情報系のべんきょう

情報系のノートを作ります.ビギナー向けでは無いです.

SC対策( セキュリティ3.サーバセキュリティ)

Webサーバサクセス

Webクライアントからプロキシサーバを経由してWebサーバにアクセスするとき,プロキシサーバからWebサーバ間は,通常,HTTP(80番)というポート番号を使うが,SSL(Secure Sockets Layer)を使用すると,HTTPS(443番)に切り替えられる.

このため,通信経路上にプロキシサーバが存在しても,HTTPS通信時にはプロキシサーバはトンネル(中継だけ)として動作することになっている.

つまり,プロキシサーバでSSLの暗号化が解かれるわけではないので,各利用者とWebサーバ間での参照情報が,本来の利用者以外に開示されることはない.


HTTP(Hyper text Transfer Protocol)メッセージには,WebブラウザがWebサーバに送るリクエストメッセージと,WebサーバがWebブラウザに応答するレスポンスメッセージの二つがある.

このうち,リクエストメッセージは,リクエスト行,ヘッダ部及びメッセージボディ(エンティティボディともいう)部から構成される.

ヘッダ部は,HTTPメッセージの制御に必要な情報を指定するもので,WebサーバとWebブラウザ間の状態を管理するためのクッキーは,ヘッダ部で指定されるものである.

なお,クッキーは,WebサーバからWebブラウザへのレスポンスメッセージのSet-Cookieヘッダで通知されるが,クッキーを受け取ったWebブラウザは,リクエストメッセージのCookieヘッダでクッキーをWebサーバに通知することで,WebサーバとWebブラウザ間の状態を管理することができる.

また,リクエスト行では,HTTPのメソッド,URI(Uniform Resource Identifier),HTTP のバージョンが指定され,メッセージボディ部で必要な情報が通知される.

HTTP レスポンスヘッダフィールド

Strict-Transport-Security:Web サイトが Web ブラウザに対して,指定された期間において,当該 Web サイトへのアクセスを https で行うように指示する.

4-3(ア)Content-Security-Policy:ブラウザがページを読み込むことを許可するリソースを制御する.例えば,サーバから指定されたホワイトリストに載っているドメインスクリプトだけを実行し,他のスクリプトは全て無視する.

4-3(ウ)X-Content-Type-Options:ブラウザの中には HTTP レスポンス全体を検査(sniffing)しコンテンツタイプを判断して動作するものがあるので,Content-Type で指定されたタイプを強制的に使用させる.

4-3(エ)X-XSS-Protection:ブラウザで XSS(Cross Site Scripting)フィルタ機能を無効にしている場合,サーバからの指示で XSS フィルタ機能を有効にする.

HTTPメソッド

HTTP(Hyper-TextTransferProtocol)では,ブラウザとWebサーバとの間において,HTMLデータなどをやり取りするため,GET,POST,HEADなどのメソッドを規定している.

これらのメソッドのうち,実装する必要があるメソッドとしてはGETとHEADだけであり,それ以外はオプションという扱いになっている.

HTTP認証

HTTP(HypertextTransferProtocol)の認証機能としては,ベーシック認証とダイジェスト認証の二つが,RFC2617(HTTP Authentication: Basicand Digest Access Authentication)として規定されている.

ベーシック認証では,利用者IDとパスワードを“:”で連結したものを,BASE64によってエンコードし,それをHTTPのAuthorizationヘッダで指定してクライアントからサーバに送信する.

ダイジェスト認証では,チャレンジレスポンス方式によってクライアントからサーバに対し認証情報を送信する.

クライアントがレスポンスコードを作成する際には,ユーザ名やパスワード,サーバから送られてきたチャレンジコード(nonce)などを合わせたものに対し,MD5やSHAといったハッシュ関数を適用してハッシュ値を求める.

それを,Authorizationヘッダで指定してサーバに送る.

Cookie

ユーザ ID などのユーザ識別情報を管理するクッキーは,クライアントの再起動後も利用するものなので,クライアントのハードディスクに記録する.

クッキーは削除できる.(例えば,Internet Explorer 6 以上のブラウザでは,インターネット一時ファイルに cookie の削除ボタンがある.)

セション管理用のクッキーは,そのセションが終了すると無効になるため,接続再開時にセションを維持するために使用することはできない.

Cookie(クッキー)は,Webサーバが発行するデータで,HTTP応答メッセージのSet-Cookieヘッダに格納されてWebサーバからブラウザへ渡される.

Cookieには,複数の属性があり,ブラウザは指定された属性値に応じた処理を行う.

例えば,Set-CookieでSecure属性が指定されている場合,ブラウザはHTTPS通信を行うときに限りそのCookieをWebサーバへ送信する.

なお,ブラウザからWebサーバへ送信するときには,CookieはHTTPリクエストメッセージのCookieヘッダに格納される.

Cookieの値にセッションIDのような秘密情報を含む場合には,Secure属性を設定することが定石である.

4-8(ア)Expires 属性:ブラウザが,指定された時間を過ぎている場合にその Cookie を削除するかどうかを判定するために参照する属性.

4-8(イ)Domain属性:指定されたホストにその Cookie を送信するために参照する属性.


4-9(イ)HttpOnly属性:JavaScript による Cookie の読出しを禁止する属性.クロスサイトスクリプティング攻撃への保険的な対策となる.

4-9(ウ)Path 属性:パスのプレフィックスが一致するかどうか,つまり,指定されたパスが前方一致するかどうかで Cookie の送出を制御する.

WebDAV

WebDAVRFC 4918(HTTP Extensions for Web Distributed Authoring and Versioning (WebDAV))として標準化が進められている.

RFCの表題が示すように,WebDAVは,HTTPを拡張したプロトコルで,サーバ上のファイルの参照や作成,削除及びバージョン管理が行える.

WebDAVのポート番号は,HTTPと同じなので,ファイアウォールの設定変更が不要になるなどのメリットがある.

セッションIDの固定化(SessionFixation)攻撃

セッションハイジャック攻撃の一種であり,悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザへ送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます.

セッションIDの固定化攻撃に対する脆弱性は,Webサイト側が,ログイン前とログイン後に同じセッションIDを使い続ける点であるため,対策としては,利用者のログイン時に新たなセッションIDを発行することが有効となる.

重要な情報を Web ブラウザに送信する直前に行う対策としては,パスワードによる利用者認証が有効である.

WAF(Web Application Firewall)

Webアプリケーションに渡される入力データなどを検査し,そこに不正なコードが含まれていた場合には,その通信をブロックする製品である.

また,ブロックする際には,シグネチャ(不正コードなどが埋め込まれたパターンデータのこと)にマッチしたアクセスだけを遮断するブラックリスト方式と,正常系のルールを登録し,ルールにないアクセスを遮断するホワイトリスト方式という二つの方式がある.

パケット内の HTTPメッセージを検査して,不正なコードやパラメタを検知すると,攻撃を防御するものである.

国際化ドメイン名(IDN;Internationalized Domain Name)

日本語などのそれぞれの国が使用している言語,つまりASCII(American Standard Code for Information Interchange)以外の文字を用いたドメイン名.

国際化ドメイン名を表示するコード体系は,基本的にUnicode が使用されるが,DNS は,ASCII コードだけを処理するように構成されているので,Unicode などでコード化されたドメイン名を,ASCII 文字だけから成る文字列のドメイン名に一定の規則で変換しなければ,クライアントからのDNS 問合せなどに対応できない.

DNS(Domain Name System)

多数のDNS サーバで構成される分散型のデータベースシステムであり,ルートDNS サーバを頂点として,ドメイン名空間と呼ばれるツリー構造(階層構造)を構成している.

また,DNS はクライアントサーバ型で動作し,サーバはネームサーバ(DNS サーバともいう),クライアントはネームリゾルバ(リゾルバともいう)と呼ばれる.

クライアントのリゾルバは,名前のIP アドレスを得るため,DNS サーバに名前解決の依頼を行う。その依頼を受けたDNS サーバが名前のIP アドレスをキャッシュとして保存していれば,直ちにIP アドレスを回答する.

しかし,キャッシュとして保存していない場合は,上位のDNS サーバに問い合わせて結果を得ることができるようになっている。

DNS サーバに対して,IP アドレスに対応するドメイン名,又はドメイン名に対応するIP アドレスを問い合わせるクライアントソフトウェアがリゾルバとなる.

4-20(イ)問合せを受けたDNS サーバが要求されたデータをもっていない場合に,他のDNS サーバを参照先として回答すること

→ 委任(referral)

ゾーン転送:セカンダリDNS サーバが,プライマリDNS サーバと同期をとるために,プライマリからセカンダリにゾーン情報を転送すること.

4-20(ウ)ドメイン名に対応するIP アドレスを求めること.

→ 正引き

逆引き:IP アドレスに対応するドメイン名を求めること.

4-20(エ)ドメイン名を管理するDNS サーバを指定する資源レコード

→ NS(NameServer)レコード

CNAME(Canonical NAME)レコード:ホスト名に対する別名を定義するための資源レコード.


DNS ラウンドロビンによって負荷分散させる場合には,一つのホスト名に対し複数のIP アドレスを対応させる.

また,物理的なサーバが一つであっても,そのサーバで複数のホスト名を用いたサービスを提供する場合もある.

このような場合,物理的なサーバには一つのIP アドレスしか与えられないので,複数のホスト名に同一のIP アドレスを対応させることもある.

NS(Name Server)レコード

そのドメインを管理する権威DNS サーバ(コンテンツDNS サーバなどとも呼ばれる)を定義するためのレコード.

そして,あるドメインの下にサブドメインを作成し,そのサブドメインにネームサーバ(DNS サーバ)を設置し,権限を委譲する際には,親のドメインDNS サーバにおいて,サブドメイン名に対応するNS レコードと,そのDNS サーバに対応するA レコードを登録する.

DNS サーバに登録される情報は,リソースレコードとして指定されるが,このリソースレコードの種類には,A レコード,MX レコード,NS,PTR,SOA レコードなどがある.

A(Address)レコード:ホスト名からIP アドレスへの対応を示す.

4-23(ア)SOA(Start of Authority)レコード:ゾーン内の登録データの開始マークである

4-23(イ)MX(Mail Exchange)レコード:ドメイン名とメールサーバの対応を示すものである.

4-23(エ)CNAME(Canonical Name)レコード:ホスト名に別名を付けるためのものである.


4-24(ウ)PTR(Pointer)レコード:IP アドレスに対応するドメイン名(ホスト名)を指定するレコード.


AAAA レコード:FQDNIPv6 アドレスを対応付けるもの.

ダイナミックDNS

DNS サーバにキャッシュとして保存する時間を極端に短くし,IP アドレスが変更になっても,同じホスト名によってアクセスできるようにした仕組み.

なお,一般のDNSサーバのTTLDNS サーバにキャッシュとして保存させる時間)は,1 日~3 日程度に設定されることが多いが,ダイナミックDNSTTL は,10 秒~5 分程度にして運用している例が多い.

DNS サーバの登録データを変更する場合には,RFC2136(DynamicUpdates in the Domain Name System(DNS UPDATE))で規定されているDNSアップデートメッセージが使用される.

プライマリDNS サーバ

あるドメインにおけるゾーン情報(ネットワーク情報)を登録するためのサーバ.

セカンダリDNS サーバは,プライマリDNS サーバの登録情報が更新されると,必要の都度,プライマリDNS サーバからゾーン情報をコピーするサーバである.

