ダウングレード攻撃とは
Downgrade attack
SSL/TLS通信に対する攻撃手法
SSL/TLS通信時のサーバーとクライアントに、脆弱性のあるSSL/TLSのバージョンや、強度の弱い暗号化アルゴリズムの使用を強制することで、脆弱性を突いた通信傍受などを行う攻撃。
攻撃の種類には、FREAK、Logjam、バージョンロールバック攻撃などがある。
衝突発見困難性とは
ハッシュ値に関する指標
同じハッシュ値をとるようなメッセージの組を一つでも見つけることは非常に困難という性質。
ハッシュ値とは、元のデータからある計算式 (ハッシュ関数)によって得られる固定長の値のこと。衝突発見困難性が高いハッシュ関数ほど、セキュリティレベルが高いということになる。
ハッシュ値から元のデータを求めることが困難であることは、原像計算困難性と言う。
SOAとは
Service Oriented Architecture
サービス指向アーキテクチャ
システムを、利用者側から見たサービスという構成単位で構築する手法。
サービスの内容は、利用者側の視点から見た作業単位に対応して決められる。
業務環境の変化に柔軟に対応することができるように、個々のサービスが部品として独立しサービス間の関係が疎結合であることが重要。
サービス間の連携にはSOAPやXMLなどの標準化されたデータ形式やプロトコルが用いられる。
IPスプーフィングとは
IP Spoofing
送信元のIPアドレスを偽装(なりすまし)して通信を行う攻撃手法。
DoS攻撃において、攻撃元の特定を困難にすることができる。
IPスプーフィングへの対策
・外部から入るパケットの送信元が自ネットワークと同じIPアドレスの場合は破棄する。
・外部へ出ていくパケットの送信先が自ネットワークと同じIPアドレスの場合は破棄する。
など。
WAFとは
Web Application Firewall
ウェブアプリケーションの脆弱性をついた攻撃を検知・遮断するソフトウェア(またはハードウェア)。
一般的なファイアウォールと異なり、データ部分をアプリケーションレベルで解析できるのが特徴。
ウェブアプリケーション自体にセキュリティの問題があっても、WAF製品を導入することによってそれを無害化できるという便利さがある。
PCIデータセキュリティ基準とは
Payment Card Industry Data Security Standard
クレジットカード情報および取り引き情報を保護するために策定されたクレジット業界におけるグローバルセキュリティ基準。
クレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,American Express,Discover)により策定された。
カード会員データおよび取り引き情報を保護するための12要件が規定されている。
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_2_1_JA-JP.pdf
VDIとは
Virtual Desktop Infrastructure
デスクトップ仮想化
パソコンのデスクトップ環境をサーバ上に仮想環境として用意・集約してサーバ上で稼働させる技術。
利用者がネットワークを通じてVDIサーバ上の仮想デスクトップ環境に接続し、利用者のPCにはVDIサーバからの操作結果画面のみが転送される仕組み。
クライアントPCとVDIサーバ間は画面転送プロトコルだけを利用すれば、クライアントPCへのマルウェア等の侵入やPC内のファイル流出を抑止することができる。
狭義でのVDIは、
デスクトップ仮想化の実装方式を指す。
VDI方式・・・1ユーザーに対して1つの仮想デスクトップ環境を割り当てる(Hyper-VやVMwareなど)
SBC方式・・・複数ユーザーが1つのデスクトップ環境に接続する(WindowsのRemote Desktopなど)
DNSSECとは
DNS Security Extensions
DNSにおける応答の正当性を保証するための拡張仕様。
ドメイン登録情報にデジタル署名を付加することで、正当な管理者によって生成された応答レコードであることを保証する。
サーバとクライアント双方がこの拡張に対応していればDNS応答の偽装や改竄を検出することができる。
AESとは
Advanced Encryption Standard
2000年にアメリカ政府が標準として策定した共通鍵暗号方式。
以前の標準暗号であったDESの時代経過による相対的な強度の低下などにより、次世代暗号方式として規格化された。
暗号化に用いるブロック長は128ビット、使用する鍵の長さは128/192/256ビットから選択が可能。
暗号化は複数の演算を連続して行うラウンドと呼ばれる処理を繰り返すことによって行われる。
128ビット鍵では10ラウンド、192ビット鍵では12ラウンド、256ビット鍵では14ラウンドを繰り返す。
CVEとは
Common Vulnerabilities and Exposures
(共通脆弱性識別子)
一般公表されている脆弱性情報を掲載している脆弱性情報のデータベース。
米国政府の支援を受けた非営利団体のMITRE社が管理運営している。
世界各国の製品開発企業、セキュリティ関連企業、調整機関等が広く利用している。
1999年のCVE登場以前は、脆弱性に対して製品ベンダーなどが独自に名前を付けていたため、脆弱性を一意に特定することが困難だった。
現在では、主要なベンダーから脆弱性情報が公開される時には、CVEIDという番号が付与された上で公開される。
サンドボックスとは
Sandbox
コンピュータ上に設けられた安全なプログラム実行環境。
外部から受け取ったプログラムを保護された領域で動作させることにより、システムが不正に操作されるのを防ぎセキュリティを向上させる仕組み。
サンドボックスの例としては、
Javaアプレット
Adobe Flash
など
OSコマンドインジェクションとは
OS command injection
ユーザからのデータ入力を受け付けるシステムにおいて、入力値としてOSへの命令文を与えることで、サーバのファイルの不正操作やパスワードの不正取得などを行う攻撃。
コマンドインジェクションを行う攻撃への対処が不十分だと、コンピュータの乗っ取り、他のコンピュータへの攻撃の踏み台、コンピュータウイルスのばらまき、フィッシング詐欺等の悪用が起こり得る。
SSL/TLSとは
Secure Sockets Layer / Transport Layer Security
インターネット上で通信データを暗号化する技術。
通信データを暗号化することで、データの盗聴や改ざんなどを防ぐことができる。
HTTP,SMTP,POP,FTPなどの通信を平文で行うプロトコルに利用されて、アプリケーション層とトランスポート層(TCP)との間で暗号化する。
TLSはSSL3.0の基本設計を引き継いだもの。
現在、SSLと呼んでいるものは、実質TLSを指していることも多いが、SSLの名称がまだ一般に広く認知されているため、「SSL/TLS」と併記されることが多い。