Suche senden
Hochladen
情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2
•
0 gefällt mir
•
1,482 views
Ruo Ando
Folgen
Melden
Teilen
Melden
Teilen
1 von 54
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
情報セキュリティと標準化I 第6回-公開用
情報セキュリティと標準化I 第6回-公開用
Ruo Ando
情報セキュリティの概要
情報セキュリティの概要
Tokai University
情報セキュリティの概要
情報セキュリティの概要
Tokai University
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
Amazon Web Services Japan
PaaS / Cloud Foundry makes you happy
PaaS / Cloud Foundry makes you happy
Katsunori Kawaguchi
パブリッククラウド動向とIBMの取り組み
パブリッククラウド動向とIBMの取り組み
Kimihiko Kitase
6 24security
6 24security
Yuki Fujino Oita Univ.
[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド
[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド
Amazon Web Services Japan
Weitere ähnliche Inhalte
Andere mochten auch
情報セキュリティと標準化I 第4回-公開用
情報セキュリティと標準化I 第4回-公開用
Ruo Ando
2015年2月26日 dsthHUB 『オンプレミスとクラウドをシームレスに"つなぐ" 新製品「Thunderbus」の全貌』
2015年2月26日 dsthHUB 『オンプレミスとクラウドをシームレスに"つなぐ" 新製品「Thunderbus」の全貌』
dstn
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
shigeyuki azuchi
3 クラウド・コンピューティング特論 第2章 クラウドのアーキテクチャ
3 クラウド・コンピューティング特論 第2章 クラウドのアーキテクチャ
Enpel
Cloud Foundryで学ぶ、PaaSのしくみ講座
Cloud Foundryで学ぶ、PaaSのしくみ講座
Kazuto Kusama
複数のセキュアOSのセキュリティポリシー設定の自動生成のための構文主導変換方式の提案と考察
複数のセキュアOSのセキュリティポリシー設定の自動生成のための構文主導変換方式の提案と考察
Ruo Ando
Andere mochten auch
(6)
情報セキュリティと標準化I 第4回-公開用
情報セキュリティと標準化I 第4回-公開用
2015年2月26日 dsthHUB 『オンプレミスとクラウドをシームレスに"つなぐ" 新製品「Thunderbus」の全貌』
2015年2月26日 dsthHUB 『オンプレミスとクラウドをシームレスに"つなぐ" 新製品「Thunderbus」の全貌』
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
3 クラウド・コンピューティング特論 第2章 クラウドのアーキテクチャ
3 クラウド・コンピューティング特論 第2章 クラウドのアーキテクチャ
Cloud Foundryで学ぶ、PaaSのしくみ講座
Cloud Foundryで学ぶ、PaaSのしくみ講座
複数のセキュアOSのセキュリティポリシー設定の自動生成のための構文主導変換方式の提案と考察
複数のセキュアOSのセキュリティポリシー設定の自動生成のための構文主導変換方式の提案と考察
Ähnlich wie 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2
機械学習×セキュリティ
機械学習×セキュリティ
michiaki ito
Itパスポート勉強会for vb aer_ネットアップ版_20210731
Itパスポート勉強会for vb aer_ネットアップ版_20210731
Ryu CyberWintelligent
セキュアな育毛
セキュアな育毛
Ishibashi Ryosuke
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
MPN Japan
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
日本ヒューレット・パッカード株式会社
コンテナ時代の体系的情報セキュリティ対策入門
コンテナ時代の体系的情報セキュリティ対策入門
TakashiTsukamoto4
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
機械学習応用システムのための要求工学
機械学習応用システムのための要求工学
Nobukazu Yoshioka
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
Katsuhide Hirai
プライバシーエンジニアリング技術標準化の欧米比較
プライバシーエンジニアリング技術標準化の欧米比較
Eiji Sasahara, Ph.D., MBA 笹原英司
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
Eiji Sasahara, Ph.D., MBA 笹原英司
Microsoft 365 で両立するセキュリティと働き方改革
Microsoft 365 で両立するセキュリティと働き方改革
Hiroyuki Komachi
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
[db tech showcase Tokyo 2018] #dbts2018 #D14 『データベースのPCI DSS/GDPR遵守のためのデータ保護/...
[db tech showcase Tokyo 2018] #dbts2018 #D14 『データベースのPCI DSS/GDPR遵守のためのデータ保護/...