プライマリDNS サーバで任意のサーバからゾーン転送を許可すると,内部ネットワークに関する非公開の情報を取得されたり,そのドメインにおける正確なアドレスマップを作成されたりする。

そこで,DNS サーバに格納されるネットワーク情報のうち,第三者に公開する必要のない情報が攻撃に利用されることを防止するには,ゾーン転送を許可するDNS サーバを限定することが,その対策となる.

DNS リフレクタ攻撃(DNS 反射攻撃)

送信元IPアドレスを攻撃対象のIP アドレスに詐称したDNS 問合せパケットを,多数の端末から一斉にDNS サーバへ送信し,その応答パケットを攻撃対象のホストへ送りつける攻撃である.

DNS の問合せと応答には,通常,UDP が利用され,しかもUDPコネクションレス型の通信を行う.

このため,問合せ元が送信元IP アドレスを詐称すれば,その応答は詐称されたIP アドレスへそのまま返される.

DNS サーバは,キャッシュサーバとコンテンツサーバに分けられる.

一般に,キャッシュサーバは内部のユーザからのDNS再帰的な問合せを受け,それに応答するものであり,外部のユーザからの問合せについては受け付ける必要はない.

これに対し,コンテンツサーバは,自身が管理しているゾーンのIP アドレスなどの情報を提供するものであり,外部からのDNS 問合せ(非再帰的な問合せ)に応じてDNS 回答パケットを返すものである.

このため,DNS再帰的な問合せを使ったサービス妨害攻撃の踏み台にされることを防止するは,DNSサーバをキャッシュサーバとコンテンツサーバに分離し,外部(インターネット側)からキャッシュサーバに問合せできないようにすればよい.

DNS キャッシュポイズニング

DNS キャッシュサーバに不正なリソースレコードをキャッシュさせる攻撃.

① 攻撃者が,DNS キャッシュサーバへ再帰的な問合せを行う.

DNS キャッシュサーバは再帰的な問合せを受け付けて,問合せ対象のドメインの権威DNS サーバ(コンテンツDNS サーバ)に問合せを行う.

③ 権威DNS サーバから正規の応答が返る前に,攻撃者は不正なリソースレコードをDNS キャッシュサーバへ送信する.

このDNS の問合せと応答において,

・②の問合せの宛先IP アドレスと③の応答の送信元IP アドレスが一致

・②の問合せの送信元ポート番号と③の応答の宛先ポート番号が一致

・②の問合せと③の応答のDNS ヘッダ内のID が一致

という三つの条件が成立すると,DNS キャッシュサーバは,③の不正なDNS 応答をキャッシュしてしまい,攻撃が成功する.

そのため,DNS ヘッダ内のID に関しては,固定せずにランダムに変更した方が,攻撃者がID を一致させることを困難にするので,対策として有効となる.

カミンスキー攻撃(Kaminsky’s attack)

カミンスキー(Kaminsky)はDNS 問合せ時の送信元ポート番号を53 の固定にしている実装が多いことに着目し,DNS ヘッダ内のID を0~65,535 まで総当たりで試すことによって,DNS キャッシュポイズニング攻撃が効率的に行われることを発表した.

そこで,カミンスキー攻撃への対策としては,問合せ時の送信元ポート番号をランダム化することによって,DNS キャッシュサーバに偽りの情報がキャッシュされる確率を大幅に低減させる方法が考えられた.

DNS 水責め攻撃(ランダムサブドメイン攻撃)

権威DNS サーバを攻撃対象として,攻撃対象のドメインサブドメイン名をランダムかつ大量に生成して問い合わせ,権威DNS サーバを過負荷にする攻撃である.

大量の問合せは,オープンリゾルバ(誰からもDNS 問合せを受け付けるDNS キャッシュサーバのこと)となっているDNS キャッシュサーバを踏み台として悪用する.


① 攻撃対象のドメインサブドメインを大量に生成し,DNS キャッシュサーバへ再帰問合せを行う.

DNS キャッシュサーバは,毎回異なるサブドメインの問合せを受けるので,権威DNS サーバへDNS 問合せを送信する.

③ 権威DNS サーバでは,存在しないサブドメインの問合せに対しても,名前解決ができない旨の応答処理を行うため,大量の問合せを信すると過負荷になる.

この攻撃の手口で,サブドメイン名をランダムに大量に生成する意図は,同じサブドメイン名の問合せをDNS キャッシュサーバに送信した場合,DNS キャッシュサーバはキャッシュした情報を応答するので,権威DNS サーバへ問合せが送信されないからである.

権威DNS サーバへ問合せを毎回送り付けるには,サブドメイン名を変更する必要がある.

DNSSEC(DNS Security Extensions)

DNSキャッシュポイズニングの対策として,ディジタル署名を添付して正規のコンテンツサーバからの応答であるかどうかを確認できる仕組みを提供しようとしている.

DNSSEC に関するRFC には,RFC 4033(DNS Security Introduction and Requirements),RFC4034(Resource Records for the DNS Security Extensions)などがある

増幅型DDoS(Distributed Denial of Service;分散型サービス妨害)攻撃

多数の攻撃元から,送信元IP アドレスを標的ホストに詐称した状態確認の問合せパケットをNTP サーバへ送信する.

NTP は通常,トランスポート層プロトコルとしてUDP を使うので,送信元IP アドレスが詐称された場合,NTP サーバは応答パケットをそのまま送信元に送信するので,踏み台になってしまう.

状態確認の応答パケットサイズは,問合せパケットよりも大きくなるので,増幅型の攻撃になる.

対策としては,NTP サーバの設定変更によって,状態確認機能を無効にする方法がある.

プロキシ

プロキシサーバ:内部のクライアントの代理となって,インターネットにアクセスする際に利用されるサーバ.

リバースプロキシサーバ:外部からWeb サーバにアクセスする際に,直接Web サーバにアクセスさせるのではなく,リバースプロキシサーバが,外部からのアクセスを代理で受け付けるサーバ.

例えば,利用者ID:USER1 で,表名:XYZ の表に問合せ権限を与えるには,次のようなGRANT 文を指定する.

GRANT SELECT ON XYZ TO USER1


WITH GRANT OPTION を指定すると,権限を付与されたユーザは,更にほかのユーザに対して,その権限を付与することができる.

例えば,

GRANT SELECT ON XYZ TO USER1 WITH GRANT OPTION

と指定すると,USER1は,自身に与えられた権限をほかのユーザに付与することができる.

参考

2021 情報処理安全確保支援士「専門知識+午後問題」の重点対策

「2021SC重点問題_第3部4章.pdf」

SC対策(セキュリティ2.FW)

FireWall

アプリケーションゲートウェイ方式

アプリケーションのプロトコルごとにゲートウェイ機能の設定が必要である.

コマンドの通過可否を制御する.

電子メールの中に含まれる単語によるフィルタリングが可能である.

パケットフィルタリング方式

特定のポートの通過を禁止する.

ダイナミックパケットフィルタリング

フィルタリングルールを動的に制御する仕組みである.

例えば,ファイアウォールの内部から外部へのDNS 通信を利用している場合,内部から外部へのDNS 通信だけを許可しておき,外部へのDNS リクエストのパケットが通過した際に,その送信元IP アドレスやポート番号を記録し,このパケットに対応付けられる戻りのパケットだけを通過させるように制御することをいう.

スタティックパケットフィルタリング

フィルタリングルールを静的に設定する.

あらかじめ内部から外部へのDNS パケットと,外部から内部へのDNS パケットを許可する必要がある.

しかし,この設定では,外部からの不正なDNS パケットがファイアウォールを通過してしまうという問題がある.

ダイナミックパケットフィルタリングを利用すれば,通信を必要最小限に限定でき,セキュリティを高めることができる.

ステートフルインスペクション方式

動的パケットフィルタリング方式の一つであり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断するものである.

例えば,TCP 通信では,宛先及び送信元のIP アドレスとポート番号によって通信セッションを認識できる.

そのため,ファイアウォールで,さらにTCP ヘッダのシーケンス番号と確認応答番号を記録し,応答パケットの番号と照らし合わせて,記録した番号と整合しない場合には通信を遮断するようにする.

なお,当初の静的パケットフィルタリングでは,パケットのヘッダ中のIP アドレスやポート番号などの情報を用いて通信を制御するだけであり,過去に通過したパケットの状態と照らし合わせることはなかった.

ping

ping は,ICMP(Internet Control Message Protocol)のエコー要求/応答メッセージを用いて実現されている.

このため,DMZ 上のコンピュータがインターネットからのping に応答しないようにするためには,ファイアウォールでICMPの通過を禁止することが必要になる.

なお,ファイアウォールping を通過させると,DoS(Denial of Service;サービス妨害)攻撃などを受けたりする危険性がある.

3-8(イ)TCP のポート番号21:FTP(File Transfer Protocol)の制御コネクション.

3-8(ウ) TCP のポート番号110 :メールクライアントがメールサーバからメールを読み出す際に使用するPOP3(Post Office Protocol – Version3).

3-8(エ)UDP のポート番号123:コンピュータの時刻合せを行うためのNTP(Network Time Protocol).

DMZ

データ保持用のサーバを,DMZ のWeb サーバから切り離して内部ネットワークに設置することによって,重要データがDMZ に置かれることを避ける.

IP スプーフィング攻撃

IP アドレスを詐称することによって,攻撃者及 び攻撃そのものの存在を隠蔽しようとする意図をもった攻撃のこと.

外部から入ってくるパケットの送信元 IP アドレスに は,自ネットワークの IP アドレスが使用されることはないため,外部から入 るパケットの送信元 IP アドレスが自ネットワークのものは,外部の送信者が自 ネットワークの IP アドレスを詐称して,自ネットワークへの侵入をしようとし ているので,こうしたパケットは破棄する必要がある.

なお,このようなフィルタリング方式を ingress filtering と呼ぶ.

IDS(Intrusion Detection System)

HIDS(Host-based IDS)

ホスト型 IDS では,シグネチャとのパターンマッチングを失敗させるため のパケットが挿入された攻撃でも検知できる.

NIDS(Network-based IDS)

管理下のネットワーク内への不正侵入の試みを検知し,管理者に通知する.

ペネトレーションテスト

コンピュータシステムやネットワーク上の弱点を 発見するためのテスト手法である.

ファイアウォールや公開サーバのセキュリテ ィホールや設定ミスを突いて侵入できないかどうかを確認することもペネトレ ーションテストの目的.

ハニーポット

セキュリティ対策上,ぜい弱性のあるホストやシステムをあえて侵入しやすい ようにして,受けた攻撃の内容を観察するためのサーバやネットワーク機器.

ビヘイビア法

既知のウイルスに対しては,ウイルス対策用の検索エンジン(ソフトウェア) が,検査対象のソフトウェアとウイルス定義ファイル(パターンファイル)とを 照合し検知する方法が一般的であるが,その方法は新種のウイルスに対しては無 力である.

それに対応する方法として考えられたのがビヘイビア法(振舞い監視 法)である.

これは,検査対象となるソフトウェアを実際に動作させてそのとき に生ずる現象からウイルスであるかどうかを判断するものである.

このため,ウ イルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加 などの変化を監視して,感染を検出することができる.

ただし,この場合,動作させるための仮想環境を整備してその上で動作させ ることで実際の被害を防止したり,異常を検知したときに被害を拡大させないた めに停止したりするといった措置を考慮する必要があり,該当コンピュータには 相当のリソースの余裕が必要となる.

