lu100101の日記

勉強の記録

6. リモートアクセス

持ち出し管理規定(推奨)

  • 電子メールは保存しない(IMAP
  • 重要データは保存しない(サーバ保存)
  • 利用者認証機能
    • USBキーをPCに挿入し、USBキー内の秘密鍵を活性化するためのパスワードを入力
    • USBキーはPCと別に管理
    • BIOSによる起動パスワードで、本人以外が起動できないように
  • 確実に利用者認証ができていることを上司が確認
  • 暗号化
    • 利用者が意識することのないように
    • 復号鍵を認証デバイスに保管して、認証デバイスがないと復号できないように
  • 持ち出し申請管理の徹底
    • 申請書を用いる
    • 口頭での許可はしない
  • RASへのアクセス記録を定期的に本人宛に電子メール送付する
  • バックアップ
  • ウイルス対策PDA
    • パーソナルFW
    • パターンファイルをリアルタイムに更新する
  • のぞき見防止フィルタで盗み見対策
  • 社内ネットワークに接続するときは検疫ネットワーク等を利用する

盗難・紛失時の対応

  • 利用者は直ちに事実を報告
  • 管理者は詳細ヒアリング、漏洩リスクを判断
  • リモートアクセスのID、パスワード等を一時的に利用停止
  • 紛失中に当該IDからアクセスがあるかどうかサーバやFWのログをチェック
  • 戻ってきた後、操作履歴やログをチェック
  • 情報漏洩やインシデントの発生有無を最終判断し報告書にまとめる
    • インシデントが発生していたらインシデント対応プロセスに移行
  • 情報セキュリティ委員会で再発防止策を検討

BYOD

  • Bring Your Own Device
  • メリット
    • 会社は初期コスト(端末購入費等)、運用コスト(通信費、保守費等)がかからない
    • 従業員は2台持ちの解消、使い慣れた端末の解消、好きな機種の利用ができる
    • 特定機種に脆弱性が発見されても、すべての端末が使えなくなることはない
  • デメリット
    • 会社での一元管理が困難
    • 脆弱性の一括修正が困難
    • 私的データと会社で利用するデータが混在
  • セキュリティ
    • OS及びアプリケーションに最新の脆弱性対策パッチを適用する
    • 機種やOSのバージョンの申請を義務付ける
    • 可能な場合、ウイルス対策ソフトの導入
    • 私的改造を行わない(製造元のセキュリティ機能が無効になるから)
    • アプリケーションは、信頼できるところだけに限定する

ディスクやUSBメモリの暗号化

  • 電子政府推奨のAES(鍵長256ビット)、CCのEAL4レベルが安全とされている
  • フルディスク暗号化方式
    • ディスクまるごと暗号化し、利用者は意識することはない
    • プリブート認証
      • 認証が通らないとOSが起動しない
    • ハイバーネーション用領域の暗号化
      • PCが休止モードになったときに、そのときのメモリの内容を一時的に書き出す領域
    • 起動後は無防備、起動時にUSBメモリ等の外部デバイスにコピーしたものは非暗号
    • TPMに復号鍵を保管しておけば、ハードディスクが取り外されても他のPCで読めない
  • 仮想ディスク暗号化方式
    • 仮想的な暗号化領域(コンテナ)を作成し、仮想ディスクとして利用する
    • マウントするときに認証が必要だが、一度認証をパスすると一定時間は意識せずに使える
    • 仮想ディスクに書き込むと自動で暗号化され、コンテナ以外のところにコピーされると自動で復号される
  • フォルダ・ファイル暗号化方式
  • TPM
    • Trusted Platform Module
    • PCに内蔵されるセキュリティチップ
    • 耐タンパ性を持ち
    • 鍵ペアの生成と格納
    • ハッシュ値の計算
    • 乱数生成

VPN

  • 機能
    • 暗号化
      • 通信回線上を流れるパケットを暗号化
    • 完全性検査
      • 通信途中での改ざんを検知
    • トンネル化
      • 本来のパケットに新しいヘッダをつけて通信するなどしてカプセル化
  • プロトコル
    • PPTP
      • Point to Point Tunneling Protocol
      • 第2レイヤでVPNを構築する
      • 主としてインターネットVPNで使用される
    • IPsec
      • IPレベルでVPNを実現するプロトコル
      • IPのバージョン4ではオプション、IPv6では標準仕様
      • 通信モード(暗号モード)
        • トンネルモード
          • IPパケットをヘッダごと暗号化するため、透過的で安全
        • トランスポートモード
          • IPパケットのデータ部(TCPヘッダとデータ部)だけを暗号化
          • セキュアなホスト間でのエンドツーエンドなどに用途が限られる
      • プロトコル
        • ESP
          • Encapsulating Security Payload
          • 暗号化と認証が可能
        • AH
          • Authentication Header
          • 認証のみ
      • 認証モード
        • メインモード
          • 相互認証に固定IPを使う
          • LAN間接続に向く
        • アグレッシブモード
      • トンネルモード+ESP
        • データ形式(前から)
          • VPN装置間で新たなIPヘッダをつける
          • ESPヘッダ
          • 暗号化したIPパケット
            • 暗号化される
          • IPヘッダ+データ
          • ESPトレーラ
            • 暗号化される
          • 認証データ
        • 通信手順
          • 第1フェーズ:IKE SA(制御用トンネル)を作成
          • 第2フェーズ:IPsec SA(通信用トンネル)×2を作成
            • IKE SAを使ってIPsec SAを上り用と下り用を作成する
              • 第3フェーズで利用する暗号アルゴリズムと認証アルゴリズム(ハッシュアルゴリズム)を決定し、双方のSPI値、乱数を交換する
              • それらを基に上り通信用の暗号鍵と認証鍵、下り通信用の暗号鍵と認証鍵を作成する
          • 第3フェーズ:暗号通信を開始
    • SSL-VPN
      • 本社側にSSL-VPNゲートウェイを設置し、クライアントとSSL-VPNゲートウェイとの間でSSLhttps)通信を行う仕組み
      • リバースプロキシ方式
      • ポートフォワーディング方式
        • Webブラウザに専用モジュールを自動的にダウンロードして利用する
        • SSL-VPN装置と各種サーバ間に設定が必要
        • 設定したアプリケーションは利用できる
      • L2 フォワーディング方式
        • Webブラウザに専用モジュールを自動的にダウンロードして利用する
        • クライアント側に仮想NICを設定し、サーバ側のネットワークに属する
        • すべてのアプリケーションを透過的に利用できる
    • SSH
      • SSHサーバとSSHクライアントを設置し、SSHプロトコルを使う
      • SSL-VPNとの対応
      • ポートフォワーディング機能
        • TCPの上位で動作するアプリケーションを暗号化して安全に通信できる
      • コマンド
        • ssh:遠隔端末、telnetやrloginの安全な代替手段
        • scp:ファイル転送、rcp
        • sftp:ファイル転送、ftp
      • パスワード認証、公開鍵認証

