インターネットセキュリティ中級.ppt

* 事件をクローズするためには、 その事件を保険でのカバーがされているか、法的作業に移すのか、という判断が必要です。 その場合、証拠資料を求められる場合がありますので、それらの保全の手続きを行います。 また、被害報告を行う場合は、関係機関への通報を行います。 * 実際に表面化していないケースが多いのですが、外部からの侵入よりも、内部犯行によって重要情報が漏洩するケースが非常に多いのです。 そのため、新規雇用や既に従業している社員についても、管理や教育は十分に準備しておかなければなりません。 * 新規雇用の場合には、セキュリティに関する導入教育を行うことになります。 あらかじめ決めてあった手順について、説明を行います。 また、個人的なメールの使用や、Web閲覧についてもここで説明します。 もしメールの監視やWeb閲覧の監視などを行う場合には、事前に通知する必要があるからです。 また放置しておけば、セキュリティ意識は自然と低下していきますので、 新たに現れた脅威をどのように告知するか、セキュリティに関する標語の掲示、手順の点検日などについても決めておいた方が良いでしょう。 社員対象にセキュリティ意識を向上させる全社メールを送信するのも効果があります。 これらの作業に費やすコストは、あらかじめ作業時間の見積もりや経費予算に計上しておいたほうがよいでしょう。 * 人間は機械ではありません。 人件費を経費と考えて、効率重視のオペレーションを行えば、思わぬ反発が損害として返ってくることがあります。 また、サービスを受けている正規のユーザーも、資産の一部と考えましょう。 それらを守るために、セキュリティの視点が欠かせないのです。 また、従来会計で行われてきた監査業務も情報システム監査、業務監査といった形で広がってきています。 通常の利用の範囲でも、記録やデータを監査することを告知しておけば、内部犯行を抑止する効果があります。 * * * * * * * * * * * * * * * 演習 ネットワーク設計と残される脆弱性 セキュリティポリシー作成検討で想定した組織を念頭に、ファイアウォールを使ってネットワークを設計していきます。 まず最初に組織で使用するクライアントPCの台数を見積もります。 次にネットワークの設計に従って、ファイアーウォールの設置場所を決めます。 またこのファイアウォールで行うフィルタリングの内容を検討します。 ネットワークの設計に従ってネットワークアドレスを決定し割り振っていきます。 ネットワーク構成図を描いてみましょう。 次にネットワークに関係する対策をセキュリティポリシーを使って見直します。 * 最後にこれらの対策で残される脆弱性についてリストを作ってください。*部分をA4一枚にまとめ提出してください。 * * * RHEL5/CentOS5では、iptables-saveで、/etc/sysconfig/iptablesに設定が保存される。 * * 他にもネットワークインターフェースを指定するオプションがあります。 例 ループバックインターフェースへ入ってくるパケットのみに適用させるルール -i lo例 eth0に入ってくるパケットにのみに適用させるルール -i eth0 * ここで、 -s は、送信元アドレスを指定するルールである。 指定には、IPアドレスやホスト名などが指定できる。 --dportは、送信先アドレスを指定するルールである。 同様に、送信先アドレスを指定するルール-d や、 送信元ポートを指定するルール –sportなどがある。 前に、!をつけると、否定の意味を持たせることができる。 * * 検疫ネットワークには、ネットワーク設備に手を入れるかどうかによって、4つの方式に分けられます。 ゲートウェイ方式は、ネットワークセグメント毎のゲートウェイに、接続されたPCの検疫を行う仕組みを入れたゲートウェイと交換する方式です。ゲートウェイへの接続が行われた時点で検疫が行われます。クライアント毎にソフトウェアが必要です。 既存のネットワークはそのままでよいので、導入コストは安いと言えます。 弱点はセグメント内での接続に対して検疫がかからない点です。ウイルスが発症して増殖するリスクが残ってしまいます。 DCHP方式 IPアドレスを割り振る時点で検疫ネットワークのアドレスを割り振り、検疫を行います。 * 認証スイッチ方式 RADIUSサーバー等を使用してユーザー認証を行う際に検疫を行う。安全性も高い。 クライアントの数によって、認証スイッチを入れ替える必要がありコストがかかるという