3-17(イ)パターンマッチング法:各ファイルに,チェックサム値などウイルスではないことを保証する情報 を付加しておき,もし保証する情報が検査対象ファイルに付加されていない か無効ならば,ウイルスとして検知する.

3-17(ウ)チェックサム法(インテグリティチェック法):検査対象ファイルのハッシュ値と,安全な場所に保管してあるその対象の 原本のハッシュ値を比較して,もし異なっていればウイルスとして検知する.

3-17(エ)コンペア法:検査対象プログラムを動作させてその挙動を観察し,もしウイルスによく 見られる行動を起こせばウイルスとして検知する.

ヒューリスティック

ウイルスの挙動としてよく見られる動作を,動作パターンとして登録してお き,その動作パターンに一致する挙動を検出することである.

サンドボックス

不正な動作をする可能性があるプログラムを特別な領域で動作させることによ って,他の領域に悪影響が及ぶのを防ぐ仕組み.

サンドボックスは,Java アプレットや Web ブラウザ,アンチウイル スソフトをはじめ,様々なソフトウェアに実装されて利用されている.

Java アプ レットでは,ネットワーク経由で受信したプログラム(アプレット)は,JVM(Java 仮想マシン)の限定された領域で動作させ,コンピュータ内の他の領域へのアク セスを制限する.

また,アンチウイルスソフトでは,仮想環境として生成したサ ンドボックス上で,安全でない可能性のあるプログラムを実行させて,挙動を分 析する.

コード長とウイルス検出

ウイルスのコード長に対して,パターンコード列は短いほど完全一致する確率が高くなる分,正常なプ ログラムを誤検出する可能性が高くなる.

ウイルスAのコード列を「ABCDXY」,その亜種Bを「ABCDXZ」,正常なプログラムCを「ABCDXYZ」とする.

パターンコードに,パターンP「ABCDXY」,パターンQ「AB」が登録されているとする.

パターンPで検出するのはウイルスAのみであるが,パターンQではウイルスA,亜種B,プログラムCを全て検知する.

ワーム

ワームが侵入したり,ウイルスに感染したりする原因は,一般に基本ソフトウ ェアやアプリケーションソフトウェアセキュリティホール(バグなどの脆弱性) がある場合である.

参考

2021 情報処理安全確保支援士「専門知識+午後問題」の重点対策

「2021SC重点問題_第3部3章.pdf」

SC対策(セキュリティ1.認証,権限)

LDAP(Lightweight Directory Access Protocol)

コンピュータごと,アプリケーションごとに個別に管理されていたユーザ情報を,企業や組織全体のディレクトリ情報として格納し,統括的に管理するサーバにアクセスするためのプロトコル

LDAP は,RFC 4511 として標準化され,ディレクトリツリーへのアクセス手順や,データ交換フォーマットを規定している.

通常TCP を使用し,通信の信頼性はTCP で確保する.なお,LDAPのポート番号には“389”が割り当てられている.

RADIUS(Remote Authentication Dial In User Service)/ DIAMETER

RADIUSは,1 対1 のダイヤルアップ接続環境における認証,認可,課金を行うプロトコルとして開発された.現在は,LAN における認証機構であるIEEE 802.1Xをはじめ,様々な接続環境においても利用されている.

DIAMETER は,RADIUS の後継プロトコルであり,同様に認証,認可,アカウンティングの機能を提供する.

RADIUSUDP を使用するのに対し,DIAMETER はTCP を使用するため,信頼性を向上させるとともに,TLS でセキュア化することが可能になっている


RFC 2904(AAA Authorization Framework)などで規定されているAAA フレームワークの構成要素は,次の三つである.

(1)認証(Authentication):アクセスした利用者が本人自身であることを確認すること.

(2) 認可(Authorization):認証に成功した利用者の権限に応じて,サービスの使用を許可すること.

(3) アカウンティング(Accounting):利用者のアクセスログを記録すること.

レインボー攻撃

不正に入手したパスワードのハッシュ値から,平文のパスワードをクラックする(解析する)手法の一種である.

レインボーテーブル(平文のパスワードとハッシュ値を連結させた複数のチェーンを基に作成されるテーブル)を利用することによって,ハッシュ値を総当たりで探索する手法と比較して,少ない探索回数で効率的に平文のパスワードを特定することができる.

S/KEYワンタイムパスワード

サーバはクライアントから送られた使い捨てパスワードを演算し,サーバで記憶している前回の使い捨てパスワードと比較することによって,クライアントを認証する.

トランザクション署名

PC に侵入したマルウェアが,Web ブラウザとWebサイト間の通信に介入し,メッセージの改ざんなどを行うMITB(Man In TheBrowser)攻撃に対する対策の仕組みである.

テンキー付きのハードウェアトークンは,処理 (1) のように,利用者が入力した振込先口座番号と振込金額をもとに,トークン内部でMAC(Message Authentication Code;メッセージ認証符号)を計算して表示(数字6 桁など)する.

このMACトランザクション署名値である.

MAC は,利用者ごとに異なるハードウェアトークン内に保持されている共通鍵(MAC 鍵)を用いて計算されるため,PC 上で動作するマルウェアは,正しいMAC を計算することはできない.

そのため,処理 (4) において,利用者から送信されたMAC とWeb サイト側で計算したMAC を比較して一致した場合には,振込先口座番号と振込金額が改ざんされていないことを確認できる.

仮に,MITB 攻撃によって振込先口座番号や振込金額が改ざんされた場合には,MAC は一致しない

シングルサインオン(Single Sign On;SSO)

複数のシステムに対する利用者認証を,一元的な方法で行うための仕組みであり,SSOにより,利用者は一度の認証操作で複数のシステムを利用することが可能になる.

SSO の実装方式は,大別すると,エージェント方式とリバースプロキシ方式に分けられる.

エージェント方式は,対象となる各サーバにエージェントと呼ばれるSSO 機能を実現するためのソフトウェアをインストールしておき,利用者からのサービス要求があると,サービス要求中のcookie に認証済資格情報(アクセスチケット)が含まれているか確認する.

含まれていれば,サーバ内のエージェントは,アクセスチケットを認証サーバに送り,認証済であることを確認できれば,サービス要求を受け入れる.

含まれていない場合には,認証サーバにリダイレクトさせ,認証サーバが直接,利用者に利用者ID とパスワードなどの認証情報を入力させて利用者認証を行い,成功すると,利用者にアクセスチケットを発行し,cookie に含めて応答を返す.

なお,認証情報としてはパスワードだけではなく,ディジタル証明書も利用できる.

リバースプロキシ方式は,SSO 対象のサーバに対するアクセス要求を,認証サーバが全て受け取り,利用者認証を行ってから,該当するサーバに中継する方式である.

認証結果は有効期間を設定でき,有効期間内は一度の認証操作で複数のサーバへの接続が許可される.

また,認証情報としてはパスワードだけではなく,ディジタル証明書も利用できる

SAML(Security Assertion Markup Language)

標準化団体OASIS ( Organization for the Advancement of Structured Information Standards)が策定した,Web サイト間で認証,属性及び認可の情報を安全に交換するためのフレームワーク

Web サービスは,インターネット上で提供されるサービス同士が自動で連携して,全体として一つのサービスのように機能する仕組みであるが,Web サイト間で交換するXML 形式の情報を記述するために用いられるマークアップ言語で,メッセージの交換にはHTTP やSOAP といったプロトコルが用いられる.


1-14(イ)SOAP:他のコンピュータ上にあるデータやサービスを呼び出すために,XML 形式のメッセージを交換するためのプロトコルW3C 勧告).

1-14(ウ)XKMS(XML Key Management Specification):XML Signature やXML暗号化を行うために,公開鍵を配布したり登録したりするためのプロトコルW3C 勧告).

1-14(エ)XML Signature:主にXML 文書中のエレメントなどに付与されるディジタル署名のこと.


1-16(ア)UDDI(Universal Description Discovery and Integration):Web サービスに関する情報を広く公開し,それらが提供する機能などを検索可能にするための仕組み.

OAuth 2.0

複数のWeb サービス間において,認可(Authorization)情報を伝達するためのオープンな仕様で,パスワードのような認証情報を交換せずに,リソースへの限定的なアクセス権限を委譲できるようにしたものである.

OAuth2.0 の情報の交換はHTTP を用いて行われる.

IEEE 802.1X

IEEE 802.1X の通信モデルは,サプリカント(クライアント),オーセンティケータ(レイヤ2 スイッチ,無線アクセスポイント),認証サーバ(RADIUS サーバ)という3 要素から構成される.

サプリカントとオーセンティケータとの間では,EAPOL(Extensible Authentication Protocol over LANs)というプロトコルを使って認証情報がやり取りされる.

一方,オーセンティケータとRADIUSサーバとの間では,RADIUS というプロトコルが使用される.

EAP-TLS(Extensible Authentication Protocol - Transport LayerSecurity)

EAP-TLSでは,サーバ認証にサーバ証明書,クライアント認証にクライアント証明書を用いる.

技術色々

耐タンパ性:IC カードの情報の解読や偽造に対して,物理的に情報を保護するための機能

1-27(ア)SECE(Secure Electronic Commerce Environment):インターネットを通じて安全にクレジットカードや銀行の決済を行うための技術仕様.

1-27(イ)インターロック:誤操作や機械の誤動作で起こる事故を防止する仕組み.

1-27(ウ)セキュリティ分野でのインボリューション(involution):暗号化などで使われる関数の関数をとると元の値に戻る(f(f(x))=x)という性質をもつ関数.

サイドチャネル攻撃

side channel:正規の入出力経路ではない


IC カードのように暗号処理を実装した物理デバイスを標的として,暗号化処理時に消費電力を測定する手口のように,動作状態を外部から観察し,装置内部の暗号化鍵などの秘密情報を推定する攻撃.

サイドチャネル攻撃には,次のような手口がある.

・電力攻撃:暗号化処理時の消費電力を測定する.

コンデンサを挿入して,電力消費量が時間的に均一となるように対策.

・タイミング攻撃:暗号化や復号の処理時間を測定する.

→ 演算アルゴリズムに対策を施して,演算内容による処理時間の差異が出ないように対策.

・フォールト攻撃:意図的にエラーを発生させて,エラーメッセージを分析する.

→ 故障を検出する機構を設けて,検出したら機密情報を破壊するよう対策.


暗号が組み込まれた製品を破壊したりして鍵を取り出す侵襲攻撃に対し,サイドチャネル攻撃は非侵襲攻撃と呼ばれる.

また,電磁波を解析する攻撃としては, テンペスト( TEMPEST ; Transient Electromagnetic Pulse Surveillance Technology)攻撃がある.

テンペスト攻撃は,放射される電磁波を観測し広く情報を解析することが該当し,中でも外部から様々なデータを与え,放射される電磁波の変化によって秘密情報の取得を目的とするものが,サイドチャネルの電磁波攻撃に該当するというように整理しておく.

FIDO(Fast IDentity Online)

パスワードに依存しない,あるいはパスワードへの依存を少なくすることを目的とする認証方式の規格である.

現在,FIDOにはFIDO UAF(Universal Authentication Framework)1.1,FIDO U2F(Universal Second Factor)1.2,FIDO2 の三つの規格がある.

これらのうち,FIDO UAF 1.1 とFIDO2 は,パスワードを使わないパスワードレス認証方式である.

FIDO UAF 1.1 は,主にスマートフォンによる利用を想定した規格.

