| (URL)フィルタリング |
https の URLフィルタの仕組みは、①アドレスによる識別、一番単純なのは"宛先IPアドレス"によってどのサイトかを識別する方法です。ただしこれは(URLは同じだが)IPが動的に変化するサイトには弱いです。②CONNECTメソッドによる識別(Webプロキシのみで利用可能)Webプロキシ付随のURLフィルタで使われるのは"宛先IPアドレス"ではなく"CONNECTメソッドのホスト情報"です。プロキシ経由でhttps通信をする場合はhttpの (GETではなく) CONNECTメソッドを使って通信します。CONNECTメソッドではURLのホスト名が指定されるので、ホスト名までは分かります。③TLSネゴシエーション中のSNI/CA情報による識別https (TLS)による暗号化通信を行う前のネゴシエーションはクライアントからの Client Hello で開始します。この Client Hello の "Extension" という拡張領域に SNI (Server Name Indication , 別表記では Server_Name) という属性があり、この中にアクセス先ホスト名が格納されます。この部分は暗号化されていないため、URL識別に利用することが可能です。これは 2011年に公開された RFC 6066 で定義されており、実装はかなり進んできています。④自動生成した証明書を使ってhttps通信を取り次ぐWeb プロキシにしても UTM にしても、通常は https は暗号化されたまま通信します。ですがこの方式では、Web プロキシや UTM がクライアントに対して(閲覧したいサイトの証明書では無く、)偽の証明書を動的に提示し、クライアントとサーバ間の通信を盗み見します。Web プロキシ/UTMの間で https 通信をします。その通信を復号化し、http ヘッダを検査した上で、Web プロキシ/UTMが(別の https セッションで)クライアントが本来行きたいサイトと通信し、その結果をクライアントの https セッションに載せて返します |
| UTM |
①アンチウィルス、アンチマルウェアhttp やメール通信(SMTP/POP3/IMAP4)、ファイル共有通信(SMB)のウィルスを検知・ブロックします。シグネチャベースが多いですが、最近はサンドボックス(ふるまい検知)によるゼロデイ攻撃対策も増えてきています。②アンチスパムスパムメールを検知・メール件名へのタグ付け・隔離します。検知は管理者へログによる通知、メール件名へのタグ付けはメール受信者へ注意喚起や迷惑メールフォルダへの誘導、隔離は UTM 本体の HDD に格納し、エンドユーザからログインして隔離されたメールを見れるようにする、等の機能を提供します。③Webコンテンツフィルタ/URLフィルタ好ましくない Web サイトへのアクセスを制限します。URL フィルタのデータベースを作成する業者が、全てのサイトをカテゴリー(アダルト、薬物といった区分)に分類しており(産まれ立てのサイトは「未分類」)、UTM はそのデータベースを利用してフィルタリングを行います。URLフィルタでエンドユーザのアクセスを制限するNW管理者は、カテゴリ単位で制限したり、NW管理者が特定したURLを許可(ホワイトリスト)したり拒否(ブラックリスト)したりできます。④IPS/IDS既知の脆弱性をついた通信をする悪意のある通信や、好ましくないソフト(P2P等)の通信を検知・ブロックします。 |
| ゼロデイアタック |
まだ検知されていない脆弱性に対して攻撃されること。検知されていないので、対応もされていない。危険な状態 |
| 従来のセキュリティ対策(サンドボックス以外) |
主に「シグネチャ」という仕組みを使い、ファイルに問題がないかを調べていました。シグネチャは、サイバー攻撃の攻撃パターンをデータベース化して、その攻撃パターンと一致する怪しいファイルを排除するという仕組みです。現在でもシグネチャは不正なファイルを検出するのに有効な手段ではありますが、シグネチャが検出できるマルウェアは解析が完了している物のみです。そのため、新しいマルウェアや従来のマルウェアを少し変更した物は対処できないというデメリットがあります |
| SSL(≒TLS) |
インターネット上におけるウェブブラウザとウェブサーバ間でのデータの通信を暗号化し、送受信させる仕組み |
| https |
SSLでデータが暗号化されたウェブサイト。暗号化するには認証が必要であり、「サーバー証明書を導入(インストール)する必要がある。導入の際には第三者機関での審査がある |
| SSLの種類 |