Insight Technology, Inc.
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
グローバルセキュリティエキスパート株式会社(GSX)
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
グローバルセキュリティエキスパート株式会社(GSX)
Certified network defender
Certified network defender
Trainocate Japan, Ltd.
災害を想定した情報セキュリティ対策の検討
災害を想定した情報セキュリティ対策の検討
Tokai University
SOFTCAMP SHIELDEX 詳細な紹介資料及び 導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び 導入事例
Softcamp Co., Ltd.
セキュリティの知識を共有するセキュリティパターン(2018/6/15)
セキュリティの知識を共有するセキュリティパターン(2018/6/15)
Nobukazu Yoshioka
Ähnlich wie 情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2
(20)
機械学習×セキュリティ
機械学習×セキュリティ
Itパスポート勉強会for vb aer_ネットアップ版_20210731
Itパスポート勉強会for vb aer_ネットアップ版_20210731
セキュアな育毛
セキュアな育毛
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
コンテナ時代の体系的情報セキュリティ対策入門
コンテナ時代の体系的情報セキュリティ対策入門
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
機械学習応用システムのための要求工学
機械学習応用システムのための要求工学
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
プライバシーエンジニアリング技術標準化の欧米比較
プライバシーエンジニアリング技術標準化の欧米比較
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
Microsoft 365 で両立するセキュリティと働き方改革
Microsoft 365 で両立するセキュリティと働き方改革
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
[db tech showcase Tokyo 2018] #dbts2018 #D14 『データベースのPCI DSS/GDPR遵守のためのデータ保護/...
[db tech showcase Tokyo 2018] #dbts2018 #D14 『データベースのPCI DSS/GDPR遵守のためのデータ保護/...
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
Certified network defender
Certified network defender
災害を想定した情報セキュリティ対策の検討
災害を想定した情報セキュリティ対策の検討
SOFTCAMP SHIELDEX 詳細な紹介資料及び 導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び 導入事例
セキュリティの知識を共有するセキュリティパターン(2018/6/15)
セキュリティの知識を共有するセキュリティパターン(2018/6/15)
Mehr von Ruo Ando
KISTI-NII Joint Security Workshop 2023.pdf
KISTI-NII Joint Security Workshop 2023.pdf
Ruo Ando
Gartner 「セキュリティ&リスクマネジメントサミット 2019」- 安藤
Gartner 「セキュリティ&リスクマネジメントサミット 2019」- 安藤
Ruo Ando
解説#86 決定木 - ss.pdf
解説#86 決定木 - ss.pdf
Ruo Ando
SaaSアカデミー for バックオフィス アイドルと学ぶDX講座 ~アイドル戦略に見るDXを専門家が徹底解説~
SaaSアカデミー for バックオフィス アイドルと学ぶDX講座 ~アイドル戦略に見るDXを専門家が徹底解説~
Ruo Ando
解説#83 情報エントロピー
解説#83 情報エントロピー
Ruo Ando
解説#82 記号論理学
解説#82 記号論理学
Ruo Ando
解説#81 ロジスティック回帰
解説#81 ロジスティック回帰
Ruo Ando
解説#74 連結リスト
解説#74 連結リスト
Ruo Ando
解説#76 福岡正信
解説#76 福岡正信
Ruo Ando
解説#77 非加算無限
解説#77 非加算無限
Ruo Ando
解説#1 C言語ポインタとアドレス
解説#1 C言語ポインタとアドレス
Ruo Ando
解説#78 誤差逆伝播
解説#78 誤差逆伝播
Ruo Ando
解説#73 ハフマン符号
解説#73 ハフマン符号
Ruo Ando
【技術解説20】 ミニバッチ確率的勾配降下法
【技術解説20】 ミニバッチ確率的勾配降下法
Ruo Ando