PKI

所有者と公開鍵の対応付けをするのに必要な方式,システム,プロトコル及びポリシの集合によって実現される.

2-1(ウ)ゼロ知識証明:相手がある秘密を知っていることを,なるべく少ない回数の対話で示す方法.このとき相手にはその秘密の内容を知らせずに,秘密を知っている人だけが正しく答えることができるような質問をする.

ディジタル証明唱

電子証明書ないしは公開鍵証明書と同等の意味で使用されるものであり,現在,ITU-T 勧告X.509 として規格化された証明書が一般に使用されている.

ディジタル証明書は,例えば,TLS の通信シーケンスにおいて,サーバからクライアントにサーバの公開鍵証明書を送付し,クライアントはサーバ証明書の検証を経た後,サーバとの暗号化通信を行う際に必要となる鍵交換を行ったり,通信相手を認証したりするために使われている.

EV SSL(Extended Validation Secure Sockets Layer)証明書

組織の実在性などを厳格に審査して発行されるSSL 証明書で,サブジェクトフィールドのOrganization Name(組織名;略号はO)には,Web サイトの運営団体の組織名が記載される.

Web サイトがEV SSL 証明書を採用している場合,証明書が正しく検証されると,ブラウザのアドレスバーにはOrganization Name に記載された運営団体名が緑色で表示される.

CA(Certification Authority;認証局

取引当事者はあらかじめ認証局にディジタル証明書の申請を行う.

認証局は申請者が本人であるかどうかの審査を行って登録し,登録が済んだ申請者に対して証明書を発行する.

証明書の内容は,被証明者の名前,公開鍵の内容,証明書の有効期限,証明書を発行した認証局ディジタル署名などである。

認証局

電子商取引などで必要になる公開かぎ証明書(電子証明書)の発行のためには,まず,発行申請者の本人性の確認が必要である.

認証システムは,登録機関RA(登録機関;Registration Authority)と認証機関CAから成り立っている.

登録機関で申請を受け付けて本人確認をし,証明書を発行してよいかどうかを判断した後,認証機関が公開かぎ証明書を発行し,公開かぎの配布を組織的に行う.

こうした登録機関と認証機関を合わせて認証局(認証機関)ということもある.

2-7(ア)AA(属性証明書発行機関;Attribute Authority)は,属性証明書(証明書利用者のアクセス権限を証明する証明書)の発行機関である.なお,この属性証明書は,アクセス制限を行うために必要な個人の属性情報(名前,所属,部署,役職など)を含んでいるが,証明書利用者の本人性を証明する情報が明示されていない.

VA(Validation Authority;検証局)

PKIを構成する要素の一つで,ディジタル証明書のCRLを管理して,失効状態についての問合せに応答するという役割を担う.

失効状態の確認には,CRL ファイルをダウンロードする方法,あるいはOCSP(Online Certificate Status Protocol)を用いて指定したディジタル証明書の失効状態を問い合わせる方法の二つがある.

CRL(Certificate Revocation List;ディジタル証明書の有効期間内に失効したディジタル証明書のリスト)

有効期間内に失効(破棄)したディジタル証明書のシリアル番号と失効日時,発行したCA の名前,CRLの発効日,CA の署名などを掲載し,そのシリアル番号によってどのディジタル証明書が失効しているかを識別できるようにしている.

失効したディジタル証明書をリアルタイムで問い合わせるためには,OCSP(Online Certificate Status Protocol)が使用される.

CA(Certification Authority;認証局)あるいはVA(Validation Authority;検証局)が発行する.

OCSP(Online Certificate Status Protocol)

PKI(Public Key Infrastructure;

公開鍵基盤)において,ディジタル証明書の失効情報をオンラインで問い合わせるためのプロトコルである.

ブラウザやメールソフトなどのOCSP クライアントは,検証したいディジタル証明書のシリアル番号や発行者,公開鍵のハッシュ値などをOCSP リクエストとしてOCSP サーバ(OCSP レスポンダ)に送信し,レスポンダは,ディジタル証明書の状態を確認し,“有効”,“失効”あるいは“不明”のいずれかを回答する.

なお,ディジタル証明書の失効情報を確認するためには,CRL(Certificate Revocation List;証明書失効リスト)をダウンロードする方法もあるが,OCSP を利用すると,CRL 利用と比較して,迅速かつリアルタイムに失効情報を確認できるというメリットがある.

また,レスポンダは,一般にVA(Validation Authority;検証局)がその役割を担う.

TLS(Transport Layer Security)

HTTP ,FTPIMAP などのTCPを利用するアプリケーション層プロトコルのデータをカプセル化し,通信の安全性を確保するためのセキュリティプロトコル

SSL(Secure Sockets Layer)3.0 をRFCとして標準化したセキュリティプロトコルで,TLS1.0 はSSL3.0 とほぼ同等の仕様である.

ネゴシエーション(折衝)を行うHandshake プロトコルと実際のデータ通信を行うRecord プロトコルに分けられ,Handshake プロトコルでは,通信相手の認証や,Record プロトコルでデータを暗号化する暗号鍵やMAC(メッセージ認証コード)を作成するときに用いるMAC 鍵の折衝を行う.

TLS では,通信相手の認証を行った上で,通信を暗号化するための共通鍵を作成する.

通信相手の認証には,クライアントがサーバ証明書(サーバのディジタル証明書)の提出を受け,それを検証する.

また,サーバはクライアントにクライアント証明書(クライアントのディジタル証明書)の提出を求めることができる(オプション).

このクライアント証明書については,IC カードやUSB トークンに格納できるので,格納場所を特定のPC に限定する必要はない.

クライアント証明書をPC に格納して利用する際には,認証されるのはPC であり,それを使用するユーザを認証することにはならない.


全てのWeb ページへのアクセスをTLS で保護するように設定する常時SSL/TLS において,Web ブラウザはサーバ証明書によって,Web サーバの正当性の検証と接続先が意図したWeb サーバであることの確認を行う.

例えば,攻撃者が通信経路の途中に介入した場合には,サーバ証明書の検証に失敗し,通信を中断することができるので,Web ブラウザとWeb サイトとの間における通信データの漏えい及び改ざんを防止できる.

そして,サーバ証明書を確認することによって,偽りのWeb サイトの見分けを容易にするというセキュリティ上の効果がもたらされる.

ブラウザがWeb サーバとの間でSSL で通信する際,ルートCA のディジタル証明書について,Web サーバのディジタル証明書のものがブラウザで保持しているどのものとも一致しない場合,ディジタル証明書に関する警告メッセージが表示される.

HTTPS(HyperText Transfer Protocol Security)

HTTP による通信について安全性を向上させる目的で幅広く利用されているものであり,具体的な通信プロトコルとしては,HTTP over SSL や,HTTP over TLS が用いられる.

これらのプロトコルを利用すると,ブラウザはサーバに接続する際,URL 中のドメイン名(FQDN,完全修飾ドメイン名)がサーバ証明書中の情報と一致すること(すなわちサーバの認証)を確認する.

この確認が終了すると,このセッション(ブラウザとサーバの一連のやり取り)のためだけに,一時的な共通かぎがSSL によって作成され,この共通かぎを使用したセキュアなSSL セッションがユーザのブラウザとサーバ間で確立されて,サーバとブラウザがこのかぎを使用して暗号化通信を行う

HTTP Strict Transport Security(HSTS)

Web サイトがWeb ブラウザに対してHTTPS(HTTP over TLS)の使用を強制させる機能である.

HSTS を有効に設定したWeb サイトは,Web ブラウザからのHTTP リクエストに対して,Strict Transport Security ヘッダを含むHTTP レスポンスを応答する.

それ以降,Web ブラウザは,Strict Transport Security ヘッダで指定された期間,利用者が“http://~”と入力した場合を含めて,当該サイトには全てHTTPS によって接続する.

HSTS を利用すると,攻撃者が制御するコンピュータにHTTP で接続させられ,そのコンピュータが正規サイトとHTTPS 通信を行う手口の中間者攻撃などを防ぐことができる.

XML署名

XML データの送信者の真正性確認と改ざん検出を目的とする,XML データに対するディジタル署名で,XML 文書全体あるいはその一部(各要素)にディジタル署名を付与する仕組みである.

XML 署名では,署名データ(署名要素)もXML形式で表現するが,署名対象となるオブジェクトを指定するに当たってはURI(Uniform Resource Identifier)を用いることができる.

デタッチ署名(Detached Signature):署名対象要素と署名要素を分離し,署名対象要素をURI によって指定する形式.署名対象要素は,URI によって参照できるので,どこに存在していてもよい.

エンベロープ署名(Enveloped Signature):署名要素が署名対象要素の中に含まれる形式(署名要素が署名対象要素の子要素となる形式).

エンベローピング署名(Enveloping Signature):署名要素の中に署名対象要素が含まれる形式(署名要素が署名対象要素の親要素となる形式).一つの署名対象に必ず複数の署名を付けるとは限らない.

XML ディジタル署名は,W3CWorld Wide Web Consortium)とIETF(Internet Engineering Task Force)で標準化が進められている.


2-23(ウ)CMS(Cryptographic Message Syntax;暗号メッセージ構文):ディジタル署名や暗号化データの形式に関する標準

2-23(エ)ASN.1(Abstract Syntax Notation One):データ構造を定義するための言語.


2-24(ア)OID(Object Identifier;オブジェクト識別子):PKI 技術で利用されている表記法のASN.1(Abstract Syntax Notation.1;抽象構文表記法)における,暗号アルゴリズムプロトコルを指定するためのユニークな識別子.

2-24(イ)SSID(Service Set Identifier):無線LAN におけるアクセスポイントを示す識別子.

NTP(Network Time Protocol)

複数のコンピュータで時刻同期をとるためのプロトコルで,UDP 上で動作する.

NTP クライアントがNTP サーバに時刻を問合せると,NTP サーバが現在時刻を応答して,クライアント側がシステム時刻を修正する.


2-28(ア)LCP(Link Control Protocol):データリンク層において1 対1 で接続する2 点間のデータ通信制御を行うPPP(Point to Point Protocol)を構成するプロトコルで,通信方式の折衝やリンクの構築・解放などを行う.

2-28(イ)NCP(Network Control Protocol):PPP を構成するプロトコルであり,IP用のNCP であるIPCP(Internet Protocol Control Protocol)は,IP アドレスの割当てなどを行う.

電子帳簿保存法

第4 条に,

「保存義務者は,国税関係帳簿の全部又は一部について,自己が最初の記録段階から一貫して電子計算機を使用して作成する場合であって,納税地等の所轄税務署長の承認を受けたときは,財務省令で定めるところにより,当該承認を受けた国税関係帳簿に係る電磁的記録の備付け及び保存をもって当該承認を受けた国税関係帳簿の備付け及び保存に代えることができる」

と規定されている.


2-29(イ)仕訳帳などの国税関係帳簿については,課税期間の開始の日にそれが備え付けられ,順次それに取引内容が記録されていくものであることから,原則として課税期間の中途から電磁的記録等による保存をすることはできない(同法第6 条第1 項).

2-29(ウ)電子帳簿保存を行うシステム関係書類は,備え付けが必要である(電子帳簿保存法施行規則第3 条第1 項第3 号).

2-29(エ)国税関係帳簿に係る電磁的記録の記録事項について,訂正又は削除を行った場合には,その事実及び内容を確認できるようにする必要がある(電子帳簿保存法施行規則第3 条第1 項第1 号).


