iseeit.jp 情報通信技術

情報技術（IT）用語の意味は、その技術の進歩とともに変化していくことがよくあります。特にこの情報技術（IT）分野での進歩は速いことがいわれていますので、情報技術（IT）用語の意味もそれにあわせて変化が速いともいえそうです。

情報技術（IT）用語の意味が変化する要因とは？

３つほど思い浮かんだことがありましたので、ちょっとだけ書いてみようと思います。あくまでもわたし個人の見方です。

１つ目は、理想と現状から、実現可能な段階とそのステップによる変化がありそうです。ある情報技術（IT）用語の意味するものが将来の理想であり、現状から段階的に目標を定義して実現していくような性質であった場合、本来（理想）の意味とともに、その途中の段階における定義がその意味となる場合があるようです。このステップの進行とともに意味も変化していくことが考えられます。用語にバージョン番号が付けられる場合などがありますが、そうでないときもよくあるようです。

２つ目は、既存技術など他の技術と結びつくことによって意味が広がっていく変化もありそうです。他の技術と結びつきの速さも、情報技術（IT）分野の進歩の速さのひとつとみることができそうです。この場合、ひとつの用語でいくつもの意味を持つことになる可能性があります。さらには、意味の共通定義が難しくなる可能性や、あるいは共通するわずかな部分だけが意味として定義される可能性もあります。

３つ目は、視点の変化から意味が変化することもありそうです。ある技術の開発者や提供者が定義した意味から、その技術の利用者・評価者などの見方から定義された意味へと変化する場合もあるようです。

同じ情報技術（IT）用語を使って会話していても、なんだか微妙にかみ合わない。そのような感覚を感じることもよくあることだと思います。このようなことを回避するため、具体的な製品名で会話することもよくみられることです。

https 通信に必要な SSL サーバ証明書には、HTTP プロトコル上で SSL による送信データの暗号化に必要な鍵が含まれています。また、SSL サーバ証明書によって、その発行者（ドメイン）の実在性が認証機関により証明されることになります。

Internet Explorer では、あらかじめ信頼できる認証機関が登録されており、その信頼できる認証機関から発行されている SSL サーバ証明書（セキュリティ証明書）であることをチェックしています。

信頼できる認証機関が発行する SSL サーバ証明書は、暗号化したデータの送信先（ドメイン）が、目的の送信先相手（ドメイン）であり、その相手（ドメイン）の実在性を証明していることにもなります。

信頼できる認証機関が認証する情報としては、

・Common Name: サイトの URL。ブラウザは、このコモンネームと入力された接続先アドレスの一致をチェックします。

・Organization:組織。

・Organization Unit : 部署。

・City or Locality : 市町村。

・State or Province : 都道府県。

・Country : 国。

認証レベルにより、SSL サーバ証明書の種類がいくつかあります。

一般的な SSL サーバ証明書は、Common Name と Organization との認証、あるいは、Common Name だけの認証によるものです。EV SSL 証明書（Extended Validation SSL 証明書）は、Organization をより厳格な認証プロセスによって、その実在性を証明します。

信頼できる認証機関が発行する SSL サーバ証明書は、SSL 暗号化通信の実現のみならず、実在性の証明という役割においても大きな意味をもちつつあります。

アノマリ（anomaly）というと、情報セキュリティでは、NIDS のアノマリ通信検知機能に関係します。

RFC に準拠していない通信の検知、通常よりあきらかに多いトラフィックの検知、通常は使用しないポートへの接続の検知などが代表的な例としてあげられます。

なお、アノマリは、誤検知をもたらすこともあります。

・フォルスネガティブ（False Negative）は、不正な通信にもかかわらす、不正であると判断されなかった場合。

・フォルスポジティブ（False Positive）は、正常な通信にもかかわらす、不正であると判断された場合。

これらは、ログの分析から、アノマリ検知をフォローしていくことが必要となりますが、常に誤検知の可能性は残ることとなります。

ちなみに、ほかの世界でも、アノマリはあります。資本市場理論では説明できない証券価格の規則的な動きのことをいいます。市場は、常に理論通りの合理的な規則によって動くものでもありませんが、その理論外であっても、なお規則性がみられるものを指しています。つまり、不合理ながらも規則性のある動きのことです。

また、プロジェクトマネジメントにおいても、理論ではないが、規則性があるアノマリの例がよくいわれます。

アノマリは、リスクのあるところに存在しているといえそうですが、アノマリだけで判断することは、それでも不十分、つまり誤検知する場合もあることの認識は必要といえます。