【技術解説4】assertion failureとuse after-free
【技術解説4】assertion failureとuse after-free
Ruo Ando
ITmedia Security Week 2021 講演資料
ITmedia Security Week 2021 講演資料
Ruo Ando
ファジングの解説
ファジングの解説
Ruo Ando
AI(機械学習・深層学習)との協働スキルとOperational AIの事例紹介 @ ビジネス+ITセミナー 2020年11月
AI(機械学習・深層学習)との協働スキルとOperational AIの事例紹介 @ ビジネス+ITセミナー 2020年11月
Ruo Ando
【AI実装4】TensorFlowのプログラムを読む2 非線形回帰
【AI実装4】TensorFlowのプログラムを読む2 非線形回帰
Ruo Ando
Intel Trusted Computing Group 1st Workshop
Intel Trusted Computing Group 1st Workshop
Ruo Ando
Mehr von Ruo Ando
(20)
KISTI-NII Joint Security Workshop 2023.pdf
KISTI-NII Joint Security Workshop 2023.pdf
Gartner 「セキュリティ&リスクマネジメントサミット 2019」- 安藤
Gartner 「セキュリティ&リスクマネジメントサミット 2019」- 安藤
解説#86 決定木 - ss.pdf
解説#86 決定木 - ss.pdf
SaaSアカデミー for バックオフィス アイドルと学ぶDX講座 ~アイドル戦略に見るDXを専門家が徹底解説~
SaaSアカデミー for バックオフィス アイドルと学ぶDX講座 ~アイドル戦略に見るDXを専門家が徹底解説~
解説#83 情報エントロピー
解説#83 情報エントロピー
解説#82 記号論理学
解説#82 記号論理学
解説#81 ロジスティック回帰
解説#81 ロジスティック回帰
解説#74 連結リスト
解説#74 連結リスト
解説#76 福岡正信
解説#76 福岡正信
解説#77 非加算無限
解説#77 非加算無限
解説#1 C言語ポインタとアドレス
解説#1 C言語ポインタとアドレス
解説#78 誤差逆伝播
解説#78 誤差逆伝播
解説#73 ハフマン符号
解説#73 ハフマン符号
【技術解説20】 ミニバッチ確率的勾配降下法
【技術解説20】 ミニバッチ確率的勾配降下法
【技術解説4】assertion failureとuse after-free
【技術解説4】assertion failureとuse after-free
ITmedia Security Week 2021 講演資料
ITmedia Security Week 2021 講演資料
ファジングの解説
ファジングの解説
AI(機械学習・深層学習)との協働スキルとOperational AIの事例紹介 @ ビジネス+ITセミナー 2020年11月
AI(機械学習・深層学習)との協働スキルとOperational AIの事例紹介 @ ビジネス+ITセミナー 2020年11月
【AI実装4】TensorFlowのプログラムを読む2 非線形回帰
【AI実装4】TensorFlowのプログラムを読む2 非線形回帰
Intel Trusted Computing Group 1st Workshop
Intel Trusted Computing Group 1st Workshop
情報セキュリティと標準化Ii 参考資料-クラウドのセキュリティその2
1.
情報セキュリティと標準化II 参考資料 クラウドコンピューティングのセキュリティ2 ドラフト-2013-05-21-01
2.
基本情報処理技術者試験: 情報セキュリティ対策 ①物理セキュリティ対策:物理的な脅威から情報資産 を保護する。 耐震設備、電源設備、入退室管理(IDカード) ②技術的セキュリティ管理:技術的な脅威から情報資 産をまもる。 コンピュータウィルス対策、WEB認証、アクセス制 御など ③人的セキュリティ対策:人的な脅威から情報資産を 保護する。 従業員、組織の人員の管理、セキュリティポリシー を守らせる(周知させる)。
3.
情報セキュリティのCIA confidentiality Integrity availability 機密性 情報が組織や個人に よって定められたルール 通りに保護できること。 可用性 システムを必要に 応じて利用・制御ができ ること。 完全性 情報が破壊、改ざん又 は消去されていない状 態を確保すること 暗号・認証 アクセス制御・認証 暗号・ アクセス制御
4.
情報セキュリティのCIA C I A アクセス制御、パスワード認 証、暗号化、入退室管理 暗号化、デジタル署名、 ハッシュによる改ざん防止 情報漏洩 WEBクラッキング パスワードが盗まれる アクセス制御、冗長構成、認証 不正アクセス WEBが改竄される サイバー攻撃 WEB封鎖 アクセスできなくなる
5.
情報セキュリティの3条件 CIA(秘匿性・完全性・可用性) • 秘匿性 Confidentiality 許可されたものが情報にアクセスできる。 •
完全性 Integrity 情報が正確であり、改ざんされないこと。 • 可用性 Availability 許可されたユーザが情報にアクセスし利用できる。
6.
秘匿性:秘密(C)を守る 送信 第3者に情報が 漏洩しないか 暗号化されていな いデータにアクセス されないか
7.
