情報セキュリティ実践技術

情報セキュリティ実践技術は、多くの要素を組み合わせて形成される多層的なアプローチです。TLS技術は、証明書による認証、鍵交換、暗号化、および改ざん検出を可能にし、プロセスの負荷を軽減するためにSSL/TLSアクセラレータが使用されます。  ハンドシェイクプロトコルとは、TLSの最初のやり取り。  プリマスターシークレットとは、暗号化に使用するセッション鍵を生成する際に必要となる情報。  マスターシークレットとは、プリマスターシークレットを用いて生成し、セッション鍵をつくる基になるもの。  レコードプロトコルとは、セッション鍵を使った暗号化通信を行うプロトコル。  TLSでは、利用には証明書と秘密鍵のペアが必要になる。  TLSはトランスポート層のプロトコルで、信頼性を確保するTCP上で利用する。  常時SSL/TLSとは、Webサイトにおいて、すべてのWebページをTLSで保護するように設定を行うこと。  TLS1.3では前方秘匿性やPFSを実現するため、静的なRSAやDHの使用が不可能になり、代わりにDHEやECDHEを使うことが推奨されている。VPN技術には、ネットワーク層で機能するIPsec-VPN、トランスポート層で機能するSSL-VPN、データリンク層で使用されるL2TPやPPTPがあります。  VPNは仮想的な専用線で、トンネリングや暗号化などの技術を利用して、共有のネットワーク上に専用のネットワークを構築する。  SSL-VPNの欠点を補うための技術　1.SSL-VPNレイヤ2フォワード方式　2.ポートフォワード方式。ESPヘッダの暗号化対策は、オリジナルIPヘッダからESPトレーラまで行われます。  IPsecでパケットをやり取りするときに使うセキュリティプロトコルにはESPとAHがある  ESPはデータの暗号化と認証をサポートする  AHはデータの認証を行い、暗号化はしないSSHでは、暗号化や認証の技術を用いて、安全にネットワーク通信を行います。また、SSHでは、パスワード認証方式よりも公開鍵認証方式が推奨されます。  1.パスワード認証方式は、ユーザIDとパスワードによる認証  2.公開鍵暗号方式の秘密鍵を用いた認証方式で、パスフレーズが設定された秘密鍵はクライアントが保持し公開鍵はサーバに設置する。  3.ワンタイムパスワード認証方式は、一回限りの使い捨てのパスワードを利用する様式暗号化を強化するために、L2TP over IPsecやGRE over IPsecが利用されます。  そのほかにVXLANやQ in Qなどの技術がある。IKE SEでは、パラメータ交換、共通鍵の生成、認証を行います。  IPsecはネットワーク層のプロトコル  IPsecでは仮想的な通信路であるSAを生成し、その中で通信を行う  IKE SEまたはISAKMP SAは制御用のSA  Psec SAは通信データを送るためのSE.上り用と下り用でそれぞれ別のSAを生成する  はじめにIPsec通信を開始する機器をイニシエータといい、応答を返して通信路を確立する機器をレスポンダと呼ぶ  IPsecでは、通信路を暗号化するために共通鍵を使用する  フェーズ1でISAKMP SAを構築する方法　1.メインモード　2.アグレッシブモード  KAフェーズ1で行われる処理　1.パラメータの交換　2.共通鍵の生成　3.認証  IPsecの通信モード　1.トランスポートモード　2.トンネルモード