ドメイン認証、企業実在認証、EV認証の3種類。EVだとアドレスのところが緑になってる |
| SSL暗号化通信の仕組み |
対になる2つの鍵「共通鍵暗号方式」「公開鍵暗号方式」の仕組みを用いて行われる接続要求1,クライアント側からSSL通信のリクエストをサーバ側へ送信。2.SSLサーバ証明書と公開鍵をクライアント側へ送付サーバ側から、公開鍵付きのSSLサーバ証明書がクライアント側に送付。クライアント側のブラウザに搭載されているルート証明書で署名を確認し、SSLサーバ証明書を検証。※グローバルサインをはじめとする「信頼のある認証局」のルート証明書は、あらかじめ主要PCブラウザや携帯端末に搭載されているので、ユーザ側で新たにインストールする必要がありません。 3.共通鍵(セッションキー)を暗号化しサーバ側へ送付クライアント側で生成された暗号用の「共通鍵(セッションキー)」を、サーバ側から送られてきた公開鍵を用いて暗号化し、サーバ側へ送信。サーバ側に送信された共通鍵は、サーバ側で保持している秘密鍵で復号化され、共通鍵が取り出される。 4.SSL暗号化通信開始 個人情報などの機密性の高いデータを、クライアント側で保持している共通鍵で暗号化しサーバ側へ送信。サーバ側は、受け取った暗号データをサーバ側で保持している共通鍵で復号してデータを取得する。※共通鍵は、サーバとクライアントが使用するブラウザの双方が対応する、最も強度の高い暗号方式・鍵長が使用されます。 |
| OSI参照モデルで表すSSLプロトコル |
トランスポート層とプレゼンテーション層の間に位置し、上位のアプリケーション層やプレゼンテーション層(HTTP / POP/ FTP / など)から 、暗号化などセキュリティ対策を施した通信が行われま |
| 常時SSL化について(導入しないことによる不利益) |
ウェブサイトのHTTPS(常時SSL)化は必須事項になりつつあります。 ・(2018年7月24日リリース)Google Chromeのバージョン68より、すべてのHTTP(非SSL)ページに対し『保護されていない通信』という警告の表示を開始・Googleは、2014年8月に、ウェブサイトがHTTPS(常時SSL)かどうかを検索順位の決定要因にすることを発表し、すべてのウェブサイトに対してHTTPからHTTPSへの切り替えを推奨・Mozillaで提供しているウェブブラウザ「Firefox」のバージョン52より、HTTP(非SSL)接続ページのログインフォームをクリックしてIDやパスワードを入力しようとすると、赤い斜線が入った鍵のマークと警告メッセージが表示されるようになりました・HTTPS化によってウェブ表示が低速化する、という話は昔の話であり、現在は高速化されてきている。将来的なメリットも考えるとSSL化するべき |
| 常時SSL化について(導入することによる利益) |
・Google検索結果からの遷移は、HTTPSであればリファラ情報が送信される、すべてのページをSSL化することによってログの分析が行いやすくなり、同行分析等によるデータ活用が可能になる・HTTP/2プロトコル導入により、ウェブの表示が高速化された、HTTP/2にはSSL化が必須である |
| 常時SSL化について(課題) |
SSL通信の増加によるセキュリティ機器の負荷の増大が想定される。IPSやファイアウォールなどといった一般的なセキュリティ機器は、SSL通信を一度復号化しないとチェックすることができない。この復号化にCPUリソースが大きく消費されてしまい、パフォーマンスが大幅に低下。この状況に対応するには、処理能力の高いセキュリティ機器を導入するか、SSLの終端後に機器を設置するといった対策が必要になります。また仮想化環境でのSSLオフライン化や、DMZでの処理なども提案されています。 |
| HTTP/2 |
HTTP/1.1と比較するとHTTP/2はHTTPクライアントからサーバに送信するヘッダ情報を圧縮することができるため、送信されるデータ量が2割から3割も削減できるという特徴があります。特に、スマートフォンなどのモバイルデバイスを使用してウェブサービスへとアクセスする場合、このデータ圧縮によるメリットは大きい |
| ファイアウォール |
ファイアウォールの基本実装として外部から発生するトラフィックは拒否し、内部から外部へ発生したトラフィックの戻りのトラフィックは許可させます。これは、ファイアウォールのステートフルインスペクションと呼ばれる機能を利用することで実現。しかしァイアウォールではパケットが悪意あるトラフィックかどうかは確認できないので、DoS攻撃やワームなどのトラフィックを効果的に防ぐことはできないことから例えば、不正なCGIのGET要求などは見破れません。そのためにIDSまたはIPS導入の必要性が出てくる |