認証:完全性(I)を守る 送信 相手認証 通信相手が 本人かどうか メッセージ認証 通信の途中で メッセージが改ざんされ ていないか デジタル署名 送信する文書が 正当化かどうか
8.
脆弱性管理:(A)を守る リスク 脆弱性 脅威 発生する前の想定 脆弱性:リスクを発生 させる原因のこと。 プログラムを間違って 書くと発生する。 発生した後の事象
9.
暗号化:C(秘匿性)を守るための 2種類の暗号化手法 平文 暗号文 平文 暗号鍵
復号鍵 共通鍵暗号方式: 暗号鍵と復号鍵に同じ鍵を用いる 公開鍵暗号方式: 暗号鍵と復号鍵が違う 暗号鍵は公開する(多)。秘密鍵で復号する(一)。
10.
インターネット通信で使う2つの処理 暗号化とハッシュ 平文 メッセージ 暗号文 計算 (変換) 鍵 平文 メッセージ ハッシュ計算 (変換) 通信の途中でメッセージの内容が 第3者にわからないようにする。 メッセージの内容を短くして表現して メッセージが改ざんされていないかの確認に 使う。
11.
2種類の暗号化手法 平文 暗号文 平文 暗号鍵
復号鍵 共通鍵暗号方式: 暗号鍵と復号鍵に同じ鍵を用いる 公開鍵暗号方式: 暗号鍵と復号鍵が違う 暗号鍵は公開する(多)。秘密鍵で復号する(一)。
12.
インターネットと暗号化 暗号化 復号化 ? インターネットでは 見知らぬ第3者のコ ンピュータを経由して 通信がおこなわれる。 第3者が見ても わからないようにする。 鍵を使って データを戻す。
13.
2種類の暗号化手法 鍵X 鍵A 鍵Y 鍵A 共通鍵方式は 送信と受信で同じ鍵を 使う。 公開鍵方式は 送信と受信で違う鍵を 使う。2つの鍵を使う 鍵Xで暗号化した データは鍵Yでしか 復号できない。
14.
共通鍵暗号の弱点:鍵を盗まれる 鍵A鍵A 鍵Aを盗まれると 第3者によって データが復号されて しまう。 共通鍵方式は 送信と受信で同じ鍵を 使う。
15.
対策①:公開鍵暗号を使う 鍵X 鍵Y 公開鍵方式は 送信と受信で違う鍵を 使う。2つの鍵を使う 鍵Xで暗号化した データは鍵Yでしか 復号できない。 鍵X 攻撃者に鍵Xが渡っても 鍵Yでないとデータは 復号(復元できない)
16.
公開鍵暗号の欠点:中間者攻撃 公開鍵 X1 共通鍵Y1 公開鍵方式は 送信と受信で違う鍵を 使う。2つの鍵を使う 鍵Xで暗号化した データは鍵Yでしか 復号できない。 ①鍵Xを偽っ て配布する。 ②偽って配布した鍵X1で暗号化して いるので攻撃者の鍵X2を使って復号 化できてしまう。 共通鍵 X2 送信者 受信者 ③攻撃者を受信 者の公開鍵Y1を 使って盗んだ データをさらに暗 号化して送る。 公開鍵Y1
17.
対策②:デジタル署名を使う 鍵X 鍵Y 公開鍵方式は 送信と受信で違う鍵を 使う。2つの鍵を使う 鍵Xで暗号化した データは鍵Yでしか 復号できない。 攻撃者にデータと鍵Xが渡っても 鍵Yでないとハッシュ値は 復号できない。 送信者 受信者 ハッシュを 計算 共通鍵で 暗号化 データは別途暗号化して送っておく 公開鍵で 復号化 ハッシュ を計算 比較して 一致していれば送信者 が正当だと判断できる。
18.
クラウドコンピューティング 従来は手元のコンピュータで管理・利用していたようなソフト ウェアやデータなどを、インターネットなどのネットワークを通じ てサービスの形で必要に応じて利用する方式。IT業界ではシス テム構成図でネットワークの向こう側を雲(cloud:クラウド)の マークで表す慣習があることから、このように呼ばれる。 クラウド・コンピューティングとは、インターネットの先にあるサー バーに処理をしてもらうシステム形態を指す言葉である。ユー ザーが何らかの作業を行う ときに、自分の目の前にあるパソコ ンや会社のネットワーク上にあるサーバーではなく、インター ネット上のサーバーを利用して処理してもらう。
19.
