lu100101の日記

勉強の記録

8. 物理的セキュリティ対策

入退室管理

  • 手順
    • 来訪者の管理
    • 名札の貸出、着用しての行動
    • 用紙に訪問先担当者の印鑑をもらう
    • 名札、印鑑のある用紙を受付に返却
    • 退出
  • 日常的に社員が名札を着用することが必要
  • 担当者のアテンドが必要

入退室管理システムの機能

  • 在室管理
  • PCへのログイン制御システムとの連携
  • プレゼンス情報との連携
  • ICカード=社員証、クレジット機能で携行率を向上させる

物理的セキュリティ対策のガイドライン

  • 国際基準:ISO/IEC27002
    • 人への対応
  • 国内基準:情報システム安全対策基準

クラウドサービス利用時の留意点

  • 信頼性(耐障害性、耐災害性)
  • 入退室管理
  • 不正アクセス対策
    • 認証方式は要求レベルにあるか
      • 端末認証が可能か
      • 二要素認証が可能か
    • 通信路は暗号化されているか
    • 監視やログ機能は要求レベルにあるか
  • サーバの設置国の法令順守(GDPR等)
  • クラウドサービス上のデータ
    • 事業者側でのバックアップ方法等の確認
    • データ消失時の保証範囲の確認
    • 契約終了時のデータの確保
      • データの所有権の有無
      • インポート/エクスポート機能
      • フォーマットの互換性
      • データの完全な消去など
  • その他
    • 拡張性やマネージドサービスが自社の要求に合致するか
      • 中長期計画との整合性
    • 利用者支援
      • 問い合わせ窓口にすぐ連絡がつくか
      • 緊急時に契約者が入室可能か
    • 事業者の財務基盤
      • 経営母体
      • 契約者数
      • 継続年数
  • データセンターの評価基準やガイドライン
    • FISCの金融機関等コンピュータシステムの安全対策基準
    • JDCCのファシリティスタンダード
      • Tierレベル(1~4)
    • TIA942
      • 世界基準

ネットワーク分離

  • 社内LANとインターネットに接続できるLANを分離
    • 物理的に端末を2台
      • 中間LANとその中のファイル転送サーバを使ってデータの受渡を行う
    • 1台の端末(論理分離)

コンテナ技術

  • コンテナエンジンの上にコンテナを立てる
  • 仮想化ソフトで複数のハードウェアと同じ環境を作ろうとする仮想化技術に対し、コンテナ技術はOSから必要機能を切り出して隔離された環境を作り出して、その後は独立して稼働させる
  • 軽くて速い
  • 複製も容易で、構成管理、変更管理、リリース管理に利用できる

VLAN

  • 仮想的なLAN
  • VLAN対応のLANスイッチを利用して構築する
  • ポートVLAN
    • LANスイッチのポートごとにVALN番号を設定する
  • タグVLAN
    • MACフレームにVLAN番号を記したタグ情報を挿入する
    • タグの形式はIEEE 802.1Qで標準化され、以下の2つから構成される
      • TPID(2バイト):固定値で0x8100がセットされ、これを見てVLANだと判断する
      • TCI(2バイト):12ビットのVLAN番号が入る(4096個を区別可能)
    • 通常のMACフレームとIEEE 802.1Qの(タグVLANを設定したところから送出される)MACフレームとは異なるので、対応している機器同士でしか機能しない
      • 通常のMACフレームではTPIDとTCIの4ビットが丸々存在しない
  • 認証VLAN
    • 端末の利用者が接続時に入力するIDとパスワードによって対応するVALNに接続する
  • VLAN間をまたがる通信でよくある接続方式
    • VLAN IDとIPのサブネットを対応づける必要がある
    • ルータ+L2スイッチを用いる場合
      • ルーティングテーブルでIPのサブネットとインターフェースを対応させる
      • VLAN IDの数だけルータとL2スイッチ間の接続が必要(インターフェースとVLAN IDを対応させる)
    • L3スイッチ+L2スイッチを用いる場合
      • 両方のスイッチのポートをタグポートに設定すれば接続は一つでよい
    • L3スイッチを用いる場合
      • ルーティングテーブルでVLAN IDとIPのサブネットを対応させるのみ

無線LANの規格

IEEE 802.11n, IEEE802.11acの新技術

  • MIMO
    • 複数のアンテナを使って送受信する技術
    • 最大でn:4本、ac:8本
  • チャネル・ボンディング
    • 1チャネルの利用周波数幅を2倍にして利用する
    • 最大でn:40MHz、ac:160MHz

無線LANのセキュリティ用語

  • 脅威
    • 盗聴
    • 不正侵入、なりすまし
      • ウォードライビング
        • 無線をキャッチする端末を車に積んで、市内を走り回りセキュリティレベルの低いアクセスポイントへ無断侵入する
    • フリースポット
      • パケットの盗聴
      • 端末への侵入、ウイルスインストール
      • ハニーポットAP(偽のアクセスポイント)への自動接続
  • ESSIDの隠蔽(ステルス化)
    • Extended Service Set Identifier
      • 無線通信の論理的グループを形成するためのネットワークの識別ID
      • アクセスポイントと無線LAN端末の双方で同じESSIDを設定する
    • ビーコン信号を停止する設定にしておく
    • アクセスポイントでANYプローブ応答の禁止設定
      • ANY接続(端末側が特定のESSIDではなくANYを設定する接続)を拒否する
  • MACアドレスフィルタリング
  • 暗号方式
    • WEP
      • アクセスポイントと端末に同じWEPキーを設定
      • 64ビットと128ビット
        • 初期設定ベクトル(IV)が24ビット
        • 残り(5文字or13文字)を設定する
      • 暗号アルゴリズムRC4
      • 完全性検査:CRC
      • アクセスポイントに接続する全端末で同一のWEPキーを設定し使い続ける上、脆弱性も発見されている古い方式
    • WPA
      • 暗号化方式:TKIP
      • 暗号化アルゴリズムRC4
      • WEPよりも安全
        • WEPの弱点であった24ビットのIVを48に増加
        • 暗号鍵を一定時間ごとに更新する
      • 暗号鍵の受け渡し方式
        • パーソナル
          • 一般家庭用
          • 事前にアクセスポイントと端末で暗号鍵(PSK)を共有しておく
        • エンタープライズ
          • 企業用
          • 認証サーバを立てて、その認証を利用する
    • WPA2、IEEE 802.11i
    • WPA3
  • その他の問題
    • 隠れ端末問題
      • 端末同士の距離が離れていてお互いのキャリアを検出できない状況の時にアクセスポイントに送った送信フレームが衝突を起こしやすくなる
      • RTS/CTSで対応
        • 送信前にRTSというフレームを送り、アクセスポイントからCTSフレームを受信した端末が通信する
    • さらし端末問題
      • 他の端末の通信を検出してしまい、送信を待ってしまうことでスループットが低下する問題