参考

2021 情報処理安全確保支援士「専門知識+午後問題」の重点対策

「2021SC重点問題_第3部1章.pdf」

「2021SC重点問題_第3部2章.pdf」

SC対策(ネットワーク後半)

方式色々

リンクアグリゲーション:コンピュータとスイッチングハブ(レイヤ2スイッチ)の間,又は2台のスイッチングハブの間を接続する複数の物理回線を論理的に1本の回線に束ねる技術.

スパニングツリー:ブリッジやレイヤ2スイッチ(L2スイッチ)を複数用いてネットワークを構成し,その経路がループ状になった場合に,データの永久ループを防ぐための手法.

マルチホーミング:複数のISPと契約するなどして,複数のインターネット接続回線を利用できるようにすること.

VLAN

レイヤ2スイッチ(L2SW)が提供する機能の一つで,物理的に接続されているネットワークを,論理的に分割して同じネットワークセグメントを構成するための仕組み.

LAN機能を有したL2SWは,一般にポートVLANとタグVLANを識別するポートを有しているので,これらのポートを組み合わせてVLANを構成する.

レイヤ3スイッチを用いてVLANを構成した場合には,異なるVLAN間の通信を禁止できるので,ブロードキャストフレームは同じセグメント内だけにしか送信されないため,他のセグメントにあるPCのMACアドレスを入手することはできず,アドレス情報の不要な流出のリスクを低減できるという効果がある

プロトコル色々

0-71(イ)RIP(Routing Information Protocol):自律システム内に適用されるルーティングプロトコルの一つ。経由するルータの台数に従って最短経路を決定する.

0-71(ウ)SIP(Session Initiation Protocol):IP電話をはじめ,マルチメディア通信を行うために必要となるセッションの確立や変更,切断を行うためのプロトコル


0-72(イ)OSPF(Open Shortest Path First):複数ある経路のうち,最小コストによって経路選択を行うためのプロトコル

0-72(ウ)RSTP(Rapid Spanning Tree Protocol):一般のSTPでは,パスコストの再計算に30~50秒かかるので,それを数秒程度に短縮するためのプロトコル

0-72(エ)VRRP(Virtual Router Redundancy Protocol):同一のLANに接続された複数のルータを,仮想的に1台のルータとして見えるようにして冗長構成を実現するプロトコル


0-75(ウ)RTSP(Real Time Streaming Protocol)……音楽や動画などのリアルタイムデータの配信を制御するためのプロトコル。RTSPを使うと,データをダウンロードしながら,コンテンツを再生できる。

STP(Spanning Tree Protocol)

データリンク層プロトコルであり,複数のブリッジ(レイヤ2スイッチ)間でBPDU(Bridge Protocol Data Unit)と呼ばれる制御情報を交換し合い,ループ発生の検出や障害発生時の迂回ルートを決定するために使用されるプロトコル

ネットワーク内でルートブリッジを決定し,各ブリッジからルートブリッジに至る経路のうち,最もコストが小さいルートだけをアクティブにし,その他のルートにはフレームを流さないようにする必要がある.

ルートブリッジの決定に当たっては,ブリッジの優先順位とMACアドレスが使用されることになっている.

ルートブリッジには,それぞれのブリッジが持つブリッジID(プライオリティ16ビット+MACアドレス48ビット)の値が最も小さいものが選ばれる.

RIP

RIP(Routing Information Protocol)は,比較的小規模のネットワークに適用されるルーティングプロトコルである.

RIPは,経由するルータの数(ホップ数)が最少になる経路を選択するので,そのアルゴリズムは距離ベクトル方式と呼ばれており,ホップ数の最大値は15までと規定されている.


RIPとRIP2(RIP Version 2)のメッセージフォーマットは,基本的に同じである.

RIPでは,サブネットマスクや認証データフィールドは使用されないが,RIP2ではこれらのフィールドを使用する.

このため,RIPでは認証機構がないが,RIP2では更新情報のメッセージごとに認証ができる.

SDN(Software-Defined Networking)

ONF(Open Networking Foundation)が定義するSDNのアーキテクチャは,アプリケーションプレーン,コントロール(又は,コントローラ)プレーン,データプレーンという三つの層によって構成されている.

SDNアプリケーション(アプリケーションプレーン)は,Application-Controller Plane Interface(ノースバウンドインタフェース)を介してコントローラ(コントロールプレーン)に指示を出す.

コントローラは,Data-Controller Plane Interface(サウスバウンドインターフェース)を介してネットワーク機器(データプレーン)に指示を出す.

OpenFlowプロトコル

OpenFlowコントローラ(OFC)とOpenFlowスイッチ(OFS)との間でメッセージの交換を行うためのプロトコルである.

OpenFlowでは,従来のスイッチ機能を,経路制御などの管理機能を実行するOFCと,データ転送を行うOFSに分け,OFSに入るパケットの経路制御をOFCが集中制御する方式である.

このため,OFCとOFSとのメッセージ交換には,信頼性や安全性を確保する必要があり,トランスポート層プロトコルにはTCPTLSが使用される.

ルーティング(経路制御)プロトコル

ルータ同士が経路情報をやり取りするためのプロトコル

AS(Autonomous System;自律システム)内の経路制御に用いられるIGP(Interior Gateway Protocol)と,AS間の経路制御に用いられるEGP(Exterior Gateway Protocol)に分けられる.

EGPの代表例が,BGP(Border Gateway Protocol)である.

ISPは,インターネットの運用に当たってそれぞれのポリシをもって運用することなどから,一つあるいは複数のISPが集まってASを構成することが多い.

そしてASには,IANAが管理しているAS番号が割り当てられ,それぞれのASはAS番号によって識別される(一つのISPなどが複数のAS番号をもつこともある).

AS番号の空間は,当初,2オクテットであったが,AS番号の需要増加に伴い,2007年以降,4オクテットに拡張されたAS番号も使用されるようになった.


0-81(イ)IS-IS(Intermediate System to Intermediate System)……OSI向けに開発された経路制御プロトコルで,OSPFとほぼ同じ機能をもつ.

0-81(ウ)OSPF(Open Shortest Path First):複数ある経路のうち,最小コストによってルーティングを行うための経路制御プロトコル.IGPの一つ.

0-81(エ)RIP(Routing Information Protocol):ホップ数(経由するルータの個数のこと)が最少となる経路を選択する距離ベクトル方式に基づくプロトコル.IGPの一つ.

BGP-4(Border Gateway Protocol 4)

AS間におけるルーティング情報をやり取りするためのプロトコル

経路選択のアルゴリズムは,基本的に経由するASの数が最少となるようにパスを選択し,最初にBGPルータ同士が経路情報の全てを相互にやり取りした後は,ルーティング情報に変更が生じたときにだけ,その差分を通知する.

経路選択はパス属性によって決められるので,パスベクタ方式とも呼ばれる.なお,パス属性には複数のパラメタがあり,ASごとのポリシに基づいて経路を選択できるようにしている.


0-82(ウ)EIGRP(Enhanced Interior Gateway Routing Protocol):米シスコシステムズ社によるプロトコルであり,自律システム内で使用され,距離ベクトルとリンクステートの両アルゴリズムを採用している.


0-83(エ)ソースルーティング:パケットが転送される経路のノードを,送信元ノードが明示的に指定するプロトコル

0-84(ア)Router-LSA(Link State Advertisement):あるルータが作成したRouter-LSAが伝播するルータの集合.

0-85(イ)TRILL(Transparent Interconnection of Lots of Links):接続されるルータの数,ブロードキャストやマルチキャストの使用の有無,トポロジ種別などによって区分けされたネットワーク群であり,Helloプロトコルによって隣接関係を確立する.

OSPF(Open Shortest Path First)

LSA(Link State Advertisement)という情報をもとにして,ルーティング情報を作成していくプロトコル

ネットワークをエリアという小さい単位(LSAを配布する一つの単位)に分割し,エリア間をバックボーンで結ぶことによって,階層化したルーティングを実現できる.

ルータの回線速度が速いほど,そのリンクに小さいコストを割り当てて,コスト最小の経路を選択する.


OSPF v2

LSA(Link State Advertisement)には以下がある.

Router-LSA(タイプ1):エリア内の全ルータが作成し,エリア内部だけに伝播される.

Network-LSA(タイプ2):そのネットワークのDR(Designated Router;代表ルータ)で作成される.

Summary-LSA(タイプ3,又はタイプ4):エリア境界ルータ(ABR;Area Border Router)で作成され,その伝播範囲は,エリア内だけである.

AS-External-LSA(タイプ5):AS境界ルータ(ASBR;AS Boundary Router)で作成され,その伝播範囲は,OSPFドメイン全体である.

フレームリレー

フレームリレー,パケット交換,ATM交換(セル交換)はすべて蓄積交換方式によってデータを転送するので,1本の物理回線上で複数の相手との通信を行う論理多重ができる.

フレームリレーで論理多重を行うときには,その論理経路の識別子としてDLCI(Data Link Connection Identifier)というヘッダ情報が使用される.

回線の信頼性が向上したため網内で誤り制御を行わなず,網内のトラフィックが少ないときはアクセス回線速度でデータを送信できる.

網の輻輳時には,CIR(Committed Information Rate;認定情報速度)を超えるデータについては,網内でフレームが廃棄されることがある.

HDLC(High-level Data Link Control;ハイレベルデータリンク制御)手順

フラグシーケンスは,“01111110”というビットパターンをもち,フレーム間の同期を取ったり,フレームの開始と終了を示したりするために使用される.

マルチリンク手順

複数の通信回線を論理的に束ねて,一つのデータリンクとして動作させるためのプロトコルである.

例としては,ISDN基本インタフェースで二つのBチャネルを合わせて128kビット/秒の速度として使用することのほか,RFC1990として規定されている“The PPP Multilink Protocol(MP)”などがある.

マルチリンク手順の目的は,次の2点に要約することができる.

(1) 1本の通信回線では得られないような通信速度を,複数の通信回線を組み合わせて実現する.

(2) 1本の通信回線が不通となった場合にも,残りの通信回線で通信を継続することによって信頼性の高いデータ伝送を実現する.

ICMP(Internet Control Message Protocol)

IPパケットによるデータ転送でエラーが発生した場合,それを通知するエラーメッセージを運ぶほか,エコー要求や応答(pingコマンドとして使用される)などの照会メッセージを転送するために使用される.


エラーメッセージ

Redirect(タイプ=5):転送されてきたIPv4パケット(データグラム)を受信したルータが,自身よりも最適なルートが存在する場合,それを送信元に通知する.

Destination Unreachable(タイプ=3,コード=5):設定したソースルーティングが失敗した場合に返される.

Time Exceeded(タイプ=11,コード=1):フラグメントの再組立て中にタイムアウトが発生した場合に返される.

Source Quench(タイプ=4,コード=0):受信側のバッファがあふれた場合に返される.

SNMP(Simple Network Management Protocol)

ネットワーク管理情報(PDU(Protocol Data Unit)など)をSNMPマネージャとエージェント間でやり取りするためのプロトコルである.SNMPマネージャとエージェント間で管理情報を効率的に送受信するため,トランスポート層プロトコルにはUDPを用いる.

ネットワーク管理情報をSNMPマネージャとエージェント間でやり取りするためのプロトコルである。このSNMPは,SNMPマネージャとエージェント間で,管理情報を効率的に送受信するため,トランスポート層プロトコルには,UDPを用いる.

マネージャがエージェントにアクセスする管理情報のデータベースは,MIB(Management Information Base)である.

