SE娘の剣②脅威(1)まとめ
脅威の分類
①物理的脅威
代表例:事故,災害,故障,破壊,盗難,不正侵入 ほか
②技術的脅威
代表例:不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング ほか
③人的脅威
代表例:誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング ほか
脆弱性とCVE、CWE、CVSS
・脆弱性とは(一般)
情報資産に内在して、リスクを顕在化させる弱点
脆弱性の指標
(1)CVE
CVE(Common Vulnerabilities and Exposures)とは、野ざらし(exposure)になったCommon(共通の)Vulnerabilities(脆弱性)という意味で、脆弱性の通番です。CVE-西暦年-4桁の通番で表されます。
たとえば、H26年に話題になったOpenSSL の脆弱性は「CVE-2014-0160」が振られています。
(2)CWE
CVEと似た言葉に、CWEがあります。IPAでは「共通脆弱性タイプ一覧CWE概説」というページがあります。(https://www.ipa.go.jp/security/vuln/CWE.html)
ここでは、「CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するための、脆弱性の種類(脆弱性タイプ)の一覧を体系化して提供しています。」と述べています。
例:CWE-78:OSコマンド・インジェクション
ここで、JVNについて補足します。JVNはJPCERT/CCとIPAが共同で運用しています。JVNのサイト(http://jvn.jp/nav/jvn.html)では、JVN(Japan Vulnerability Notes)に関して次のように述べています。
日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。
(3)CVSS
CVSS(Common Vulnerability Scoring System) に関して、「基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するもの」と述べられている。
CVSSに関しては、IPAの資料に詳しい解説と計算方法が記載されている。
https://www.ipa.go.jp/security/vuln/CVSS.html
DoS攻撃
DoSはDenial of Servicesで,「Services (サービス)のDenial(拒否)」という意味ですね。サーバなどに攻撃をして、サービスを提供できないようにすることです。
DDoS攻撃のDはDistributed(分布させた)。
よって、DDoS攻撃という言葉のとおり、複数に分布された攻撃マシンから一斉にDoS攻撃を行うことです!
試験センター(IPA)のサイトでは、「サービス運用妨害(DoS)」として記載されています。詳しい内容が載ってますので、一度見ておくとよいでしょう。
http://www.ipa.go.jp/security/vuln/vuln_contents/dos.html
Ping爆弾などのDos攻撃はFWやIPSである程度止めることができない。しかし、本当に止めることは難しい。UTMではなく、本格的なDDoS対策機が求められるだろう。
というのも、何かで話題になると、あるサーバにアクセスが集中してサーバがダウンする。これはDoS攻撃なのか。そうではない。普通に皆がアクセスするように攻撃してしまえばいいのだ。これはF5攻撃とも言われる。
DDoS攻撃によって、サーバがダウンするというのは、商用サービスを提供している企業にとっての影響は計り知れない損害です。
同時に、Webサーバを運用しているシステム管理者への影響も大きなものです。社内のあちこちからのクレームや問合せによるDDoSで、業務はストップするし、精神的にもつらいことだと思います……。