クロスサイトスクリプティング（Cross Site Scripting：CSS、XSS）は、Web サーバの入力欄にスクリプトを含んだタグを打ち込むことによって cookie（クッキー）を読み出す攻撃です。例としては、掲示板の入力欄から悪意あるスクリプトコードが入力され、他の訪問者がその掲示板の内容を表示したとき、訪問者のブラウザにおいて、その悪意あるスクリプトコードが実行される、というようなことがあげられます。

クロスサイトスクリプティングに関して、情報処理技術者試験の午前試験問題をちょっとみてみます。試験問題の全文については、情報処理技術者試験センターの Web サイト http://www.jitec.jp/ にて公開されています。

平成１８年度テクニカルエンジニア（情報セキュリティ）試験の午前試験問題の問４３。

問４３　クロスサイトスクリプティングに該当するものはどれか。

ア　悪意をもったスクリプトを、標的となるサイト経由でユーザのブラウザに送り込み、その標的にアクセスしたユーザのクッキーにある個人情報を盗み取る。

イ　クラッカの Web サイトにアクセスしたユーザに悪意をもったスクリプトを送り込み、そのスクリプトを実行させて Web ページ中のHTMLタグを変換する。

ウ　攻撃者が、JavaScript を使ったセッション管理に使うクッキーにアクセスし、ブラウザに広告などのダミー画面を表示する。

エ　入力情報を確認するためにフォームの入力値を画面表示するプログラムの脆弱性を利用して、クッキーにある個人情報を改ざんする。

答えは、ア。

平成１８年度情報セキュリティアドミニストレータ試験の午前試験問題の問２８。

問２８　クロスサイトスクリプティングによる攻撃へのセキュリティ対策はどれか。

ア　OS のセキュリティパッチを適用することによって、Web サーバへの侵入を防止する。

イ　Web アプリケーションで、クライアントに入力データを再表示する場合、情報内のスクリプトを無効にする処理を行う。

ウ　Web サーバに SNMP プログラムを常駐稼動させることによって、攻撃を検知する。

エ　許容範囲を超えた大きさのデータの書き込みを禁止し、Web サーバへの侵入を防止する。

答えは、イ。

対策としては、スクリプトのタグの入力チェックや、スクリプトの無効化があげられています。

リスク分析は、どこにどのようなリスクがどの程度存在しているかを把握することです。

リスク分析手法としては、GMITS（Guidelines for the Management of IT Security：ISO/IEC TR 13335のこと）で紹介されている４つの手法が取り上げられることが多いようなので、ちょっとみてみました。

(1)ベースラインアプローチ

社内外の基準や規程、標準、ガイドラインなどを標準にして、リスク分析を行う方法です。短期間で効率的な実施ができますが、場合によっては過剰あるいは不十分な分析結果となるとされています。

(2)詳細リスク分析

情報資産、脅威、脆弱性の洗い出しを行い、その組み合わせからリスクの大きさを評価する手法です。情報資産ごとのリスクに応じた対策が実施できますが、分析には多くの時間がかかるとされています。

(3)非形式的アプローチ（非公式アプローチ）

分析者の知識と経験によってリスク分析を行う方法です。分析者の能力によって分析の時間や品質に差が出るとされています。

(4)組み合わせアプローチ

上記のアプローチを組み合わせて、それぞれの手法のメリットを活かし、デメリットを補うものです。ベースラインアプローチを基本にし、重要な事項については、詳細リスク分析を実施する、などのような方法がとられます。

さて、平成１８年度情報処理技術者試験の情報セキュリティアドミニストレータ午前試験の問３６をみてみます。なお、試験問題の全文については、情報処理技術者試験センターの　Web　サイト http://www.jitec.jp/ にて公開されています。

問３６　ISMS におけるリスク分析の方法の一つであるベースラインアプローチはどれか。

ア　公表されている基準などに基づいて一定のセキュリティレベルを設定し、実施している管理策とのギャップ分析を行った上で、リスクを評価する。

イ　情報資産を洗い出し、それぞれの情報資産に対して資産価値、脅威、脆弱性及びセキュリティ要件を識別し、リスクを評価する。

ウ　複数のリスク分析方法の長所を生かして組み合わせ、作業効率や分析精度の向上を図る。

エ　リスク分析を行う組織や担当者の判断によって、リスクを評価する。

答えは、ア。

ちなみに、イは詳細リスク分析、ウは組み合わせアプローチ、エは非形式的アプローチ（非公式アプローチ）の説明に該当しそうです。