FIPSとは

Federal Information Processing Standardization(連邦情報処理標準)の略称。

アメリカ国立標準技術研究所(NIST)が発行している。

米国政府およびその請負業者が使う情報処理標準規格である。

FIPS 140-2

FIPS 140 は暗号モジュールに関するセキュリティ要件を規定する。最新版が140-2となる。

米国政府が利用する暗号に関する製品は、FIPS 140-2を受けている必要がある。

要件の内容

• 暗号モジュールの仕様
• 暗号鍵管理
• ICカードで考慮すべき電磁波
• 物理セキュリティ
• etc…

IDSって

ネットワークやホストで発生している事象を リアルタイム で監視して侵入や攻撃を検知し、通知などのアクションを実行するシステム。

NIDS(ネットワーク型侵入検知システム)とHIDS(ホスト型親友検知システム)がある。

NIDS

NIDSはネットワークセグメントに専用の機器を接続して監視する。

検知の仕組みにはシグネチャとのパターンマッチングと異常検知(アノマリ検知)がある。

パターンマッチングで検知可能な事象は以下の通り。

• ポートスキャン
• BOFのようなOSやソフトウェアの脆弱性をついた攻撃
• サーバーに対する不正なコマンドの発行
• ネットワーク経由のパスワードクラッキング
• パケットを偽装するタイプのDOS

パターンマッチングでは、広く知られているソフトウェアに対する登録済みの攻撃パターンしか検知できない。また、シグネチャは常に最新状態にアップデートする必要がある。

異常検知(アノマリ検知)で検知可能な事象は以下の通り。

• 大量に発行されたコマンド、異常な数の応答パケット
• プロトコルに反したデータの流れ、プロトコルに従っていないヘッダ情報を持つパケット

検知後はメールで通知する、ログに出力する、当該通信を遮断するなどのアクションが実行可能である。

HIDS

HIDSは監視対象のホストにインストールして使用する。

検知可能な事象は以下の通り。

• ログインの成功・失敗
• 特権ユーザーへの昇格
• システム管理者用プログラムの起動
• 特定ファイルへのアクセス
• 設定ファイルの変更
• プログラムのインストール
• システムディレクトリに存在するファイルの書き換え・削除
• WEBコンテンツの改ざん

HIDSはOS標準の機能を用いて検知するため、あまり必要性が高いとは言えないが、リアルタイムに検知できる点は有用である。 検知後はメール通知やログ出力のほか、アカウントのロックアウト、ログイン拒否、上位権限への昇格制限、特定ファイルファイルへのアクセス拒否などが実行可能である。

アクセス制御の対象

物理空間

空間をレベルに応じた区画に分け、入退室管理システムなどを用いて入退室を制御する。

ネットワーク

セグメントごとにパケットやリレーの通過を許可/拒否する。

ホストやアプリケーション

ユーザ認証を行う。

システムリソース

ユーザー・グループの識別情報によって、ディレクトリ・ファイル・プログラムデバイスなどへのアクセス権(読み取り・書き込み・削除・実行)を設定する。

アクセス制御の種類

任意アクセス制御(DAC)

資源の所有者が、読み取り・書き込み・実行などのアクセス権を設定する方式。

強制アクセス制御(MAC)

保護の対象と、操作者にそれぞれセキュリティレベルを設定し、その比較によってアクセス制限を行う方式。

ロールベースアクセス制御

ロール(=役割)ごとのアクセス制御

ユーザ認証を行う。

情報フロー制御

アクセスレベルの異なる複数のユーザーによって、情報がどのように広がっていくか分析し、セキュリティレベルの上位から下位へ移動しないように制御すること。