システムセキュリティ構築実証講座 報告書
■日 程:
2019年10月28日(月)9:00~13:00
2019年10月29日(火)9:00~13:00
2019年10月30日(水)9:00~13:00
■会 場:国際電子ビジネス専門学校 住所:〒900-0025 沖縄県那覇市壺川3丁目5−3
■受講者:国際電子ビジネス専門学校 学生25名(1年次15名 2年次5名 4年次5名)
■目 標:システムセキュリティの知識・技術の習得
■実施内容:
○1日目【10月28日(月)】
時間 | 内容 |
9:00 |
[ユーザ認証] [ソフトウェアの脆弱性] [マルウェア] [TCP/IPとフィルタリング] |
13:00 | 終了 |
○2日目【10月29日(火)】
時間 | 内容 |
9:00 | ●情報セキュリティマネージメント(第6章)
[ISMS] [インシデントとCSIRT] [脆弱性流通とその仕組み] [DDoS攻撃とMirai(第4章)] |
13:00 | 終了 |
○3日目【10月30日(水)】
時間 | 内容 |
9:00 | ●セキュアプログラミング(第11章)
[セキュアプログラム概論] [Javaセキュリティ(実習)] |
13:00 | 終了 |
平成30年度に作成られた「システムセキュリティ構築」教材の実証検証のため、第4章、第6章、第11章を中心に講座を実施した。
事例等を紹介しながら、教材に記載されている内容の理解が深まるように講義を進め、各項目ごとにまとめと質疑応答の時間を設けた。
受講者は、専門学校 1年次15名、2年次5名、4年次5名の25名であった。情報処理の基礎学習が途中である1年次には、レベルが高く、理解に時間がかかった。2年次、4年次の学生については、講義内容はおおむね理解できていた。教材のレベルとしては適切であると思われる。
最後に理解を深めるために行った実習については、講義中心の教材を補完するための試みであった。学生がこれまでに学習している内容と今回の講座の内容を踏まえJavaのセキュリティを取り入れたプログラム実習を実施した。講義内容・レベルが高かった1年次についても大きな滞りは無く実習を完了した。技術教育において、実際に自身で体験する実習・演習が理解を高めるために重要であると考えられる。
システムセキュリティ構築実証講座
■日 程:
2019年11月19日(火)9:30~16:00 6時間 休憩30分
2019年11月20日(火)9:30~16:00 6時間 休憩30分
■会 場:専門学校穴吹コンピュータカレッジ 住所:香川県高松市番町2-4-14
■受講者:専門学校学生
■目 標:システムセキュリティの知識・技術の習得
■参加者:29名
■実施内容:
○1日目【11月20日(月)】
時間 | 内容 |
9:30 | ●講座概要の説明 ●不正アタック対策(第4章)[ユーザ認証] マルウェア 用語の確認 マルウェア感染プロセス マルウェアの感染経路モデル C&Cと感染端末(ボット)との関係 マルウェアの自律的感染拡大 感染拡大モデルの違い 蔓延するランサムウェア 急激にランサムウェアが増えた理由 公開鍵暗号法 ランサムウェアのモデル ダークウェブの登場 FBIも手を焼くマルウェアGameover ZeuS サイバー犯罪のためのマルウェアZeus FBIがおこなった2010年の壊滅作戦 サーバ・クライアントがP2Pに進化 2014年6月の撲滅作戦 スローガンを叫ぶのはむしろ危険 まとめ[ソフトウェアの脆弱性] ソフトウェアの脆弱性とは モリスワームの社会的影響 JVN 脆弱性の登録推移 国内の脆弱性管理サイト JVN iTerm2 における任意のコマンド実行が可能な脆弱性 複数のApple製品における脆弱性に対するアップデート LINE (Android版) における複数の整数オーバーフローの脆弱性 OpenSSLに複数の脆弱性 Microsoftからのセキュリティ通知 完璧なソフトウェアは存在しない 脆弱性を放置するとどうなるのか? Apache Struts2 CVE-2017-5638 脆弱性をもったコンピュータをみつける セキュリティ・アップデート 経営リスク管理として捉える ソフトウェアのライフサイクル まとめ[マルウェア] 用語の確認 マルウェア感染プロセス マルウェアの感染経路モデル C&Cと感染端末(ボット)との関係 マルウェアの自律的感染拡大 感染拡大モデルの違い 蔓延するランサムウェア 急激にランサムウェアが増えた理由 公開鍵暗号法 ランサムウェアのモデル ダークウェブの登場 FBIも手を焼くマルウェアGameover ZeuS サイバー犯罪のためのマルウェアZeus FBIがおこなった2010年の壊滅作戦 サーバ・クライアントがP2Pに進化 2014年6月の撲滅作戦 スローガンを叫ぶのはむしろ危険 まとめ |
12:00 | 休憩 |