ASN.1(Abstract Syntax Notation One;抽象構文記法1):通信プロトコルで使用するデータ形式を記述するための記法であって,パケットの符号化に利用されている.MIBの記述のほか,X.509によるディジタル署名やCRL,LDAP,Kerberosなどで用いられている.オブジェクトの記述と,データの符号化規則に分かれており,複数の符号化規則が定義されている.符号化規則の中では,BER(Basic Encoding Rules)がよく利用されている.


0-101(イ)JSONJavaScript Object Notation):構造化したデータを記述するためのテキストベースのデータ記述言語の一つ.RFC 4627として情報文書が発行されている.

0-101(ウ)SGML(Standard Generalized Markup Language):文章の構造や属性に対してマーク(“<”,“>”というタグ)を付けて表現する文章記述言語の一つ。ISO 8879として1986年に規格化された.

0-101(エ)SOAP(Simple Object Access Protocol):XMLで記述されたメッセージを,主にWebサイト同士で交換するためのプロトコル


バージョン

SNMPv1,SNMPv2,SNMPv2c(Community-based SNMPv2),SNMPv3がある.

SNMPv2以降のバージョンでは,GetRequest-PDU,GetNextRequest-PDU,Response-PDU,SetRequest-PDU,GetBulkRequest-PDU,InformRequest-PDU,SNMPv2-Trap-PDUという七つのPDUを定義し使用できるようにしている.

0-102(ア)GetRequest-PDU:SNMPマネージャが,エージェントがもつMIBの管理情報を収集する際に使用する.

0-102(イ)Response-PDU:GetRequest-PDUやSetRequest-PDUなどの応答として,SNMPエージェントがマネージャに対して結果を通知する.

0-102(ウ)SetRequest-PDU:SNMPマネージャが,エージェントの設定情報などを変更する際に使用する.

0-102(エ)SNMPv2-Trap-PDU:事象の発生をエージェントが自発的にマネージャに知らせるために使用される.

FTP(File Transfer Protocol)

制御コネクション(ポート番号:21)とデータ転送コネクション(ポート番号:20)を使って,FTPクライアントFTPサーバとの間においてファイル転送を行う.

FTPでは,一つの制御コネクションの中で,複数のデータ転送コネクションの制御を行うことができる.

FTPクライアントFTPサーバに対して制御コネクションを確立するとデータ転送が可能になるが,その際,二つのモードがある.

FTPサーバからクライアントに対してデータ転送用コネクションを確立するか,または,クライアントがFTPサーバに対してデータ転送用コネクションを確立する.

後者の場合,クライアントがFTPサーバに接続するため,事前にサーバ側のデータ転送ポートを知る必要があり,PASV(PASSIVE)コマンドを使って,FTPサーバのIPアドレスとポート番号を要求する.


TFTP(Trivial File Transfer Protocol)は,簡素化されたファイル転送プロトコルである.

FTPトランスポート層プロトコルとしてTCPを用いるのに対し,TFTPではUDPを用いる.

また,FTPはユーザ認証機能を有しているが,TFTPはユーザ認証機能をもっていない.


0-105(ア)ACCT(ACCOUNT):利用者のアカウント情報を送信するコマンド.

0-105(イ)MODE:ストリームや圧縮などの転送モードを指定するコマンド.

0-105(エ)PORT:FTPサーバからクライアントに対して,データ転送用コネクションで使用するIPアドレスとポート番号を通知するコマンド.

RSVP(Resource Reservation Protocol)

IPネットワークにおけるホスト間通信において,ネットワーク資源の予約を行い,映像配信などマルチメディア情報のリアルタイム通信を行うために使用されるプロトコル

送信側のホストから受信側のホストに対し,Pathメッセージを定期的に送信し,Pathメッセージを受け取ったホストではResvメッセージを返信することで資源予約を行う.


0-106(エ)RADIUS(Remote Authentication Dial In User Service):リモートアクセスを利用する利用者の認証を行うためのプロトコル

DHCP(Dynamic Host Configuration Protocol)

PCなどのDHCPクライアントにIPアドレスなどのネットワーク情報を動的に割り当てるためのプロトコル

DHCPクライアントとDHCPサーバとの間におけるメッセージングは,次のように行われる.

(1) DHCPDISCOVER:DHCPクライアントが,DHCPサーバを見つけ出すためにDHCPDISCOVERメッセージをブロードキャストする.

(2) DHCPOFFER:DHCPサーバが,割当て候補となるIPアドレスDHCPクライアントにブロードキャスト又はユニキャストで提案する.

(3) DHCPREQUEST:DHCPクライアントは,自身が使用するIPアドレスを設定してDHCPREQUESTメッセージをブロードキャストする.

(4) DHCPACK:DHCPサーバは,使用を許可するIPアドレスをユニキャストでDHCPクライアントに通知する.

DHCPクライアントとDHCPサーバ間において,2往復のメッセージングが必要となる理由は,DHCPサーバが複数存在する場合,複数のDHCPOFFERメッセージがDHCPクライアントに通知されるので,DHCPクライアントはその中から使用するIPアドレスを選択し,その他のIPアドレスをキャンセルする必要があるからである.

DHCPリレーエージェント機能:ルータは基本的にブロードキャストパケットについては,ほかのネットワークセグメントに中継しない.このため,DHCPサーバとクライアントが同じネットワークセグメントに存在しないときは,ルータがDHCPディスカバパケットを受信すると,DHCPサーバまで中継する.

VoIP(Voice over Internet Protocol)

既存の電話機を使用した企業内PBXの内線網を,IPネットワークに接続するために,音声をIPパケットによって伝送する.

R値:ITU-Tによって勧告化されたIP電話の音声品質を表す指標のうち,ノイズ,エコー,遅延などから算出される客観的な評価指標.総合音声伝送品質ともいわれる.エンドツーエンドの音声品質を0~100までの数値で表し,数値が大きいほど品質が高いことを示す.

0-112(ア)MOS(Mean Opinion Score)値:基準となる音声を人間が聞き,その音質の評価として「非常に良い」から「非常に悪い」までの5段階の評価を行い,その平均値で音声品質を評価する方法.

0-112(ウ)ジッタ(ゆらぎ):送信側は,基本的に音声パケットを等間隔に送信するが,ネットワークを経由すると,回線の帯域幅やルータなどの処理遅延によって,音声パケットが着信側に届いたとき,その到着間隔がばらばらになる.

0-112(エ)パケット損失率:送信側が送り出した全パケット数に対する,着信側に届かなかったパケット数の比率.音声パケットのうち,着信側に一定の時間内に届かなかったパケットは,パケット損失として処理されるので,音質劣化要因の一つとなり,その評価を行うときに使用される.

呼量(アーラン):呼数×平均回線保留時間

ネットワーク環境

オーバレイネットワーク:ピアツーピアを実現する場合のように,既存のIPネットワーク上に目的に合わせて構築される仮想ネットワーク.

0-118(ア)アドホックネットワーク:無線LANのアクセスポイントを使用せず,無線端末同士が直接通信できるネットワークのように,ネットワークインフラを使用しないで構成されるネットワークのこと.アドホックad hoc):「その場限りの」.

0-118(ウ)ユビキタスネットワーク:どこにいても,ネットワーク,端末,コンテンツを自由にストレスなく安心して利用できるネットワーク環境のこと.ユビキタス(ubiquitous):「至るところにある」.

0-118(エ)ワークグループネットワーク:ファイルやプリンタを互いに共有するメンバで構成されるネットワーク.なお,Windowsでは,分散型のネットワーク管理方式のことをワークグループネットワークという.

ロードバランサ(Load Balancer;負荷分散装置)

クライアントからの要求を一つのWebサーバに集中しないように,複数のサーバに処理を振り分ける装置.

クライアントからの処理をサーバに振り分けるには,各サーバに振り分けたTCPコネクション数,あるいはサーバからの応答時間,サーバのCPU使用率などのデータをもとにして振り分ける.

FCoE(Fibre Channel over Ethernet

FCフレームを直接イーサネットフレームにカプセル化して伝送する方式

イーサネットは,コネクションレス型の通信を行うので,伝送中にイーサネットフレームが失われると,それを回復する手段がない.

そこで,FCoEでは,イーサネットの全二重通信方式で利用されているpauseフレームを使ってフロー制御を行い,イーサネットフレームのロスを発生させないようにしている.


参考

2021 情報処理安全確保支援士「専門知識+午後問題」の重点対策

「2021SC重点問題_0章.pdf」

SC対策(ネットワーク前半)

SC対策ネットワーク分野の問題集に沿った雑多メモ.

くくりは適当だし,文脈壊滅の可能性アリ.

ネットワーク後半まで続くといいねぇ.

NICチーミング

複数のNICを論理的に束ねて 一つに見せる技術.

NIC と外部 スイッチを接続するリンクの負荷分散,帯域の有効活用, 耐障害性向上を図る.


0-1(ア)処理能力を超えてフレームを受信する可能性があるとき,一時的に送信の 中断を要求し,受信バッファがあふれないようにする.

→ LANスイッチで行うフロー制御

0-1(イ)接続相手の NIC が対応している通信規格又は通信モードの違いを自動的 に認識し,最適な速度で通信を行うようにする.

→ オートネゴシエーション

0-1(ウ)ソフトウェアで NIC をエミュレートし,1 台のコンピュータに搭載してい る物理 NIC の数以上のネットワークインタフェースを使用できるようにす る.

→ 仮想NIC

LANケーブル

IEEE 802.3 委員会が規格化した LAN のUTP(Unshielded Twisted Pair;非 シールドより対線)ケーブルには,10BASE-T100BASE-TX1000BASE-T などがある.

10BASE-T100BASE-TX は,送信用と受信用に 2 対の UTP ケーブルを使用する.

1000BASE-T は,カテゴリ 5e という品質の UTP ケー ブルを使用し,ケーブル内には 2 本の導線が 4 対収められており,1 対のケーブルで全二重通信を行う.最大距離は100mである.

0-3(ウ)シングルモード光ファイバケーブルを使用し,最大距離は 5km である。

1000BASE-LX のシングルモード光ファイバケーブル

0-3(エ)マルチモード光ファイバケーブルを使用し,最大距離は 400 m である。

1000BASE-SX のマルチモード光ファイバケーブル(最大距離は550m)

リピータハブ伝送

IEEE802.3 の伝送システムモデル規定,「2 局間の最長経路には,五つのセグメントと四つのリピータ(ハブ),二つの MAU(Media Attachment Unit)及び 二つの AUI(Attachment Unit Interface)を含むことができる」.

10BASE-Tの最大距離は100mである.

Automatic MDI/MDI-X

イーサネットインタフェース(物理ポート)のコネクタの送信端子と受信端子が正しい組合せとなるように,自動で判別して送受信する端子を切り替える機能.

・MDI(MediumDependentInterface)

・MDI- X(Medium Dependent Interface Crossover)

10Gビットイーサネット(IEEE802.3ae)の規格

10GBASE-SR/SW, 10GBASE-LX4,10GBASE-LR/LW,10GBASE-ER/EWの7つ.

S/L/E:光源の波長の長さの違い

R/W: LAN用,WAN用

WAN 用として使用する場 合,MAC フレームは SONET/SDHペイロードに格納されて伝送される.

CSMA / CA or CD

CSMA では,ほぼ同時に複数のノードがデータを送信することがあるので,伝送路上で送信データが衝突することがあり,この衝突に関する制御として二つの方式がある.