クラウドコンピューティング クラウドコンピューティングとは、ネットワーク、サーバー、ストレージ、アプリケーション、サービスなどの構成可能な コンピューティングリソースの共用プールに対して、便利かつオンデマンドにアクセスでき、最小の管理労力または サービスプロバイダ間の相互動作によって迅速に提供され利用できるという、モデルのひとつである。 このクラウドモデルは可用性を促進し、5つの基本特性と、3つのサービスモデルと、4つの配置モデルによって 構成される. アメリカ国立標準技術研究所 (NIST)による定義 従来の 利用形態 クラウド コンピューティング ユーザの手元に 記憶媒体、CPU 入出力デバイス がある。 CPUと記憶媒体はイン ターネット越しに利用する。
20.
基本情報技術者 平成24年春期 クラウドコンピューティング ①あらゆる電化製品をインテリジェント化しネットワーク に接続することによって,いつでもどこからでもそれらの機器の 監視や操作ができるようになること ②数多くのPCの計算能力を集積することによって,スーパコン ピュータと同程度の計算能力を発揮させること ③コンピュータの資源をネットワークを介して提供することに よって,利用者がスケーラピリティやアベイラピリティの高い サービスを容易に受けられるようになること ④特定のサーバを介することなく,ネットワーク上のPC同士が 対等の関係で相互に通信を行うこと
21.
基本情報技術者 平成24年春期 クラウドコンピューティング ①あらゆる電化製品をインテリジェント化しネットワーク に接続することによって,いつでもどこからでもそれらの機器の 監視や操作ができるようになること ②数多くのPCの計算能力を集積することによって,スーパコン ピュータと同程度の計算能力を発揮させること ③コンピュータの資源をネットワークを介して提供することに よって,利用者がスケーラピリティやアベイラピリティの高い サービスを容易に受けられるようになること ④特定のサーバを介することなく,ネットワーク上のPC同士が 対等の関係で相互に通信を行うこと
22.
クラウドコンピューティングの定義 • クラウドコンピューティングとは、ネットワーク、サー バー、ストレージ、アプリケーション、サービスなどの 構成可能なコンピューティングリソースの共用プー ルに対して、便利かつオンデマンドにアクセスでき、 最小の管理労力またはサービスプロバイダ間の相 互動作によって迅速に提供され利用できるという、 モデルのひとつである。このクラウドモデルは可用 性を促進し、5つの基本特性と、3つのサービスモデ ルと、4つの配置モデルによって構成される。 — NIST:アメリカ国立標準技術研究所
23.
クラウドコンピューティングの例
24.
情報セキュリティへの脅威の分類 とクラウドコンピューティング ①データセキュリティ 大事なデータ(個人情報など)が守られること。 ②システムセキュリティ 個人のコンピュータやデバイスが守られること。 ③ネットワークセキュリティ 複数の人が使うネットワークやサービスが安全に利用できる こと。 ④人的セキュリティ 悪意のある人が大事な情報やシステムにアクセスできないよう にすること。 物理マシンは 外部のクラウド 事業者が 防御する。 アクセス制御は基本的に クラウド事業者が行う。
25.
クラウド環境での機密性 • 自分の組織内のクラウドコンピューティングのシステ ムをクラウドに移すと、自社のクライアントとサーバ でやり取りしていたデータはすべてインターネット上 を流れるため、盗聴や中間者攻撃などによりデータ の機密性が損なわれる。 • クラウドコンピューティングではマルチテナントを介し てサービスを提供するため、共用している物理マシ ンの設定ミスなどにより、自社のデータが外部に漏 れるなどの機密性の損失の可能性がある。
26.
クラウドコンピューティングと マルチテナント 会社A 会社B 会社C クラウド(インターネット) を通じて複数の組織 (他人同士)が 同じ物理マシンを利用すること をマルチテナントという。
27.
クラウド環境での可用性 • クラウドコンピューティングはインターネットを 介してサービスを利用するため、インターネッ ト回線に問題があると可用性が損なわれる。 • クラウドコンピューティングではマルチテナン トを介してサービスを提供するため、同じ物理 マシンの他の組織のサービスが攻撃されると 自分の組織のサービスの可用性が損なわれ る。
28.
