情報セキュリティは、個人や企業が保有する機密情報、個人情報、知的財産などを、不正アクセス、漏洩、改ざん、ウイルス感染などの脅威から守るために非常に重要です。適切な対策を怠ると、信用の失墜、金銭的な損失、法的責任、事業継続の危機につながるリスクがあります。情報セキュリティは、事業継続と企業の信頼維持に不可欠な要素のためしっかり学習しておきましょう。
画像参照:https://group.gmo/security/security-all/information-security/
ファイアウォール
ファイアウォールは、サイバー攻撃や不正アクセスからネットワークを守るためのソフトウェアまたはハードウェアです。インターネットと社内ネットワークの間に設置され、事前に設定されたルールに基づき、許可されていない通信を遮断する仕組みです。
ファイアウォールの設置
ファイアウォールは、インターネットとLANとの境界に設置します。ファイアウォールから見た位置関係で呼び方の総称が異なります。
| 名称 | 概要 |
|---|---|
| 外部セグメント | ファイアウォールの外側を指します。 |
| 非武装セグメント(DMZ) | ファイアウォールの内側かつ公開サーバを設置する箇所を指します。 |
| 内部セグメント | ファイアウォールの内側かつLAN内部に相当する箇所を指します。 |
画像参照:https://www.three-wise-monkeys.com/entry/2022/11/10/080000
内部セグメントからDMZ向けには通信を行えますが、DMZから内部セグメント向けには通信できないように設定されます。これは、DMZのサーバが攻撃を受けて乗っ取られたとしても、乗っ取ったサーバから内部セグメントへ接続できないようにするためです。
パケットフィルタリング型ファイアウォール
パケットフィルタリング型ファイアウォールは、ネットワークで送受信されるデータパケットを、IPアドレス、ポート番号、プロトコルなどのヘッダー情報に基づいて、事前に定義されたルールに従って通過または遮断するセキュリティ機能です。シンプルで高速な通信が可能ですが、パケットのペイロード(中身)を検査しないため、なりすましやアプリケーションの脆弱性を突く攻撃には対応できないという弱点があります。
ペイロード
通信やデータ転送において、ヘッダ(宛先や制御情報)を除いた「実際に届けたい正味のデータ本体」を指します。
仕組み
- パケットの検査: ネットワーク上を流れるデータを「パケット」という小さな単位に分割して送受信しますが、このファイアウォールはパケットのヘッダー情報(送信元/宛先IPアドレス、ポート番号、プロトコルなど)を検査します。
- ルールベースの制御: 事前に設定されたルール(ACL)と比較し、ルールに合致したパケットのみを通過させます。
- 通過の可否判断: ルールに一致しないパケットは、不正な通信とみなしブロックします。
ホワイトリスト方式
事前に許可された安全なアプリケーション、Webサイト、通信(IPアドレス)のみを実行・アクセス可能にし、それ以外をすべて遮断する強固なセキュリティ対策です。
メリット
- 通信速度が速い: 処理がヘッダー情報のみで済むため、通信速度が遅くなりにくいです。
- 設定が比較的容易: ルールの設定は、IPアドレスやポート番号などに基づいて行われるため、シンプルです。
- 基本的なセキュリティを確保できる: 不正なIPアドレスからのアクセスや、ポート番号の不正な使用を防ぐことができます。
デメリット
- 安全性が低い: パケットのヘッダー情報のみをチェックするため、データの中身に偽装や悪意のあるプログラムが混入していても検知できません。
- 高度な攻撃に対応できない: アプリケーションの脆弱性を突くような、パケットのペイロードに隠された攻撃には対応できません。
- 設定ミスがリスクにつながる: 設定ミスが起きると、セキュリティ上の欠陥となり、ハッキングのリスクを高める可能性があります。
アプリケーションゲートウェイ型ファイアウォール
アプリケーションゲートウェイ型ファイアウォールは、プロキシ(代理)サーバーを介して通信を監視し、データの内容を詳細に検査することでセキュリティを高めるファイアウォールです。従来のパケットフィルタリング型に比べて高度な制御が可能で、なりすまし型の不正アクセスに強いというメリットがあります。しかし、通信内容の検査に時間がかかるため、パフォーマンスが低下する可能性があるというデメリットがあります。