有線 LAN では,伝送路上で衝突が発生するかどうかの検出ができるので,CSMA/CD(CSMA with Collision Detection)という方式が使用される。

無線 LAN では,電波の衝突を検出することが困難なので,送信データが衝突しないように,無線ノードはデータを送信する必要がある.これをCSMA/CA(CSMA with Collision Avoidance)という.

MTU(Maximum Transmission Unit;最大伝送単位)

イーサネットフレームのMTU部分:IP ヘッダ+TCP ヘッダ+データ

→ IPパケットに等しい(?)

IPヘッダ

IPv4ヘッダ情報:バージョン番号,ヘッダ長,サービスタイプ(TOS), フラグ,生存時間(TTL;Time To Live),プロトコル番号,ヘッダチェックサム, 送信元 IP アドレス,あて先 IP アドレスなど

0-13(ア)あて先 MAC アドレス:MAC ヘッダ

0-13(イ)あて先ポート番号:TCP/UDP ヘッダ

0-13(ウ)シーケンス番号:TCP ヘッダ

IPv4アドレス(classful)

・クラスA:先頭が0000(サブネットマスク255.0.0.0)

プライベートIP範囲10.0.0.0~10.255.255.255 (10.0.0.0/8)

・クラスB:先頭が1000(サブネットマスク255.255.0.0)

プライベートIP範囲172.16.0.0~172.31.255.255 (172.16.0.0/12)

・クラスC:先頭が1100(サブネットマスク255.255.255.0)

プライベートIP範囲192.168.0.0~192.168.255.255 (192.168.0.0/16)

・クラスD:先頭が1110

CIDR(Classless Inter-Domain Routing)

IPv4 のアドレス割当てを行う際に,クラス区分(A~C)にとらわれず, ネットワークアドレス部とホストアドレス部を任意のブロック単位に区切り,IP アドレスを無駄なく効率的に割り当てる方式.

ネットワー クごとにサブネットマスク長を変えること(VLSM;Variable Length Subnet Masking)ができるほか,複数のサブネットを集約化して一つのサブネットとし て扱うスーパネット化(IP アドレスの集約化)という機能がある.

IP アドレスの 集約化を行うと,ルータのルーティングテーブルに登録するエントリが一つで済むので,その検索処理に要する負荷が少なくて済む.

マルチキャスト通信

IPv4ネットワークのマルチキャスト通信で用いられるプロトコル

IGMP(Internet Group Management Protocol)

→ ローカルセグメントにおいて,ホストがマルチキャストグループへの参加や離脱を通知したり,マルチキャストグループに参加しているホストの有無をルータがチェックしたりするなど,配信を受けるホストのグループを管理するために用いられる.

PIM(Protocol Independent Multicast)

→ ルータ間においてマルチキャスト用の経路表を作成するために使用される.

DVMRP(Distance Vector Multicast Routing Protocol)

→ ルータ間においてマルチキャスト用の経路表を作成するために使用される.

IPv6

アドレスは128ビット長であり,プレフィックスIPv4のネットワークアドレス)とインタフェースID(IPv4のホストアドレス)で構成される.

インタフェースIDは,その装置が持つMACアドレスをもとに自動生成し,リンクローカルプレフィックス(fe80::/10)と合わせて,リンクローカルユニキャストアドレスを作成する.

更に,このリンクローカルユニキャストアドレスを使って,ルータからグローバルプレフィックスを入手し,グローバルユニキャストアドレスを自動的に生成することを可能としている.


IPv4ではユニキャスト,マルチキャスト,ブロードキャスト通信が可能だが,IPv6では,ブロードキャスト通信を廃止し,ユニキャスト,マルチキャストに加え,エニーキャスト通信を導入した.


IPv6では,IPアドレスの自動取得機能や,認証や暗号化のセキュリティ設定機能,始点での経路指定などが標準で使用できるように拡張されている.


IPv6では,パケットのヘッダ部分を基本ヘッダと拡張ヘッダに分けている.

基本ヘッダには,パケット転送に必要な制御情報だけを格納し,ルーティング処理の負荷するようにしている.

拡張ヘッダは基本ヘッダに続けて置かれ,フラグメントヘッダやESP(Encapsulating Security Payload;パケットの暗号化機能)ヘッダなどの,ルーティングに関係しない制御情報を格納できる構造としている.


IPv4IPv6を共存させる技術としては,IPv4/IPv6デュアルスタック方式,IPv6 over IPv4トンネル方式,IPv4/IPv6トランスレーションなどがある.

IPv6プロトコルスタックしかもたないホストと,IPv4プロトコルスタックしかもたないホストとの間で通信を行うには,両者の間にIPv4IPv6プロトコルの変換を行う装置が必要となるが,このような機能をもった装置をIPv4/IPv6トランスレータ,そうした技術のことをIPv4/IPv6トランスレーションと呼ぶ.

0-41(ア)6to4……IPv6 over IPv4トンネル方式の一つで,RFC 3056(Connection of IPv6 Domains via IPv4 Clouds)として規定されている.

0-41(ウ)Teredo……IPv6 over IPv4トンネル方式の一つで,RFC 4380(Teredo:Tunneling IPv6 over UDP through Network Address Translations)などで規定されている.

0-41(エ)キャリアグレードNAT……従来,ISP側からユーザ側のブロードバンドルータなどに対し,一つのグローバルIPアドレスを割り当てていた.しかし,IPv4アドレスの枯渇問題が深刻化したことなどから,ISP側のユーザ収容ルータでは,ユーザ側にグローバルIPアドレスを割り当てるのではなく,プライベートIPアドレスを配布し,ISPの収容ルータでグローバルIPアドレスに変換しようとする仕組みのことをいう.

IPv6アドレス表記

IPv6のアドレスには,ユニキャストアドレス,エニーキャストアドレス,マルチキャストアドレスがある.

グローバルユニキャストアドレスは,現在は,”2000::/3”

ループバックアドレスは,現在は,”::1”

マルチキャストアドレスは,現在は,”FF00::/8”

トラフィック制御方式

アドミッション制御:通信を開始する前にネットワークに対して帯域などのリソースを要求し,確保の状況に応じて通信を制御すること.

ポリシング:入力されたトラフィックが規定された最大速度を超過しないか監視し,超過分のパケットを破棄するか優先度を下げる制御. シェーピング:パケットの送出間隔を調整することによって,規定された最大速度を超過しないようにトラフィックを平準化する制御. ベストエフォート:ユーザが利用する通信サービスの品質が保証されないサービス形態.

TCP(Transmission Control Protocol)

トランスポート層プロトコルである.

再送制御は,シーケンス番号(データの順序制御や再送制御に利用)と確認応答番号を用いて行われ,相手側から送信したセグメントの確認応答がない場合(タイムアウトになった場合)には,再送処理を行うことによってデータ回復を行う.

ウィンドウ制御は,ビット単位ではなく,バイト単位で行われる.


TCPセグメントのヘッダ部に含まれる情報は,送信元で各コネクションを識別するために用いる送信元ポート番号や,利用するアプリケーションの種類を指定する宛先ポート番号,シーケンス番号などがある.

送信元IPアドレス,パケット生存時間(TTL;Time To Live),プロトコル番号はIPヘッダに含まれる情報である

ポートスキャン

ポートスキャンでは,TCPを使う方法と,UDPを使う方法がある.

TCPでは3ウェイハンドシェイクなどを用いて行われる.

UDPではポート番号を順番に指定してスキャン対象のホストに送信する.対象ホストがUDPパケットを受信した際,そのポートを閉じていると,対象ホストから“ICMP port unreachable(ポート到達不能)”というメッセージが返される.

0-55(ア)SYNパケットを送信し,対象ホストから“RST/ACK”パケットを受信すると,接続要求が中断又は拒否されたと判断.

0-55(イ)SYNパケットを送信し,対象ホストから“SYN/ACK”パケットを受信すると,接続要求が許可されたと判断.

ARP

ARP認証:MACフレームを送信したPCのMACアドレスを確認し,管理サーバなどに事前に登録されたMACアドレスである場合にはその通信を許可する(登録されていない場合には,偽のARP応答を返し通信を妨害する)ことによって通信の可否を判定する方法.

IPv6ではブロードキャストアドレスが定義されていないので,マルチキャストアドレスを用いる必要がある。そのため, IPv6ではNDP(Neighbor Discovery Protocol)がRFC 4861(Neighbor Discovery for IP version 6(IPv6))として規定されている。

0-62(ア)DHCPv6……IPv6用のDHCP(Dynamic Host Configuration Protocol)のことであり,RFC 3315として規定されている.

0-62(ウ)IGMPv2……RFCには,IGMPv2というプロトコルは存在しない.IPv6用のIGMP(Internet Group Management Protocol)は,ICMPv6のMLD(Multicast Listener Discovery)によって実現されている.MLDは,RFC 2710などで規定されている.

0-62(エ)RIPng……IPv6用のRIP(Routing Information Protocol)のことであり,RFC 2080として規定されている.

FDDI(Fiber Distributed Data Interface)

送信権制御は,トークンパッシング方式を利用している.

0-63(エ)ポーリング方式:マスタコントローラは,各ノードに送信要求の有無を問い合わせ,送信要求のあるノードに送信権を与える.

ADSL(Asymmetric Digital Subscriber Line)

電話回線を利用して,高速のインターネット接続サービスと,従来の電話サービスを同時に利用できるようにしたもの.

インターネット接続サービスでは,一般にインターネット側にあるサーバから利用者側にあるパソコンにダウンロードする(下り方向)データ量が多く,パソコンからサーバに送信する(上り方向)データ量が少ない.

よって,下り方向には多くの変調周波数帯域を割り当てて伝送速度を速くし,上り方向には割り当てる変調周波数帯域を狭くしている.


参考

2021 情報処理安全確保支援士「専門知識+午後問題」の重点対策

「2021SC重点問題_0章.pdf」

IoTシステム技術検定(中級)を受けました

IoTシステム技術検定(中級)

MCPCの公式サイトによると,IoTシステム技術検定とは以下のように説明されています.

IoTシステム技術検定は、IoTが産業と社会に新たなイノベーションをもたらすことが期待されるなか、IoTビジネスに関わる方々を対象に設けられた制度です。IoTシステムの企画、構築、活用、運用改善をより効果的、効率的に行い更に高付加価値化の創造を生み出すために必要となる基本知識を習得していただくこと、更にこの分野における優れた技術者として活躍していただくことを狙いとしています。検定は基礎、中級、上級の3段階レベルで認定します。

引用元:MCPC「MCPCの検定 検定試験の概要

URL:https://www.mcpc-jp.org/iotkentei/gaiyou.html

中でも,中級の位置づけは以下です.

IoTシステム全体を俯瞰することができ顧客の要求または提案の要点を的確に把握でき、システム構成の概要が描けます。

なぜ受けたか?

友達が受けていたので.以上...

まぁ仕事上,知っておいて損はしないのでノリと自己研鑽で受けました.

結構勉強になったことも多かったのでためになったと思います.

手応え

結構あります.

先人たちの,こんなかんじの問題出たよーって記事のおかげで,かなり楽に勉強できました.一番下に参考で載せておきます.公式の教科書は無駄に詳しい割には試験内容はそこまで深掘りされないのでとても助かりました.

どんな問題が出たか?

これは公開していいのかはわかりませんが,記憶の限りで問題の雰囲気を書いていきます.(ダメそうなら消す.)

