アカデミック

【初学者向け】情報セキュリティ<ネットワークセキュリティ編>

この記事では,研究のサーベイをまとめていきたいと思います。ただし,全ての論文が網羅されている訳ではありません。また,分かりやすいように多少意訳した部分もあります。ですので,参考程度におさめていただければ幸いです。

間違えている箇所がございましたらご指摘ください。随時更新予定です。他のサーベイまとめ記事はコチラのページをご覧ください。

参考文献は最後に記載してあります。

本記事の内容

大学で学習した「情報セキュリティ」の内容を網羅的にまとめていくものです。目次は以下の記事をご覧ください。

【初学者向け】情報セキュリティ<目次編>この記事では,研究のサーベイをまとめていきたいと思います。ただし,全ての論文が網羅されている訳ではありません。また,分かりやすいように多...

 

攻撃活動

ネットワークを狙った多くの攻撃は,以下のようなフローをとります。

●標的の調査
・DNS情報
・スキャン活動(ICMP/ポート)
・データベースの利用
●マルウェアの送信
●情報の奪取

DNS情報には,ドメインやIPアドレスに関する情報が管理されています。Whoisを利用することで,より詳細な個人情報を収集することができます。

ドメイン登録には必ずwhois登録が必要です。whoisは悪意のあるサイトから利用者を守るためのしくみですが,whoisに登録すると氏名や住所などが公開されてしまいます。多くのレジストラ(ドメイン登録の仲介業者)では,whoisを代理公開をする選択肢もあります。

 

ping

pingは「Echo Request」のICMPパケットを相手に送信することで,通信が可能かどうかを調べる機能です。相手から「Echo Reply」のICMPパケットが戻ってきた場合に,通信可能と判断します。

ICMP(Internet Control Message Protocol)はpingで利用されるプロトコルのことを指します。

 

ICMPを使ったコマンドとしては,他に「traceroute(Linux)」「tracert(Windows)」が挙げられます。これらでは,経路上の機器と到達時間がを調べられます。

tracerouteにはUDPパケット,tracertではICMPパケットが利用されるため,注意が必要です。

 

ポートスキャン

サーバ側のポートにどの番号が使われているのかを調べること。サーバ側のポート番号にはアプリケーションごとに標準の番号が定められているため,ポート番号の情報から動作しているソフトウェアやバージョンが分かる場合もあります。

 

種々の攻撃

●ブルートフォース攻撃
→IDとパスワードを総当たりで試していく攻撃です。
●パスワードリスト攻撃
→漏洩したデータなどをもとに攻撃する手法
●アカウント管理ファイルの奪取
→管理者権限を奪い,OSの管理ファイルを盗む手法
●ARPの利用
→IPアドレスと物理アドレスの紐付け情報の利用
→ARPにおいて偽の物理アドレスを両者に応答
→中間者攻撃

 

ネットワークセキュリティの強化

ネットワークセキュリティを強化するためには,システム全体が連携していく必要があります。学内や組織内におけるネットワークのことを「イントラネット」と呼びます。そして,「ファイアーウォール」は,イントラネットを不正な攻撃からあ守るためのシステムです。

具体的には,Untrustedポート(外側)とTrustedポート(内側)の間の通信をポリシーに従って制御するようなシステムです。主に,ポートやヘッダーのフラグによって制御を行います。

DMZ(非武装地帯)に外部公開用のサーバを集めることで,ネットワークを分離してセキュリティレベルを設定することができます。DMZは外部サーバとの通信は可能ですが,内部サーバへの通信は不可です。内部サーバは外部サーバとの通信はできますが,外部サーバは内部サーバと通信ができません。

インターネットを通じてアクセスされるシステムは,ファイアウォールでは異常なしと判断されてしまいます。そこで,IDS(Intrusion Detection System)を仕掛けておくことで,不審な通信を発見して管理者へ通知することができます。IDSでは二種類の検出方法がとられます。「シグネチャ検知」では,シグネチャという検出ルールに従って不審なアクセスを検知します。「アノマリ検知」では,ヘッダの値やポートとの通信から不審な振る舞いを発見します。

対して,IPS(Intrusion Prevention System)では,不審なアクセスや振る舞いを発見して管理者に通知するだけでなく,通信を遮断することができます。

WPF(Web Application Firewall)は,Webに特化したIDS/IPSのことを指します。

 

IDS/IPS単体では攻撃がすり抜ける可能性があります。ですので,ファイアーウォールと併用するのが一般的です。シグネチャと一致しない攻撃や,不審だと思わせない振る舞いは,IDS/IPSに引っかからないからです。

 

ネットワークセキュリティの設計

ネットワークセキュリティを強化する考え方は,お城の防御に似ています。お城は,周りを塀や池で囲むことで,部外者が侵入するまでの時間を稼ぎます。同様に,ネットワークでも多層構造を取り入れることで,セキュリティを強化しようというアイディアがあります。

 

物理防御

物理的に不正なアクセスを防止する方法です。監視カメラや入退室管理などが挙げられます。

 

境界防御

セキュリティレベルの異なる階層間で,通信を監視し,防御を行うものです。「IDS/IPS⇄ファイアーウォール」「ファイアーウォール⇄ネットワーク」等の境界に注目する考え方です。

 

内部ネットワーク

内部ネットワークに関しては,まずアクセスに権限をつける考え方があります。イントラネットであれば,構成員の情報と紐づけたり,多要素認証を行うことでセキュリティを高めます。他にも,利用用途や使用デバイスによって,ネットワークを分離する考え方も挙げられます。

 

アプリケーションの保護

内部ネットワークの中でも,アプリケーションをしっかりと保護する必要があります。そのためには,セキュリティソフトの導入や,入念な脆弱性診断,ウィルス対策ソフトウェアやキュアOSの利用等が考えられます。

 

データの保護

さらにふみこんで,データ自体を保護しておくことも必要です。万が一持ち出された場合でも,暗号化を施しておけば,読み取られるリスクは減ります。他にも,権限設定を見直しておくとよいでしょう。

IRM(Information Rights Management)は,ファイルを権限のある人にしか利用させないようなしくみです。
BeyondCorpは,VPNを介さずに内部ネットワークを利用できるようにするような仕組みのことを指します。BeyondCorpでは,内部ネットワークも,外部ネットワークも基本的信頼できないネットワークとみなします。デバイスや多要素認証,ユーザと紐づけた認証などを組み合わせて,業務システムにアクセスするたびに認証を行うような考え方です。

 

まとめ

情報セキュリティのネットワークセキュリティについてお伝えしました。「完璧な防御はない」という点が印象的です。よく,セキュリティソフトを入れたからもう安心だ,というような方を見かけますが,万全なセキュリティソフトなど絶対に存在しないため,私たちの意識で防御できる範囲は意識しなくてはならないと感じました。

ABOUT ME
zuka
京都大学で機械学習を学んでいます。

COMMENT

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

※ Please enter your comments in Japanese to prevent spam.