12:30 | [TCP/IPとフィルタリング] TCP/IP レイヤー化されているプロトコル プロトコルは層になっている パケットは入れ子になっている(TCP) インターネット・プロトコル IPアドレス ローカルなネットワークで使うアドレス NAT(Network Address Translation) ルーターとNATの違い NAT (1対多) NAT (内部からの接続のみ) トランスミッション・コントロール・プロトコル ポート番号 TCP 3-ウェイ・ハンドシェイク TCP 3-ウェイ・ハンドシェイクの脆弱性 SYN flood攻撃 TCP/IPの接続開始 SYN floodへの対応 UDP ICMP アプリケーションとTCP/IP Webに使われるプロトコル リモートログインで使われるプロトコル アドレス管理に使われるプロトコル メールに使われるプロトコル ファイアウォールとパケット・フィルタリング パケット・フィルタリング ルータを挟んだネットワークトポロジー ブリッジを挟んだネットワークトポロジー ルータ/ブリッジ上でフィルタリング ホストベースのフィルタリング フィルタリングのルールを考える フィルタリングのデフォルトは拒否 パケットフィルタの設定の考え方 ステートフルパケットフィルタリング ネットワーク・フィルタリングを動的に行うツールと併用パケット・インスペクション 実際のパケット・フィルタリング CentOS7 (GNU/Linux)の仕組み IDS(不正侵入検知システム) IPS(不正侵入防止システム) ネットワーク型とホスト型 シグニチャー方式とアノマリ方式 まとめ●情報セキュリティマネージメント(第6章)[ISMS] ISMS(Information Security ManagementSystem)とは C.I.A 情報セキュリティマネジメントシステム適合性評価制度 ISMS適合性評価制度における認証基準 JIS Q 27001(ISO/IEC 27001):2014 これまでの規格の流れ 規格の変化 物理的セキュリティも定義 ISMS適合性評価制度の運用 ISMSクラウドセキュリティ認証 情報セキュリティマネジメントとPDCAサイクル 情報セキュリティポリシーの策定 リスクアセスメントとリスク対応 リスクへの対応・4つの考え方 脆弱性対策 日常的なセキュリティ監視と情報の収集 情報セキュリティ対策の評価 実務においてのISMS まとめ[インシデントとCSIRT] インシデントとは 標的型攻撃 標的型サイバー攻撃事例 マルウェアの進入経路 水飲み場攻撃 マルウェアの感染リスクは高い マルウェアの挙動を理解する マルウェア感染後 C&Cとマルウェア 情報窃取のボット スタックスネットStuxnet 特定目標をターゲットとしたマルウェア 世界最初の兵器級マルウェア 大きく分類すると3つの機能 利用された脆弱性 ゼロデイ攻撃 バックドア・遠隔操作 LAN内での感染拡大 rootkit Rootkit感染後のマルウェアは検知可能か? 高度化するマルウェア ランサムウェア フランチャイズ化したランサムウェア CryptoLocker CTB-Locker DoS/DDoS攻撃 日本国内の複数ECサイトをターゲットとしたDDoS攻撃 DNS水責め攻撃 NTPサーバを使ったDDoS トラフィック計測による管理サイトの確認 CSIRT CERT/CC JPCERT/CC IPA IPA 情報セキュリティ届出・相談・情報提供 CSIRTの重要性 インシデント対応が可能なチーム 日本シーサート協議会 まとめ |
16:00 | 終了 |
○2日目【11月20日(火)】
時間 | 内容 |
9:00 | ●情報セキュリティマネージメント(第6章)
[脆弱性流通とその仕組み] [DDoS攻撃とMirai(第4章)] |
12:00 | 休憩 |
12:30 | ●セキュアプログラミング(第11章)
[セキュアプログラム概論] [Javaセキュリティ(実習)] |
16:00 | 終了 |
2018年度に作成られた「システムセキュリティ構築」教材の実証検証のため、第4章、第6章、第11章を中心に講座を実施した。
事例等を紹介しながら、教材に記載されている内容の理解が深まるように講義を進め、項目ごとにまとめと質疑応答の時間を設けた。
受講者は、専門学校 情報システム学科1年・ネットワークセキュリティ学科1年 29名であった。情報処理の基礎学習が途中である1年次には、レベルが高く、理解に時間がかかった。
1年次であることを考慮し、講義中心の構成とした。最後に学生がこれまでに学習している内容と今回の講座の内容を踏まえJavaのセキュリティを取り入れたプログラム実習を実施したが、Javaの学習がまだ基礎技術のみであったため、実習のレベルが高く、最後まで行うことができた受講者はいなかった。技術教育においは、実際に自身で体験する実習・演習が理解を高めるために重要であるが、受講の前提となる知識・技術と実施する演習・実習のレベル的なバランスを考慮することが求められる。本講座で使用した教材は、情報セキュリティとしては基礎領域であるが、情報処理の基礎から応用の学習を習得した専門学校2年次の後期、3年次の教育カリキュラムに位置付けるレベルである。1年次を対象にした本講座で、座学レベルではついてこられる受講者も実習は、難しかったことにより、教材のレベルの検証ができた。