クラウドコンピューティングとWEB アプリケーション クラウドコンピューティングでは データの読み書きはWEBブラウザを 使ってインターネット越しに行うため、 WEBブラウザでの 暗号化と認証は必須 中間者攻撃 通信している送信者Aと 受信者Bの間に 攻撃者Xが介入する。 Bの公開鍵を盗用し Aと通信する。 Xは秘密鍵を生成し、 Aのものだと偽って Xに送信し、Aと通信 する。 中間者攻撃を 防ぐには正しく認証を 行う必要がある。
29.
WEBアプリケーションのセキュリティ WEB サーバ DB サーバ 攻撃者1 フィッシング 盗聴 攻撃者2 クロスサイト 攻撃 攻撃3 SQL インジェクション
30.
WEB通信の暗号化: 鍵をさらに暗号化するクライアントは WEBサーバに 入力した内容を 見られたくない 攻撃者 盗聴 サーバ秘密 鍵が 盗まれている 可能性が ある。 ①ファイル(データ)をクライアントが生成した 共通鍵で暗号化して送信 ②暗号に使った共通鍵を公開鍵でさらに 暗号化して送信 ③サーバは暗号化された鍵を秘密鍵で 元の鍵に戻し、送られてきたデータを復号
31.
WEBアプリケーション:フィッシング 正規WEB 1234.com 攻撃者はユーザが 入力するIDと パスワードが知りたい。 悪意WEB 1243.com 正規WEBとよく似た サイトにユーザを誘導し、 パスワード等を 入力させる。 協力
32.
WEBアプリケーション: クロスサイトスクリプティング 正規WEB 1234.com 攻撃者1 フィッシング 盗聴 リンクが貼ってある 1234.com+ 悪意のあるコード 悪意のある WEBサーバ ①ユーザが 悪意のWEBサーバ 上のリンクをクリックする ②悪意のあるコード付きで アクセスしてしまう。 ③正規WEBで悪意 のあるスクリプトが生成 され、ユーザへ送信され 実行されてしまう。
33.
従来の利用形態とクラウドの利用形態 従来の利用形態 クラウドの利用形態 ファイアウォール内部のサーバは、 知っている人間しか使わない。 境界(ファイアウォール)がない。 セキュリティを共同で管理 内部ネットワークやサーバの構成を 外部や他人に公開しない。 複数のユーザがマルチテナントで 同居することを想定した管理 ハードディスクやキャッシュ、メモリ上の、データの適 切な消去が可能 削除されたデータが消えない、 削除できないことがある。 データのバックアップ先や、 情報セキュリティ監査の対象が明確 データのバックアップ先や監査が ユーザ側から把握できない場合もある。 複数のサービス事業者を利用できる。 特定クラウドサービス業者に ロックインされる。 回線の二重化や冗長化によって 可用性を向上できる。 インターネット回線の可用性の限界は超えられない。
34.
クラウドの種類 ハードウェア 仮想マシン OS アプリケーション プラットフォーム アプリケーション IaaS ハードウェア 仮想マシン OS アプリケーション プラットフォーム アプリケーション PaaS ハードウェア 仮想マシン OS アプリケーション プラットフォーム アプリケーション SaaS
35.
データ コンテンツ ミドルウェア OS ネットワーク ハードウェア SaaS PaaS IaaS
セキュリティ対策 アクセス制御の設定 データを暗号する セキュアプログラミング 脆弱性の発見・診断 脆弱性パッチ アクセス権限設定 脆弱性を修正 フィルタリング 物理セキュリティ 運用手順 クラウド事業者がセキュリティ担当 クラウド利用者がセキュリティ担当 区画化 アクセス設定
36.
クラウドコンピューティングのセキュリティ [SaaS] SaaS 利用企業は、データやコンテンツに関してのみ自社でセキュリティ対策をする。 ログインIDやWEBコンテンツのアクセス設定を行う。その他、アプリケーションから サービス運用までの領域はクラウド事業者がセキュリティ対策をする。 可用性管理:サービスが止まらないようにクラウド事業者側がデータベース、OSや ハードウェアの管理をする。 [PaaS] PaaS 利用企業は、データからアプリケーションまでの領域のセキュリティ対策が必 要です。アプリケーションとデータベースまでを防御する必要がある。 可用性管理:クラウド事業者側は、主にOSとミドルウェアの管理をする。 [IaaS] IaaS
利用企業は、データからミドルウェア、OSまで幅広くセキュリティ対策をする必 要がある。 可用性管理:クラウド事業者側は、主にハードウェアやデバイスドライバなどの管理 をする。
37.
