情報セキュリティ試験直前対策メモ2006=アクセス監視編=

2006年4月に情報処理技術者試験テクニカルエンジニア(情報セキュリティ)試験が実施されました。この試験の受験に向けて作成した直前対策メモを公開します。第9回目は、『アクセス監視』編です。

このメモは、キーワードを見て、自分なりに内容が理解できていることを確認するのが目的のため、詳しい解説は記載しておりません。今後、解説を付け加えていく予定です。

試験の受験テキスト、あるいは、専門書の選択時に、これらのキーワードの解説の有無や、解説の詳細さなどが、基準になるのではないかと思います。

不正アクセス監視

1:ホスト型 IDS

・1台の IDS マネージャと複数の IDS エージェントで構成される。

 → IDS エージェント:設定されたコンピュータへの不正ログオン、ユーザアカウントの登録データベースの変更、ポリシー違反への違反、ログファイルへの不正なアクセスなどを検出し、IDS マネージャへ通知する。IDS エージェントと IDS マネージャとの通信は暗号化されている。

 → IDS エージェントは、侵入の恐れの高い機器(ルータ、Web サーバ、DNS サーバ、データベースサーバなど)にインストールする。

 →バッファオーバフロー攻撃の場合、ログの出力がないため、検知できない。

2:ホスト型 IDS の検出方法

・ユーザ操作検知

 →監視対象サーバにおける、ログイン・ログオフの有無や、特権ユーザへの権限昇格などを検知する。

・ファイル改ざん検知

 → Web サーバのコンテンツファイルの改ざんなどを監視する。

・擬似レスポンス

 →いわゆるハニーポット。

・不正操作へのレスポンス

 →検知内容を通知する。また、特定ユーザのログイン拒否や権限昇格制限、ファイルのアクセス制限を行う。

3:ネットワーク型 IDS

・ネットワークに1台インストールするだけ。ネットワーク上に流れるパケットをモニタリングして収集し、IDS の持つシグネチャと一致するパターンを見つけたとき、これを通知しログに残す。

・ネットワークトラフィックが多いと IDS はパケットの解析が追いつかず、パケットを取りこぼすことがある。

・暗号化されたパケットの分析ができない。

・ログの証拠能力。

4:ネットワーク型 IDS の検出方法

・異常検出

 →不正アクセス以外でアクセス方法が多岐にわたると誤検知(フォルスポジティブ / false positive)が多くなる。

・不正検知

 →誤検知の可能性は少ないが、未知の不正アクセスは検出できない。(フォルスネガティブ / false negative)

・アノマリ通信検知

 →日常通信とは考えにくい通信の検知を行う。アノマリの比較対象は、RFC など。

 →プロトコルアノマリ検知、トラフィックアノマリ検知、アプリケーションアノマリ検知。

5:ネットワーク型 IDS の実装

・ファイアウォールの外側

・ DMZ セグメント

・内部ネットワーク

6:不正侵入防御システム( IPS / Intrusion Prevention System)

・ IPS を通過するパケットをチェックし、異常を検知したら、あらかじめ設定されたポリシーに従って自動的にパケットを遮断したり、攻撃を行っている IP アドレスからパケットを破棄してセッションを切断したりする。

7:ハニーポット

・攻撃統計調査

・攻撃者行動調査

・悪意あるプログラムの収集

8:Tripwire

・監視対象の対象ディレクトリやファイル属性のハッシュ値をデータベースとして保存し、そのデータベースと監査時の属性を比較して、監査対象の変更や削除がなかったかを判定する。

・リアルタイムではない。

補足:アクセス制御

1:ファイアウォール

・パケットフィルタリング型

・サーキットレベルゲートウェイ型:トランスポート層で動作。セッション。

・アプリケーションゲートウェイ型:アプリケーション層で動作。プロキシ。

・ハイブリッド型

2:ファイアウォールの構成(DMZ)

3:ファイアウォールのその他の機能

・NAT 機能、IP マスカレード(NAPT)機能

・ロギング機能

・コンテンツフィルタリング機能

4:コンピュータのアクセス制御

・MAC (Mandatory Access Control):強制アクセス制御

 → Bell-LaPadula モデル

・DAC (Discretionary Access Contorol):任意アクセス制御

・RBAC (Role-Based Access Control):ロールに基づくアクセス制御