特徴
- 代理(プロキシ)通信: 内部のコンピュータは直接外部と通信せず、ファイアウォール(プロキシサーバー)が代わりに行います。
- データの中身まで検査: 通信のパケットヘッダ情報だけでなく、HTTPやFTPといった特定のアプリケーションプロトコルに特化し、データの内容を詳細に分析して通信の可否を判断します。
- 高度なセキュリティ: データ内容を検査できるため、マルウェアの混入や不正なURLを含む通信などを検知し、ブロックできます。また、内部からのアクセス制御も可能です。
- プロキシ型ファイアウォールとも呼ばれる: 通信を代理する仕組みから、このように呼ばれます。
メリット
- 高いセキュリティ: なりすまし型の不正アクセスや、データの中身を狙った攻撃から内部ネットワークを保護します。
- 細かい制御が可能: ユーザー単位や特定のアプリケーション、サイトなど、きめ細かなアクセス制御を設定できます。
デメリット
- 処理速度の低下: データ内容を詳細に検査するため、パケットフィルタリング型と比べて通信速度が遅くなることがあります。
- 対応できるサービスが限定的: アプリケーション型は特定のサービスに特化しているため、対応サービスごとにファイアウォールが必要になる場合があります。
WAF
WAFとは、「Webアプリケーションファイアウォール(Web Application Firewall)」の略で、Webアプリケーションを悪意のある攻撃から保護するセキュリティ対策です。従来のファイアウォールがネットワークレベルで通信を制御するのに対し、WAFはアプリケーションレベルで通信の中身を解析し、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を検知・遮断します。
主な特徴
- 対象: Webアプリケーション
- 機能: HTTPトラフィックを監視・分析し、不正な通信をブロックする
- 攻撃の防御: SQLインジェクション、クロスサイトスクリプティング(XSS)、ボットによる攻撃など、アプリケーションの脆弱性を狙う攻撃を防ぐ
- 従来のファイアウォールとの違い:
- ファイアウォール: 主にIPアドレスとポート番号といったネットワークレベルで通信を制御する。
- WAF: アプリケーション層で通信内容(ペイロード)を解析し、より詳細な攻撃を検知・防御できる。
- 設置場所: Webサーバーの前に設置し、サーバーに到達する前に通信を検査する。
- 導入のメリット:
- 機密情報漏洩やWebサイト改ざんなどの被害を防ぐ
- セキュリティの向上と同時に、システム停止のリスクを低減する
- 近年増加している、ファイアウォールでは防ぎきれない攻撃に対応できる
IDS,IPS
IDSとIPSは、サイバーセキュリティ対策のシステムで、IDSは「不正侵入検知システム」、IPSは「不正侵入防御システム」を指します。主な違いは、IDSが不正アクセスの兆候を検知して管理者に通知するだけなのに対し、IPSは不正アクセスを検知した上で自動的に遮断する機能も持つ点です。どちらを導入するかは、用途に応じて選択する必要があります。
IDS (不正侵入検知システム)
- 機能: ネットワーク通信を監視し、不正アクセスや攻撃の兆候を検知します。
- 動作: 脅威を検知すると、管理者へ通知(アラート)を発します。
- 特徴: ネットワークの監視フローを妨げにくいという利点があります。
IPS (不正侵入防御システム)
- 機能: 不正アクセスの検知に加え、不正なパケットを自動的に遮断・防御します。
- 動作: 脅威を検知すると、通信をブロックしたり、ファイアウォールルールを再構成したりします。
- 特徴: 脅威の侵入を直接的に防ぐことができます。ただし、万が一機器が故障すると通信がすべて許可されてしまうため、注意が必要です。
主な違いのまとめ
| 特徴 | IDS(不正侵入検知システム) | IPS(不正侵入防御システム) |
|---|---|---|
| 主な役割 | 検知と通知 | 検知と防御 |
| 動作 | 異常を検知して通知 | 異常を検知してブロック |
| 通信への影響 | ネットワークフローを妨げにくい | リアルタイムで防御するため、パフォーマンスへの影響が大きい場合がある |