認証技術では、EAP-TLSが両方の端末にデジタル証明書を使用し、PEAPではサーバのみデジタル証明書を使用します。  EAPは、PPPを拡張した認証プロトコルで、IEEE.802.1Xの認証にはEAPが用いられる。  1.EAP-MD5はクライアント認証にユーザ名とパスワードを用い、パスワードはハッシュ関数MD5を利用して送る。  2.REAP（EAP-PEAP）のサーバ認証では、デジタル証明書を検証し、公開鍵を使って暗号化された通信路を作り、認証情報をやり取りする。  3.EAP-TLSのサーバ認証ではサーバのデジタル証明書、クライアント認証ではクライアントのデジタル証明書を検証することで相互認証する。  4.EAP-TTLSはEAP-TLSを拡張した方式で、公開鍵でTLSでの暗号化通信路を構築しユーザ名とパスワードでクライアント認証を行う。　　
 5.EAP-LEAPはCisco社独自の双方向認証プロトコルで、デジタル証明書を発行せず、双方向でチャレンジレスポンス方式のパスワード認証を行う。  6.EAP-OTPは認証にワンタイムパスワードを利用する方式。  EAPOLはI、EEE 802.1においてサプリカントと認証サーバの間でEAPパケットをEthernetフレームのデータ部分に入れてやり取りするプロトコル。この認証プロセスには、サプリカント、オーセンティケータ、認証サーバが関与します。SSIDは無線アクセスポイントを認証するIDで、ステルスで隠すこともできます。  SSIDは最長32バイト（オクテット）のネットワーク識別。  SSIDが明らかになると不正アクセスされる可能性が高くなるため、それを隠すSSIDステルスという方法がとられることもある。  無線LANアクセスポイントを認証できないPCはアクセスを拒否するANY接続拒否を設定する必要がある。WPA3はWPA2の改良版で、AESをベースとした手法で暗号化を行います。  暗号化方式　1.WEP（最も基本的な暗号方式で現在では使用が推奨されていない）  2.WPA（システム運営中に鍵を変更できる）  3.WPA2（暗号化アルゴリズムとしてAES-CCMPを使用する）  4.WPA3（WPA2の安全性を高めた規格）  5.Enhanced Open（アクセスポイントのSSIDを使用するだけで、パスワードや鍵などによる認証なしに接続でき、通信を暗号化する）
セキュアな通信を確保するために、HTTPSを用いたフォーム認証やCookieのSecure属性設定を通じて通信の安全性が保証されます。Secure属性を設定するとCookieの送出をHTTPS時のみにします。  URLフィルタリングは、URLのリストをに当てはまるものを遮断もしくは通過させる。  コンテンツフィルタリングは、コンテンツの内容を基にキーワードなどで遮断もしくは通過させる。  HTMSは、一度アクセスすると次回から当該WebサイトにはすべてHTTPSによってアクセスすることをWebブラウザに強制する仕組み。  HTTPヘッダにおけるセキュリティ対策　1.Secure属性　2.HttpOnly属性　3.Cookieに設定できるその他の属性　4.Strict-Transport-Security  5.X-Frame-Options　6.X-XSS-Protection　7.Content-Security-Policyフォーム認証では、HTTPSの利用は必須です。電子メールのセキュリティには、SPFとDKIMを使用した電子メールの認証が行われます。SPFはIPアドレス、DKIMはデジタル署名で電子メールを認証します。  電子メールの暗号化　1.S /MIMEはMIME形式の電子メールを暗号化し、デジタル署名を行う。  2.PGPは認証局ではなく友人の公開鍵を信頼するという形式をとる。  メール通信経路の暗号化はSMTPSやIMAPSを利用する。  電子メール認証　1.SPF　2.DKIM　3.SMTP-AUTH　4.POP before SMTP　5.OP25B　6.DMARCログの時刻はNTPですべて同期させて揃えます。  証拠保全技術　1.時刻同期（NTP、SNTP）　2.SIEM（ログ情報を分析し対策方法を知らせる仕組み）　3.WORM（書き込みが1回しかできない記録媒体）  4.ブロックチェーン（分散型台帳技術）　5.IRM（秘密情報を適切に管理する仕組み）ベイジアンフィルタリングにより迷惑メールが識別されます。  迷惑メール対策　1.迷惑メールフィルタ　2.オープンリレーの防止　3.送信ドメイン認証DNSセキュリティでは、DNSSECがデジタル署名を用いてDNSレコードの正当性を保証し、DNSサーバはキャッシュサーバとコンテンツサーバの役割を分離します。  DNSの通信は、通常はトランスポート層にUDPを用いる。  DNSレコードを用いたセキュリティ対策　1.IPアドレスによるセキュリティ（SPF、PTR）　  2.ディジタル署名や証明書によるセキュリティ（DKIM、DNSSEC、CAA）

データの保護には、ステガノグラフィによるデータの隠蔽、BIOSパスワードとハードディスクの暗号化、TPMによる鍵ペアの生成と認証が行われます。  フィンガプリントという技術は情報の同一性を確認するために用いられるこれらの技術は、データと通信の安全を確保し、サイバーセキュリティの脅威から保護するために重要です。|  《》