再確認シリーズ。間違えたものを中心に&セキュリティポリシーに関する話。
やっほー。
今回は、問題演習で間違えた問題に関するキーワードを中心にまとめます。
Keyword
外部から受け取ったプログラムを保護された領域で動作させることでシステムが不正に操作されることを防ぐセキュリティモデル。
→Webページ上のJavaアプレット、Flash、JSなどのプログラムの安全性の確認に使われる。
- Server VLAN
モバイルデバイスとサーバ間のセキュアなアクセスを実現。モバイルデバイス群とサーバ群に専用のVLANを作り、IPsubNet単位のACLを適用。
- WEP(Wireless Equivalent Privacy)
無線通信のセキュア化を実現。
WEP・TKIP(Temporal Key Integrity Protocol)・AES(Advanced encryption Standard)がある。この中で最も強いものはAES。
RADIUS(Remote Authentication Dial-In User Service)サーバを使った企業向けの認証システム。
個人向けはPSK認証。
- 802-1x
ネットワークのアクセス制限に使う。
- LEAP
無線LANのセキュリティ機能。BYOD端末から最寄りのアクセスポイントまでのセキュリティを実現。
- SAML(Security Assertion Markup Language)
ユーザ間の認証や属性、認可に関する情報を記述するためのXMLをベースにした言語。Webサイトやページとの間でこれらの認証情報を交換することでシングルサインオンを実現する。
ディレクトリサービスの標準仕様。これの暗号化バージョンがセキュアLDAP。
- スニファー(Sniffer)
ネットワーク上のパケットをモニターし、トラフィック調査やパケットキャプチャなどの障害解析の目的に用いるツール。
- VPN コンセントレータ
インターネットVPNを終端する。
- インベントリ コントロール
LAN上のクライアントのデータ一覧のこと。
リムーバルデバイスを用いデバイス間でデータをやり取りすること。例としてUSBを使ってデータを交換するなど。
- Cloudベースの技術によるセキュリティ
◎SaaS(Software as a Service)
ユーザがapplicationソフトウェアとデーベースにアクセスするためを可能にする。Cloudプロバイダはインフラを管理し、ユーザはプロバイダのサーバ上にデータを貯める。
◎IaaS(Infrastructure as a Service)
仮想的コンピューティングリソースをインターネット上で提供すること。プロバイダはハードウェアとソフトウェア、ストレージをホスティングする。
◎PaaS(Platform as Service)
applicationの提供に関する開発ツールやサーバを提供する。
Security Policy
セキュリティポリシーは次の6要素から構成されます。
- ID authentication policy
- password policy
- acceptable use policy
- remote access policy
- network maintenance policy
- incident response policy
3番目のacceptable use policyはネットワークの使用に関するルールで、network maintenance policyはOSやアプリケーションの更新手順に関してのルールです。
個別具体的な内容に関しては、ISO/IEC27000 Security Standard等に12領域に分けられて言及されています。