ハニーポット
ハニーポットとは、サイバー攻撃者を意図的に引き寄せて、その攻撃手法を分析するための「おとり」となるシステムです。実際には攻撃対象としないシステムやサーバーを模倣して設置し、攻撃者の行動や攻撃方法に関する情報を収集することで、本来の重要なシステムを保護し、セキュリティ対策を強化することを目的とします。
主な目的と仕組み
- 攻撃者の誘導:実際のシステムと見分けがつかないように偽のシステムを設置し、攻撃者の注意をそらします。
- 情報収集と分析:攻撃者がハニーポットに侵入した際の活動や使用した攻撃手法を監視・記録し、詳細な情報を収集・分析します。
- セキュリティ対策の強化:収集した分析結果を基に、自社のセキュリティ対策を強化したり、新たな脅威への対策を講じたりします。
- 早期警告:攻撃が始まる前にハニーポットが反応することで、攻撃の兆候を早期に察知できます。
利点
- 攻撃手法の分析:実際の攻撃者の手法を直接観察できるため、より効果的な対策を立てられます。
- セキュリティスタッフのトレーニング:制御された安全な環境で、セキュリティ担当者のトレーニングに活用できます。
- 内部犯行への対応:内部の不正アクセスや、内部からの情報窃盗といった脅威を検出するのにも役立ちます。
ペネトレーションテスト
ペネトレーションテストとは、サイバー攻撃を模倣した疑似的な侵入を実際に試みることで、システムに潜む脆弱性を特定し、セキュリティ対策の有効性を評価するテストです。攻撃者の目線でシステムに侵入し、機密情報の窃取などの具体的な攻撃目的が達成できるかを確認することが目的です。
特徴
- 攻撃者視点のテスト: ホワイトハッカーが実際の攻撃者と同じ手法で、セキュリティの穴を探し、実際にシステムへの侵入を試みます。
- 「攻撃目的の達成」を検証: 「機密情報の窃取」や「重要データの改ざん」といった、特定の攻撃目標を設定し、それが達成できるかを確認します。
- セキュリティ対策の耐性評価: 想定されるサイバー攻撃に対して、現在のセキュリティ対策がどの程度耐えられるかを評価できます。
- 「脆弱性診断」との違い:
- 脆弱性診断: 網羅的に脆弱性の有無を洗い出すことが目的です。
- ペネトレーションテスト: 脆弱性を悪用して、攻撃者が設定した目的を達成できるかを実証的に検証します。
実施方法
- 準備フェーズ:
- テスト対象の環境を分析します。
- テストの具体的な目的(攻撃シナリオ)を設定します。
- 実施フェーズ:
- 設定したシナリオに基づき、専門家が疑似的な攻撃を繰り返し行い、脆弱性を探します。
- 攻撃手法が確立された脆弱性があれば、実際に攻撃コードを実行します。
- 対策フェーズ:
- テスト結果を報告し、検出された問題点に対して対策を講じます。
- 対策が適切に実施されているかを確認します。
ファジング
ファジングとは、ソフトウェアやシステムに「ファズ」と呼ばれるランダムまたは異常なデータを大量に送り込み、予期せぬ動作やバグ、脆弱性を自動的に検出するテスト手法です。この手法は、一般的なテストでは見つけにくい問題を効率的に発見できるため、セキュリティの確保に役立ちます。
概要
- 目的: ソフトウェアやシステムに予期せぬ入力データを送り込み、クラッシュ、ハングアップ、データ破損などの異常な動作を引き起こすことで、バグや脆弱性を発見する。
- 「ファズ」: テストに用いられる、無効な、予期しない、またはランダムなデータのことです。
- 手法: ツール(ファザー)を使ってファズを生成・投入し、システムの挙動を監視します。通常は自動化されており、大量のテストを短時間で実行できます。
- 具体的な例: 極端に長い文字列や、通常は使われない制御コードなどを入力することで、システムがどのように対応するかを調べます。
ハングアップ
コンピューターやアプリケーションがマウスやキーボードからの入力を受け付けなくなり、操作不能になる状態を指します。
メリット
- 未知の脆弱性の発見: 開発者が想定していないデータ入力によって、未知のバグや脆弱性を発見できる可能性が高い。
- 効率性と自動化: ツールの活用により、テストの自動化が容易で、人的コストを削減できる。
- 高いコードカバレッジ: 実行されたコードの割合(コードカバレッジ)を最大化できるため、より徹底的なテストが可能です。