基本情報処理技術者試験 WEBアプリケーションのセキュリティ ①クロスサイトスクリプティング(Cross Site Scripting) :他の正規WEBサイトの脆弱性を利用し て、悪意のあるプログラムを埋め込み、クライアント にダウンロードさせて利用すること。 ②SQLインジェクション(SQL
Injection) 悪意のあるデータベース操作命令(SQL命令)を WEBを通じて入力することで、WEBサーバに接続 されているデータベースの情報を不正に入手するこ と。 ③フィッシング (phishing) :ショッピングサイトや金融 機関のサイトを偽装し、利用者を誘導することで、ク レジットカードなどの個人情報を不正に入手すること。
38.
基本情報処理試験(H21秋) クロスサイトスクリプティング • WEBサーバへのユーザへの内容のチェックがされていない 場合、悪意をもったスクリプトを埋め込まれてしまい、偽の ページの表示や攻撃スクリプトがユーザのブラウザで実行さ れてしまうこと。 • WEBサイトへの入力データを検査し、HTMLタグ、 JavaScript、SQL文などを変換し、入力を無害化することを サニタイジング(無害化)という。 •
動的にJavaScriptなどのWebページを生成するアプリケー ションの脆弱性を利用し、正規サイトと悪意のあるWEBサイ トの横断して(クロスサイト)、悪意のあるスクリプトを生成し、 ユーザのクッキー(IDやパスワードが入っていることがある) を漏洩させるなどの攻撃を行う行為。
39.
基本情報処理試験 フィッシング • 実在する金融機関や買い物サイトなどの正 規のメールやWEBをサイトを装い、ユーザを そこに誘導させ、ユーザIDやパスワード、暗 証番号などを入手する手法 • 偽の電子メールを発信して、ユーザを誘導し、 実在する会社を装ったWEBサイトにアクセス させ、ユーザに個人情報を入力させる。
40.
対策1 WAF (Web Application
Firewall) • SQLインジェクションやクロスサイトスクリプ ティングなど、Webアプリケーション上の脆弱 性をカバーする装置。WAFは通常のファイア ウォールと同様 にすべてのHTTP/HTTPSト ラフィックを中継し、通信の内容を精査する。 GNUライセンスの下で公開されているオープ ンソースのWebアプリケー ションファイア ウォールであるmod_securityなどが有名で ある。
41.
基本情報処理技術者試験 セキュアプログラミング 【1】設計:利用できる各技術要素が安全に利用できるか検討す る。 【2】実装①:バッファーオーバーフロー、SQLインジェクション、 セッション管理などを安全にする。 【3】実装②:フェールプルーフ(利用者はミスをするという前提) で実装する。 【4】テスト:複数の環境設定や入力において正しく動作するか 検査する。 【5】運用:ソフトウェアが実際に運用されて始めてでくる問題点 の洗い出しや、問題を修正するための体制を確立しておく。
42.
対策2 セキュアWEBプログラミングの例 セッション対策 クロスサイトスクリプティング(CSRF)対策 セッション乗っ取り対策#1: セッションIDとその侵害手口 セッション乗っ取り対策#2: セッションIDの強度を高める セッション乗っ取り対策#3:
https:の適切な適用 セッション乗っ取り対策#4: セッションIDお膳立てへの対策 セッション乗っ取り対策#5: 乗っ取り警戒と被害の不拡大 予定外ナビゲーション対策 IPA セキュアプログラミング WEBアプリケーション編 https://www.ipa.go.jp/security/awareness/vendor/programm ingv2/web.html
43.
資料
44.
クラウド上の仮想マシンの セキュリティ ①仮想マシンのディスクイメージはデフォルトで 最低限の安全な設定をしておく。 ②ホストベースで最小限のサービス(HTTP、 SSH)などのアクセスを許可しておく。 ③ソフトウェアのバージョン管理を行う。 ④仮想マシンの設定をバージョン管理し、適切 な設定変更が行えるようにする。 ⑤各種ログの取得をする。 ⑥ログのレビューや、IDS・IPSの設置をする。
45.