アジャイル開発


・フィールド領域とインフラストラクチャ領域の連携方法

・IoTゲートウェイの機能

・IoTデバイスとIoTゲートウェイの接続形態

OSGi

・PaaS,BaaS

・IoTサービスプラットフォーム

垂直統合型の性質

・共通機能はなにか

・逐次収集と区間集約収集

アルゴリズム的な話は好きなのでしっかり覚えてました.

・遠隔制御


・RSBとNoSQL(整合性の観点)

・ストリーミング処理

2択に絞ってからが全くわからず.

・CEP

・統計解析の予測と分類

機械学習強化学習,深層学習

機械学習周りはしっかり詰めた方がいいです.

・データ前処理

機械学習の説明可能性


・電波特性

・免許不要の無線局

よくわからない.

・ネットワークトポロジ

・IoTエリアネットワークの無線種別

・隠れ端末問題

RFID

・LPWAのセルラー

・5G

・ローカル5G

・CoAP,MQTT,Websocket


・IoTデバイスは組み込み型/独立型がある

・センサ(各センサのざっくりした説明)

・光センサ

・超音波センサ

電波特性を覚えてたので楽でした.

・バイオセンサ

知るか

・センサの構成

・画像センサ

・MEMS


・プロトタイピング開発の目的

CSVXMLJSONのメリット/デメリット

・GPIO,シリアルポート(UART,I2C,SPI)

知るか.なんやそれ


・セーフティ設計

・機密性,完全性,可用性

フールプルーフフォールトトレラント

これはほぼ100%出題されると思った方がいいです.

・パスワードクラック

マルウェア対策

選択肢全部正しかった.(多分それが正解)

・ICチップ認証/生体認証

・デジタル署名

・個人情報保護

・サイバーセキュリティ基本法

選択肢全部正しかった.(多分それが正解)


・IoTの契約形態

サブスク,レベニューシェアフリーミアムが出た気がします.

・匿名加工情報

参考

MCPCの検定 検定試験の概要

https://www.mcpc-jp.org/iotkentei/gaiyou.html

IoTシステム技術検定中級 テキスト第2版抜粋 音声読み上げ用

https://qiita.com/sxnxhxrxkx/items/bda596a4a6abc2504385

【MCPC】第6回IoTシステム技術検定のうろ覚え過去問

https://www.gg-sikau.com/?p=325

第8章 IoTシステムに関する保守・運用上の注意点

8-1 保守と運用

p316 IoTシステムにおける保守と運用

保守,運用の分類は様々だが,一例を以下に示す.

(1)IoTシステムの保守

・IoTデバイスゲートウェイの組み込みソフトウェアの保守

・IoTデバイスゲートウェイの障害の検出,回復,交換

・IoTデバイスゲートウェイのバッテリー交換,点検,清掃

・データの品質確認,異常不整合の検出,修正

・保守用機器,保守部品の管理

(2)IoTシステムの運用

・システムの起動停止,性能,稼働状況の監視

・デバイスの設置場所の管理

・ソフトウェアのバージョン管理

・ログトラフィックデータの収集管理

・バックアップデータの管理

・システムの設定変更,修正プログラムの適用

・ヘルプデスク,コールセンター等運用サポート

・ユーザ管理

p317 IoT保守と運用のリスク

IoTデバイスは工場や商店,家庭内あるいは装置の中など様々な環境で使用される.そのためデバイスゲートウェイが予期せぬ動作をする可能性があり,早急に対処しなければならない場合も出てくる.例えばセンサからの出力が来ない,あるいは異常値が出力される,ゲートウェイからインターネットに接続できないなど,予想外の事態が発生する可能性があり,これらをあらかじめ想定し対応手段を考えておくことが求められる.

(1)電源供給断

電源供給断には,電力会社からの電力供給の停止と電池切れの場合が考えられる.IoTデバイスではAC電源に接続される場合は電池交換の必要はないが,単体で設置される場合は一次電池(乾電池のような化学電池)または二次電池(充電式電池)の確保,エナジーハーベスティングなどの手段が必要になる.一次電池は定期的に交換する必要がある.二次電池では例えば太陽光発電を利用して蓄電することが考えられるが,この場合は太陽光パネルに光が当たるように保たなければならない.このためにデバイスの設置場所にも注意が必要である.AC電源を利用するときは停電が発生すると回復時にタイマーなどをリセットする必要が生じる場合がある.

(2)行方不明

バイスが行方不明になることもリスクの1つである.他のデバイスではGPS機能によってデバイスの居所がわかる場合があるが,安価なデバイスではGPS機能を搭載できないためデバイスの居所を突き止める事は困難である.デバイスが手の届くところに設置されているときは人が持ち去る可能性もリスクとなる.ウェアラブルバイスの場合は紛失にも注意が必要である.このほか天災の被害による紛失がある.

(3)故障

バイスそのものの故障にも対策が必要である.その場合,持ち帰って修理するのか,故障したデバイスを処分して交換するのかを決めておく必要がある.デバイスの価格と修理費用の兼ね合いで基準を定めておくことが迅速な対応に効果的である.

(4)外乱

外乱によるセンサの感度低下の例として,センサ部分への塵埃の付着や,光学センサの受光部への虫の付着などがある.また,磁気を用いたセンサであればスピーカーなど強力な磁界が外乱となる.IoTエリアネットワークに関してはデバイスからゲートウェイまでの通信で,規格通りに動作しないという問題が発生する.特に,同じ周波数帯域で多くの電波が使われている場合,干渉が発生して電波の到達距離が短くなることが起こりえる.

(5)保守不良

保守作業の不良にも注意を払う必要がある.保守対象となるデバイスが多数ある場合にはセンサ部分の清掃不良,清掃漏れなどが起こりがちである.センサの移動や追加設置の際,センサの感度設定が必要な場合があり,これを誤ると誤検出に繋がる.センサの閾値設定も難しい課題である.

p319 IoT保守員・運用管理者が持つべきスキル

バイスには清掃やアクチュエータの他,ゲートウェイとの通信機能,組み込みソフトウェア,さらに電源が搭載されている.デバイスからゲートウェイまでの修理,復旧の作業にはセンサやアクチュエータの動作原理,電源技術,モバイル通信技術など幅広い知識スキルが必要になる.

SDNは,ネットワークの構成変更やリソースの追加を,ハードウェアの個別設定や機器に依存することなくソフトウェアで実現する技術である.これらにより,保守や運用の効率化を図ることができるようになったが,保守や運用の担当者にとっては,従来のハードウェアソフトウェアのスキルに加え,より深い保守運用のスキルを身に付ける必要が出てきている.


8-2 IoTの契約形態

バイスのバックエンドで,サーバーストレージネットワークなどを用意し,さらにデータを収集,加工,出力するデータ統合のためのシステム,統合したデータを分析,可視化するデータ分析のためのシステムなどを稼働させ,出力結果を利用者に提供する.これらが新しい価値の創造となり,利用者顧客に提供するサービスになる.

p320 契約形態の種類

(1)定額契約

1つのサービスに対し,1つの価格を設定する方式である.

(2)従量契約

顧客の利用度合いに応じて,料金が決まる契約である.

(3)サブスクリプション

サブスクリプション方式は,使用する期間を切って料金を決定する契約である.1ヵ月使っていくら,1年使っていくらという契約になり,IoTシステムのレンタル契約になる.

(4)レベニューシェア

あらかじめ定めた目標をクリアすることで,その利益の一部を徴収する契約である.「システムの導入によって効果があった分の一部をお支払いください」というモデルである.

(5)フリーミアム

基本的なサービスや製品は無料で提供し,さらに高度な機能や特別な機能について料金がかかるという契約である.フリーミアムはフリーとプレミアムから作られた造語である.フリーミアムはソフトウェアの販売でよく見られる.


8-3 匿名化

p322 匿名加工情報

個人情報保護法では,2015年9月に改正法が公布され,ビックデータの有効活用狙いとして,新たに匿名加工情報に関する規定が取り入れられた.匿名加工情報とは,第2条第9項で「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって,当該個人情報を復元することができないようにしたものをいう」と規定している.

第36条:匿名加工情報の作成に際しては個人情報保護委員会規則で定める基準に従うこと,当該情報の漏洩を防止するための安全管理措置を講ずること

第37条:匿名加工情報を提供するときは,あらかじめ匿名加工情報に含まれる個人に関する情報の項目等を公表すること

第38条:匿名加工情報を他の情報と照合してはならないこと

第39条:匿名加工情報取扱事業者は安全管理措置を講じ,それを公表すること

p322 匿名化技術

匿名化技術とは,データの利用価値を損なうことなくプライバシーを確保する技術であり,データの利用目的や,データの種類,特性に応じて,匿名化に適応する技術を選択する.データの匿名性を評価するパラメータとしてk-匿名性がある.同じ属性を持つデータがk個以上存在するようにデータの変換や属性の抽象化などを行い,個人が特定される確率を低減することを「k-匿名性を満たす」と呼ぶ.kの値が大きいほど個人を特定できる確率は低くなる.また,個人の特定をより困難にするために,データ属性をl種類以上用いたり(l-多様性),データ分布の偏りを小さくする方法(t-近接(近似)性)なども考案されている.


8-4 BCP(Business Continuity Plan)

BCPとは,事業継続計画と訳される.これは,災害や事故,疫病の流行,社会的な混乱,自社内の事故などにより,通常の業務ができなくなるような事態になったときに,事業継続のため,業務の復帰を短い期間で実施する計画をあらかじめ策定しておくことを意味する.

想定される事故として,大災害としては地震や豪雨による洪水,大規模停電や大規模火災の発生,サイバー攻撃を含めたテロ,インフルエンザなどの感染症の流行,大規模な個人情報の漏洩などが考えられる.

IoTでは,不測の事態に対し,データのバックアップ,システムの二重化などを行い,すぐに復旧できるようにデータを保持する体制が必要である.


8-5 CCライセンス

著作権の扱いについて一定のルールを設けたものがCCライセンス(Creative Commonsライセンス)である.

CCライセンスはインターネット時代の新しい著作権ルールとして,あらかじめ著作者が著作物に利用許諾に関する意思を表示しておくことで,利用者が利用の都度,著作者の了解を得ることなく利用できる仕組みである.CCライセンスを利用することで,著作者は著作権を保持したまま作品を自由に流通させることができ,利用者はライセンス条件の範囲内で著作物を複製したり,再配布をすることができる.

CCライセンスで著作権を利用するための条件には,次の4種類がある.

(1)表示(BY):原作者のクレジット(氏名,著作物のタイトルなど)を表示する

(2)非営利(NC):営利目的での利用をしない

(3)改変禁止(ND):元の作品を改変しない

(4)継承(SA):改変した場合,元の作品と同じライセンスで公開する

CCライセンスは,2002年に米国の法学者ローレンス・レッシグを中心とするメンバーによって発表されたオープンライセンスである.

参考

IoT技術テキスト第3版

【MCPC】第6回IoTシステム技術検定のうろ覚え過去問

https://www.gg-sikau.com/?p=325

IoTシステム技術検定中級 テキスト第2版抜粋 音声読み上げ用

https://qiita.com/sxnxhxrxkx/items/bda596a4a6abc2504385#%E7%AC%AC1%E7%AB%A0-iot%E6%A6%82%E8%A6%81

難なく MCPC IoTシステム技術検定試験(中級) に合格したい

https://cutnpaste.hatenablog.com/entry/2017/12/03/193809