IT入門お役立ち情報:情報処理安全確保支援士試験受験編(その4)
序盤:基礎知識固めとして参考書を勉強しました(3)
参考書の章立てに沿って、次の内容について勉強しました。そこで、気づいたことや感じたことを少し述べてみます。
- 情報セキュリティにおける脆弱性
情報セキュリティにおいてリスクが発生する要因の一つが脆弱性ですが、様々な種類の脆弱性があります。この脆弱性に対していかに対策を講じていくかが、リスクを発生させないために大変重要ですし、脅威と違って自分たちでコントロールが可能です。つまり、脆弱性への対策が、情報セキュリティの要だと改めて認識しました。
- ネットワーク構成における脆弱性と対策
ネットワーク構成での対策は、可能な限り使用目的に応じたセグメントに分けることに尽きます。攻撃が標的に及ばないように、または被害を拡大しないようにも、VLANを構築して、接続口も必要最小限に抑えることが肝心です。
- TCP/IPプロトコルの脆弱性と対策
プロトコルの仕様が公開されているからこそ、世界標準のプロトコルとして普及していますが、裏を返せばそれを悪用もされやすいということです。特にIPv4は暗号化機能が標準装備されていないので、盗聴による漏洩のリスクが高いです。しかし、これだけ普及しているプロトコルを容易に変えるわけにはいかないので、それらへの対策を施す必要があります。そして、このTCP/IPプロトコルの基本的なところを理解しておくことは、後の学習にも役立つと思います。
- 電子メールの脆弱性と対策
古くから普及して使用されている電子メールに関するプロトコルは、シンプルであるが故に、数多くの脆弱性が指摘されています。電子メールにおいて大きな問題は、やはり膨大な迷惑メールですが、これらはメールサーバにおける脆弱性が原因となっています。それらへの対策として、代表的なSMTPとPOPに関しては、様々な対策が取られていますが、なかなか根本的な対策はないように思われます。なお、電子メールはよく使われるツールなので、出題されやすい分野でもあると思います。
- DNSの脆弱性と対策
名前解決を行うDNSにもいくつか脆弱性があり、これらを悪用されると悪意のあるサイトに誘導されたりして大変危険です。DNSSECなどいくつかの対策が講じられているようですが、そのためにシステムにも負荷が高くなってきているようです。
- HTTPおよびWebアプリケーションの脆弱性と対策
インターネット上で最も使用されるHTTPプロトコルとWebアプリケーションには、その仕様や特性からセッション管理に関する脆弱性が大きな問題です。これらに対しては様々な対策が必要となりますが、脆弱性が適切に対策されているかどうかはなかなかわかりません。したがって、Webアプリケーションを新規開発するときには、それらの脆弱性に対する考慮をした設計をする必要がありますし、本番運用する前は、必ず脆弱性検査を実施することが必要です。このセキュリティを考慮した設計は、システム開発に関する問題としても出題されるでしょう。