| IDS |
Intrusion Detection System)は侵入検知システムです。IDSは、その名のとおり不正アクセスなどの悪意あるトラフィックを検出して通知します。例えば、Firewall前に置かれたIDSは、ネットワーク上を流れるトラフィックを監視していて、不正アクセスと思われるパケットを検知すると、システム管理者に通知します。不正アクセスのパケットなのかの判断は「シグネチャ」と呼ばれる攻撃パターンのデータベースを使用します。この侵入検知の通知を受けて、管理者は例えばファイアウォールのフィルタリングを強化して攻撃に備えます。 |
| IPS |
Intrusion Prevention System)は侵入防止システムです。IPSは、その名の通り不正アクセスなどの悪意あるトラフィックを検出して通知するだけでなく、シグネチャを参照し不正アクセスに該当するパケットを破棄したりセッションを切断して即座に防御します。IPSは、まさにセキュリティ実装の要の位置づけです。IDSは検知はするがメンテナンスは管理者がする必要があるが、IPSは管理もしてくれる |
| 企業ネットワークの基本構成 |
企業ネットワークにファイアウォールを導入する場合は、ネットワークを最低でも3つに分離するのが一般的。内部ネットワーク、外部ネットワーク、DMZ |
| DMZ |
内部、外部ネットワークの両方から隔離されたネットワーク。外部ネットワークのユーザに公開するサーバを導入するネットワーク。公開サーバを、DMZに配置しておくことによって、サーバを不正に乗っ取られた場合でも、内部ネットワークへの不正アクセスを防止できる。ECサイトのようなネットワークでは単にFirewallやIPSなどを導入するだけでなく回線トラフィックを負荷分散させる機器を導入することも多いです。このようなネットワーク構成ではDMZという概念ははなく内部と外部という構成で考え、セキュリティ同様に、負荷分散装置の設計が重要トナッテクル |
| XSS対策 |
クロスサイトスクリプティング-WebアプリケーションやWebサイトの脆弱性を利用し、不正なスクリプトを埋め込む |
| CSS |
CSSとは数種類あるスタイルシートのうちの1つでHTMLの補助的な役割を果たす言語の事です。HTMLが文書構造を表す言語であることに対し、CSSはレイアウトデザイン(見栄えの指定)を行うための言語になります。 |
| アノニマイザー防御 |
匿名化を阻止する(具体的にどんな風にするのかはよくわからない) |
| NGFW |
Next-generation fire wallのこと、FW にアプリケーションをコントローする機能を追加しセキュリティの向上を目指した製品である。つまり、機器に機能追加することで高セキュリティを目指すといった意味では、NGFW もUTM の一部と捉えて良 |
| サービスとしてのインフラストラクチャ (IaaS) |
最も基本的なクラウド コンピューティング サービスのカテゴリです。IaaS では、サーバーと仮想マシン (VM)、ストレージ、ネットワーク、オペレーティング システムなどの IT インフラストラクチャを、クラウド プロバイダーから従量課金制でレンタルします。 |
| サービスとしてのプラットフォーム (PaaS) |
サービスとしてのプラットフォームとは、ソフトウェア アプリケーションの開発、テスト、配信、管理のためのオンデマンド環境を提供するクラウド コンピューティング サービスのことです。PaaS は、開発者が Web アプリケーションやモバイル アプリケーションをすばやく、より簡単に作成できるように設計されています。開発に必要となるサーバー、ストレージ、ネットワーク、データベースによる基盤インフラストラクチャのセットアップや管理の心配はいりません。 |
| サービスとしてのソフトウェア (SaaS) |
サービスとしてのプラットフォームとは、ソフトウェア アプリケーションの開発、テスト、配信、管理のためのオンデマンド環境を提供するクラウド コンピューティング サービスのことです。PaaS は、開発者が Web アプリケーションやモバイル アプリケーションをすばやく、より簡単に作成できるように設計されています。開発に必要となるサーバー、ストレージ、ネットワーク、データベースによる基盤インフラストラクチャのセットアップや管理の心配はいりません。 |
| ハイブリッド クラウド |
パブリック クラウドとプライベート クラウドを組み合わせたクラウド。 |
