情報セキュリティチェックシート 第3章 情報セキュリティにおける脆弱性

第3章 情報セキュリティにおける脆弱性

ロ公開Webサーバと社内専用のファイルサ_バなど,アクセスを許可する範囲(人,機器等)が明らかに異なるホストが同一セグメン‥こ混在しているネットヮ_クは脆弱であり,機密性,完全性の侵害にっながるリスクが高い。
口発信元IPアドレスにプライベートアドレスが設定されたインク_ネットからのインバウンドパケットなど,明らかに発信元アドレスが偽装されているバケツ‥こつぃては,ル_タやファイアウォールによつて遮断する必要がある。
□広く普及しているメ_ルサーバソフトウエアの旧バージョンではメ_ルの投稿にあたつてユーザを認証する仕組みがなかったため,発信元メールアドレスの詐称が堂々と行われるほか,組織外の第三者から別な第三者へのメ_ル投稿を受け付け,中継してしまう。
口組織外の第三者から別の第三者ヘのメール投稿を受け付け,中継してしまうことを第三者中継(Third‐PartyMailReIay)とぃぅ。なお,第三者中継をオープンリレ_,それを行うSMTPサーバをオープンリレー(SMTP)サーバとも呼ぶ・
ロOP25Bとは,ISPのSMTPサーバを経由せず, 直接インク_ネッ‥こ出ていく25番ボートあてのパケットを遮断することで,スパムメ_ルの発信を防ぐ技術である・
□OP25Bが設定された環境で正当なユーザが|SP以外のSMTPサ_バを使用してメールを発信する場合には,投稿専用のSubmissionポート(587/TCP)を使用するとともにSMTP.AUT…こよつてユーザ認証をィ丁っ。
ロ発信元情報を偽装したメ_ルを発見し,排除する技術として,発信元のIPアドレスやディジタル署名によつてメ_ル受信側で発信元SMTPサーバを認証する仕組み(送信ドメイン認証)が近年実用化されている・
□標準的なPOP3では,USER/PASSコマンHこよつてュ_ザ認証を行うが,その際ユーザlDとパスワーHよ平文のままネットワ_ク中を流れていくため,経路上でのパケット盗聴により,ユーザの認証情報が盗まれてしまう可能性が高い。
□POP3の脆弱性ヘの対策としては,APOP,POP3overSSL′TLS(POP3S),SSHによるポートフオワーディングなどがある。
ロ問合せ元のアドレスや問合せ対象ドメインの制限なく,名前解決要求に応じるDNSサーバ(キャッシュサーバ)は[ォ_プンリゾルバ」と呼ばれる。オープンリゾルバはDNSキャッシュボイズニング攻撃に対して脆‐弱である。
□DNSSECは,ディジタル署名を用いて応答レコードの正当性,完全性を確認する方式であり,DNSキャッシュボィズニング攻撃ヘの有効な対策となる・
□UDP53番ボ_卜を使用するDNSの通常の名前解決では,_っのバケツ‥こ格納できるデータが512オクテッ‥こ制限されているが,DNSの拡張機構であるEDNS0を用いることにより,最大65,535オクテットまで拡張することができる・
□DNSの脆弱性への対策として,DNSサーバを代理名前解決を行わないコンテンツサーバと,ゾーン情報をもたなぃ代理名前解決専用のキャッシュサーバに分離し,後者を利用可能なホストの範囲を制限する方法などがある。
ロGETメソッドを使用したWebアプリケーションでは,URLから入力デ_タが読み取られたり,改ざんされたりする可能性がある。またReferrer口グから入力デ_タが漏えいする可能性がある。
口POSTメソッドを使用すれば入力データがURLに含まれなぃため,GETメソッドよりも秘匿性が高まるが,入力デ_タを口グに記録するにはアプリケーション側で対応する必要がある・
ロWebアプリケーションでは,URLパラメタ,hiddenフィ_ルド,クッキ_のいずれかの手段でセッション管理を行うが,それらのうちどれを用いていたとしてもHTTPで通信していればセッション管理情報の漏えいが発生する可能性がある・
口クッキ_の有効期限は可能な限り短く,また有効範囲は可能な限り狭くすることに加え,HTTPS(SSLノTLS)を使用しているぺ_ジでは必ずsecure属性を設定し,盗聴にょってクッキーが盗まれるのを防ぐ必要がある。
ロHttpOnly属性をクッキ_に設定することにより,適用範囲をHTTP/HTTPS通信慧‥こ限定し,XSSによつてクッキ_が盗まれるのを防ぐことが可能となる・ロ重要なセッション管理情報はすべてWebサーバ側で管理し,URLパラメタ,クッキー,hiddenフィールドには,セッションの識別情報(ID)しか含めないようにする。
□セッション|Dには十分な長さをもつた乱数やハツシユ値を用ぃる(GETメソッドを使用している場合は特に重要)。
□HTTPのベ_シック認証では盗聴によつて認証情報が漏えいする可能性があるため,使用する場合にはHTTPSによって暗号化する。
□Webサ_バが詳細なエラーメッセージをクライアントに返す設定になっていると機密情報の漏えいにつながる可能性があるため,必要最小限のエラーメッセージのみを返すように設定する。
口CSRFとはWebアプリケーションのユーザ認証やセッション管理の不備を突いて,サイトの利用者にWebアプリケ_ションに対する不正な処理要求を行わせる手法である・

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>