共通鍵は鍵の管理が大変 A B C D E 共通鍵で通信する場合 鍵の数はn×(n-1)÷2 B,C,D,Eの4人と通信する場合、 Aは4つの鍵を管理する必要がある。 送信側、受信側とも 鍵を第3者に教えてはいけない。
46.
公開鍵は鍵の数が少なくて済む。 A B C D E 悪意 公開鍵で通信する場合 鍵の数は2nで済む。 悪意のある 送信者に 鍵が渡っても 問題ない。
47.
基本情報処理技術者試験:認証 • 相手認証:通信相手が正しいか、本人かどうか確認 する技術 – コールバック、共通鍵、公開鍵暗号方式が使われる。 •
メッセージ認証:通信文やファイルに改ざん(悪意の ある変更)が加えられたかを検出する技術。 • デジタル署名:文書の正当性を保証する技術
48.
基本情報処理技術者試験:機密保護 ①暗号化:一定の規則でデータを変換して第三 者にわからなくする。 共通鍵暗号方式 公開鍵暗号方式 ②認証:アクセスしている人や通信先が本人で あること、正当な利用者であることを確認する こと。 ③アクセス管理:コンピュータシステムの資源に 対する不正なアクセスを防ぐこと。
49.
脅威の種類 • 破壊:データやコンピュータを壊す • 漏洩:組織の機密情報や個人情報を外部に漏らす •
改ざん:ホームページなどが改ざんする • 盗聴:メールなどが盗み見される • 盗難:コンピュータやUSBメモリなどが盗まれる • サービス停止:組織が提供しているサービスが落とされる • 不正利用:組織のネットワークやシステムが別の目的で不正に 利用される。 • 踏み台:他の組織の情報システムを攻撃する手段に利用される。 • ウィルス感染:ウィルス感染により組織の大事なデータが破壊さ れる。 • なりすまし:パスワードを盗まれ、本人のアカウントが情報を盗ま れたり、買い物をされる。 • 否認:文書がメールで送信した内容を、否定される。
50.
参考(参照)文献 【1】図解入門 よくわかる最新情報セキュリティの基本 と仕組み -
基礎から学ぶセキュリティリテラシー 相戸 浩志 秀和システム 【2】基本情報処理技術者試験 情報処理教科書 基本情報技術者 2013年版 日高 哲郎 (翔泳社) 情報処理教科書 応用情報技術者 2013年版 日高 哲郎 (翔泳社) 【3】ポケットスタディ 情報セキュリティスペシャリスト 村山 直紀 秀和システム
51.
基本情報処理技術者試験 セキュリティポリシー 情報セキュリティ 基本方針 情報セキュリティ 対策基準 情報セキュリティ対策手続き 規定類 情報セキュリティポリシは、経営層の同意に基づき、組織の保 有する情報資産(ハードウェア、ソフトウェア、ネットワーク、デー タ、設備など)を脅威から守るために、組織の情報システムの機 密性、完全性、可用性を確保するために規定するきまりのこと。
52.
基本情報処理技術者試験 情報セキュリティ基本方針と対策基準 • 情報セキュリティ基本方針:組織のリスクマネ ジメントの一貫として、情報セキュリティの方 針を、組織に属する人に伝達することを目的 に作成される。 • 情報セキュリティ対策基準:情報セキュリティ 基本方針に基づいて、組織に属する人に具 体的な基準を示して、実際の義務と責任を割 り当てるために作成される。
53.
基本情報処理技術者試験 情報セキュリティ管理と対策 • 情報セキュリティポリシーとISMS IMIS (information
security management system) • リスク管理 純粋リスクと投機的リスク • 情報セキュリティ対策 物理的対策、技術的対策、人的対策
54.
サイバースペース Cyberspace = cybernetics
+ spaceの造語。 ①オンラインによるコミュニケーションが行われるコンピュータ ネットワークの電子媒体のこと ②相互接続された情報技術によって表現され、さまざまな通信 機能や制御機能を持つ製品やサービスで構成されたもの ③コンピュータやネットワークの中に広がるデータ領域を、多数 の利用者が自由に情報を流し、情報を得たりすることができ る仮想的な空間のこと。 ④物理的に存在する形があるものではなく、インターネットに接 続される機器やネットワークの技術的手段によって、インター ネット上において、人、ソフトウェア、サービスの関わり合い からもたらされる複合環境
Jetzt herunterladen