサイクルで、忘れちゃならないものがあります。例えば、

パソコン資産のライフサイクル

  1. 購入
  2. 使用
  3. 設定の変更・修正
  4. 返却 or 廃棄

といった感じになると思うのですが、最後の「返却 or 廃棄」の部分が重要です。

買ったら買いっぱなし、使ったら使いっぱなしで放置しておくと、そこからクラッカスキャベンジング(ゴミ箱あさり)の絶好のカモにされてしまいます。

整理整頓と同じで後片付けが大切です。最後まで責任を持ちましょう。

  • ある事象・物事について考えるときは、ライフサイクルを意識する。(生まれ出る ⇒ 必要とされる ⇒ お荷物になる ⇒ 捨てられる)
  • 恋愛と同じで、「生じたとき」「必要とされているとき」は、相手のことをとても意識するが、「捨てる段階」になると、まったく注意を払わなくなるのが人間。
  • 出題者はその盲点をいやらしく突いてくる。
  • 最後まできっちりケアしてこそ恋愛上手。

参考

1週間で分かる情報セキュリティスペシャリスト集中ゼミ 午後編〈2009年版〉

1週間で分かる情報セキュリティスペシャリスト集中ゼミ 午後編〈2009年版〉

複数人でアカウントを共有していると何がまずいのか

セキュリティ 情報処理技術者試験

アカウントって通常1人1個か、それ以上ですよね?これを複数人で共有していると何がまずいのか。

あとでログをみても、本当は誰がやったのかわからない

たとえば、adminってアカウントでみんなが操作してたら、誰がやったのか全然わかりませんよね。これだと何か問題が発生したときの犯人探しにまったく役に立たなくなってしまいます。

鉄則

記録は、「いつ」「どこで」「誰が」「何を」「どうした」(「どのように」「いくらで」)を後できちんと把握できるように取る。

共有されたアカウントでは「誰が」の部分が不透明になってしまうので、アカウントは個人別にしておきましょう。