シンクライアント

  • ネットワークブート型
    • 端末起動時にOSやアプリケーションを端末に送って、端末側で動作する
    • 起動時にネットワークに負荷がかかる
  • 画面転送型
    • サーバベース方式
      • 1台のサーバにある環境を共有する
      • アプリが対応している必要がある
      • ライセンスに課題
    • ブレードPC方式
      • ブレード(CPU等を配置した基盤)一つで1端末
      • コストがかかる
    • VDI方式
      • サーバに仮想化ソフトをインストールし、その上で仮想的に端末ごとの環境を維持管理する
      • H/Wは共通でもOSやアプリは端末の数だけ必要
  • メリット
    • 端末にデータが残らない
    • サーバ側で、個々の端末の環境の一元管理ができる
    • インターネット接続用のTCサーバを独立させると標的型攻撃への対応になる]
      • OA用TCサーバのデスクトップ環境がマルウェアに感染しても、FWで外部ネットワークへのHTTP/HTTPS通信を遮断しておけば外部からコントロールされるのを防ぐ
      • IA用TCサーバのデスクトップ環境がマルウェアに感染しても、そこから内部への感染拡大には至らない

RADIUS

  • インターネット以前はリモートアクセスは公衆回線やINS回線で、アクセスポイントのアクセスサーバ(Remote Access Server)に電話をかけて接続していた
    • ダイヤルアップ接続
    • プロトコルはPPP
    • 認証機能はPAPやCHAP
  • 通信事業者のようにアクセスポイントが全国に分散している場合、1か所に認証サーバを設置し、アクセスポイントとは別に管理することで一元管理する
  • この時に、個々のアクセスサーバと認証サーバ間の通信プロトコルとして使われるのがRADIUS(Remote Authentication Dial-In User Service)
  • 認証サーバにRADIUSサーバ、各アクセスサーバにRADIUSクライアントの機能を持たせれば、接続要求のあったクライアントを認証サーバで認証できる
  • IEEE 802.1X認証などで使われる

IoT機器

  • 特有の性質とリスク
    • 脅威の影響範囲・影響度合いが大きい
    • ライフサイクルが長い
      • 経年によるセキュリティ機能の危殆化、新たな脆弱性の発見
    • 監視が行き届きにくい
      • 盗難・紛失
      • 管理者のいない場所での物理的攻撃、不正接
      • 放置、ウイルス感染に気付かずに放置
    • IoT機器側とネットワーク側の環境や特性の相互理解が不十分
    • 機能・性能が限られている
      • 十分なセキュリティ対策が困難
    • 開発が想定していなかった接続が行われる可能性
  • IoTのセキュリティ対策
    • IoT機器の製品設計時に配慮すること
      • 耐タンパ性
      • 故障時や想定しない接続(不正アクセス)時に対し、フェールセーフを基本とする
      • 不正利用に対しては実行可能なプログラムを制限する
      • 通常使用I/F、保守用I/F、非正規I/F別にセキュリティ設計をする
      • EDSA認証
        • Embedded Device Security Assurance
        • 制御機器を対象としたセキュリティ評価制度
    • 機器等がどのような状態かを把握し、記録する
      • 遠隔地で稼働するIoT機器は、監視が行き届かなくなりがち
        • 運用管理システムの検討
        • 死活監視
      • つながることで不正アクセスだけでなく、盗難や物理的に直接接続された時も把握
      • ログの取得及びチェック
        • 不正アクセスの兆候を把握するだけでなく、後日調査のためにも一定期間保管しておくことが望ましい
    • 保守
      • 保守専用ポートや保守専用ツールの管理強化
        • 不正利用(盗難、横流し等)に対する対応策
      • 保守員の不正・過失対策、退職後の不正アクセスへの対策
        • 不正を起こしたくない環境の構築
        • 権限分掌や相互牽制
        • 保守員の行動記録とログの突合せチェック
        • 異動や退職後の権限剥奪
    • 不正アクセスに備える
    • 更新プログラムの確実な実施
      • 遠隔で行う場合には十分な不正アクセス対策が必要
      • 自動アップデートの場合は、性能の影響がないか、問題があったときに自動バージョンダウンができるかどうかを検討する
    • 廃棄時のデータの確実な消去