コードカバレッジ(コード網羅率)
ソフトウェアテストにおいてソースコードがどの程度テストされているかを測定する指標です。
課題
- 検出の限界: 生成されるデータはパターンに基づいている場合があるため、全ての脆弱性を検出できるとは限りません。
- 専門知識の必要性: 検出された問題の詳細な分析や修正には、高度な専門知識が求められる場合があります。
- 他の手法との併用: 効果的な活用のためには、他のセキュリティテスト手法(静的解析やペネトレーションテストなど)との併用が重要です。
静的解析
プログラムを実行せずにソースコードやバイナリを自動解析し、バグ、脆弱性、コーディング規約違反を検出する手法です。バイナリ
コンピュータが処理する0と1の2進数で表現されたデータ形式のことです。
よく出る問題
① パケットフィルタリング vs アプリケーションゲートウェイ
❓超頻出の基本問題
- パケットフィルタリング
- IPアドレス、ポート番号で制御
- 高速だが中身は見ない
- アプリケーションゲートウェイ(プロキシ)
- HTTPなどの内容までチェック
- セキュリティ高いが遅い
👉 よくある出題
「どちらがセキュリティ高いか?」
→ アプリケーションゲートウェイ
② ステートフルインスペクション
近年かなり出る
- 通信の“状態”を覚える
- 内部→外部の通信に対する戻り通信だけ許可
👉 ポイント
- 「戻り通信はOK」=セッション管理している
セッション
Webサイトや通信システムにおいて、ユーザーが接続(ログイン)してから切断(ログアウト)するまでの一連の行動や通信の単位のことです。
③ NAT / NAPT(IPマスカレード)
計算・仕組み問題で出る
- NAT:1対1変換
- NAPT:複数端末を1つのグローバルIPで共有
👉 よくある問題
- 「どれがIPマスカレード?」
→ NAPT
④ DMZ(超重要)
ネットワーク構成問題の定番
- 外部公開サーバ(Web、メール)を置く場所
- 内部ネットワークと分離
👉 出題例
- 「どこにWebサーバを置くべきか?」
→ DMZ
⑤ フィルタリングルールの優先順位
ひっかけ多い
基本ルール:
- 上から順に評価
- 最初に一致したルールが適用
👉 よくあるミス
- 「後ろの許可ルールが効くと思った」
→ 実際は前の拒否で止まる
⑥ ログ問題(実践系)
午後問題で出やすい
例:
deny TCP 192.168.1.10 → 203.0.113.5:80
👉 読み方
- 内部PC → 外部Webアクセスが拒否
よく問われる:
- 「どの通信が遮断されたか?」
- 「攻撃はどこから来たか?」
⑦ よく出る攻撃と防御の対応
セットで出ることが多い
- ポートスキャン → フィルタリング
ポートスキャンは、対象サーバーの空きポート(通信窓口)や動作サービス、ファイアウォールの有無を調査する偵察行為です。フィルタリング(パケットフィルタリング)は、IPやポート番号に基づいて通信を許可・拒否する防御技術です。
- SQLインジェクション → WAF
WebサイトへのHTTP通信を検査し、「OR 1=1」や記号を含む不正なリクエストを事前に検出・ブロックします。シグネチャベースで攻撃パターンを検知し、短期間で防御を強化できるため、根本対策と組み合わせることでセキュリティを大幅に向上させます。
- DoS → レート制限 / IDS/IPS
DoS攻撃 : 1台の機器から過大な負荷をかけ、サーバーやWebサイトの機能・サービスを停止させるサイバー攻撃。
シグネチャ
データや通信を一意に特定するための識別情報(署名、パターン、特徴)を指します。レート制限
一定時間内にユーザーやシステムが実行できるAPIリクエストや操作の回数を制限する技術です。
🔥 頻出ポイントまとめ(ここだけ覚えても得点取れる)
- ステートフルインスペクション=戻り通信OK
- NATとNAPTの違い(NAPT=多対1)
- DMZの役割
- ルールは上から評価
- プロキシは中身まで見る
🎯 ミニ予想問題(本番レベル)
問題:
ファイアウォールで以下のルールがある
- deny TCP any → 192.168.1.10:80
- allow TCP 203.0.113.5 → 192.168.1.10:80
このときどうなる?
👉 答え:
すべて拒否(1が先に適用される)
コメント